Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen Apple produktsäkerhet.
Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.
Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.
Mer information om säkerhetsuppdateringar finns i Säkerhetsuppdateringar från Apple.
iOS 7.1.1
-
CFNetwork HTTPProtocol
Tillgänglig för: iPhone 4 eller senare, iPod touch (5:e generationen) och senare, iPad 2 eller senare
Effekt: En angripare i en privilegierad nätverksposition kan komma över inloggningsuppgifter till webbplatser
Beskrivning: Set-Cookie HTTP-huvuden bearbetas även om anslutningen avslutas innan rubrikraden var fullständig. En angripare kunde plocka ut säkerhetsinställningarna från cookien genom att tvångsavsluta anslutningen innan säkerhetsinställningarna skickades och därigenom komma över den oskyddade cookiens värde. Detta problem åtgärdades genom att ignorera ofullständiga HTTP-rubrikrader.
CVE-ID
CVE-2014-1296: Antoine Delignat-Lavaud på Prosecco på Inria Paris
-
IOKit-kärna
Tillgänglig för: iPhone 4 eller senare, iPod touch (5:e generationen) och senare, iPad 2 eller senare
Effekt: En lokal användare kan läsa kärnpekare som sedan kan användas för att kringgå kärnadressens slumpmässiga utrymmeslayout
Beskrivning: En uppsättning kärnpekare lagrade i ett IOKit-objekt kunde hämtas från userland. Det här problemet åtgärdades genom att pekarna togs bort från objektet.
CVE-ID
CVE-2014-1320: Ian Beer från Google Project Zero i samarbete med HP:s Zero Day Initiative
-
Säkerhet – Secure Transport
Tillgänglig för: iPhone 4 eller senare, iPod touch (5:e generationen) och senare, iPad 2 eller senare
Effekt: En angripare med en priviligerad nätverksposition kan stjäla data eller ändra funktionerna som utförs i sessioner som skyddas av SSL
Beskrivning: I en ”trippelhandskakningsattack” var det möjligt för en angripare att upprätta två anslutningar med samma krypteringsnycklar och samma handskakning. Sedan infogades angriparens data i en anslutning och förhandlades på nytt, så att anslutningarna kunde vidarebefordras till varandra. I syfte att förhindra angrepp baserade på det här scenariet ändrades Secure Transport så att samma servercertifikat som uppvisades i den ursprungliga anslutningen måste uppvisas vid en omförhandling.
CVE-ID
CVE-2014-1295: Antoine Delignat-Lavaud, Karthikeyan Bhargavan och Alfredo Pironti på Prosecco på Inria Paris
-
WebKit
Tillgänglig för: iPhone 4 eller senare, iPod touch (5:e generationen) och senare, iPad 2 eller senare
Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras
Beskrivning: Flera minnesfel förekom i WebKit. Dessa problem åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2013-2871: miaubiz
CVE-2014-1298: Google Chrome Security Team
CVE-2014-1299: Google Chrome Security Team, Apple, Renata Hodovan vid universitetet i Szeged/Samsung Electronics
CVE-2014-1300: Ian Beer från Google Project Zero i samarbete med HP:s Zero Day Initiative
CVE-2014-1302: Google Chrome Security Team, Apple
CVE-2014-1303: KeenTeam i samarbete med HP:s Zero Day Initiative
CVE-2014-1304: Apple
CVE-2014-1305: Apple
CVE-2014-1307: Google Chrome Security Team
CVE-2014-1308: Google Chrome Security Team
CVE-2014-1309: cloudfuzzer
CVE-2014-1310: Google Chrome Security Team
CVE-2014-1311: Google Chrome Security Team
CVE-2014-1312: Google Chrome Security Team
CVE-2014-1313: Google Chrome Security Team
CVE-2014-1713: VUPEN i samarbete med HP:s Zero Day Initiative