Om säkerhetsinnehållet i iOS 7.1.2
I det här dokumentet beskrivs säkerhetsinnehållet i iOS 7.1.2.
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen Apple produktsäkerhet.
Mer information om Apples PGP-nyckel för produktsäkerhet finns i Så här använder du en PGP-nyckel från Apple Product Security.
Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.
Mer information om andra säkerhetsuppdateringar finns på Säkerhetsuppdateringar från Apple.
iOS 7.1.2
Certifierad förtroendepolicy
Tillgänglig på: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Uppdatering av den certifierade förtroendepolicyn
Beskrivning: Den certifierade förtroendepolicyn uppdaterades. Du kan läsa den fullständiga listan över certifikat på http://support.apple.com/kb/HT5012?viewlocale=sv_SE.
CoreGraphics
Tillgänglig på: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Visning av skadliga XBM-filer kan leda till att program avslutas oväntat eller att opålitlig kod körs
Beskrivning: Ett problem med obunden trave-tilldelning fanns vid hantering av XBM-filer. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2014-1354: Dima Kovalenko på codedigging.com
Kärna
Tillgänglig på: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett program kunde göra så att enheten oväntat startade om
Beskrivning: En nollpekarreferens förekom vid hanteringen av IOKit API-argument. Problemet åtgärdades genom ytterligare validering av IOKit API-argument.
CVE-ID
CVE-2014-1355: cunzhang från Adlab på Venustech
launchd
Tillgänglig på: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett heap-buffertspill förekom vid hantering av IPC-meddelanden i launchd. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2014-1356: Ian Beer på Google Project Zero
launchd
Tillgänglig på: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett heap-buffertspill förekom vid hantering av loggmeddelanden i launchd. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2014-1357: Ian Beer på Google Project Zero
launchd
Tillgänglig på: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett heltalsspill förekom i launchd. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2014-1358: Ian Beer på Google Project Zero
launchd
Tillgänglig på: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett heltalsunderskott förekom i launchd. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2014-1359: Ian Beer på Google Project Zero
Lockdown
Tillgänglig på: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En angripare som hade en iOS-enhet hade möjlighet att kringgå aktiveringslåset
Beskrivning: Enheter utförde ofullständiga kontroller under enhetsaktiveringen, vilket gjorde att en angripare delvis kunde kringgå aktiveringslåset. Problemet åtgärdades genom ytterligare verifiering av de data som tas emot från aktiveringsservrarna på klientsidan.
CVE-ID
CVE-2014-1360
Den låsta skärmen
Tillgänglig på: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En angripare som hade en enhet kunde överskrida gränsen för antalet misslyckade försök att ange lösenkoden
Beskrivning: Under vissa omständigheter upprätthölls inte gränsen för antalet misslyckade försök att ange lösenkoden. Problemet åtgärdades genom ytterligare kontroller av att gränsen upprätthålls.
CVE-ID
CVE-2014-1352: mblsec
Den låsta skärmen
Tillgänglig på: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En person med fysisk åtkomst till en låst enhet kan få åtkomst till det program som var aktivt före låsningen
Beskrivning: Ett problem med tillståndshantering förekom vid hantering av telefonens tillstånd i flygplansläge. Problemet åtgärdades via förbättrad tillståndshantering när flygplansläget är aktivt.
CVE-ID
CVE-2014-1353
Mail
Tillgänglig på: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: E-postbilagor kan extraheras från en iPhone 4
Beskrivning: Dataskydd var inte aktiverat för e-postbilagor, vilket gjorde att de kunde läsas av en angripare med fysisk åtkomst till enheten. Problemet åtgärdades genom att krypteringsklassen för e-postbilagor ändrades.
CVE-ID
CVE-2014-1348: Andreas Kurtz på NESO Security Labs
Safari
Tillgänglig på: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras
Beskrivning: Ett problem med användning av tidigare använt minne förekom i Safaris hantering av ogiltiga webbadresser. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2014-1349: Reno Robert och Dhanesh Kizhakkinan
Inställningar
Tillgänglig på: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En person med fysisk åtkomst till enheten kan inaktivera Hitta min iPhone utan att ange ett iCloud-lösenord
Beskrivning: Ett problem med tillståndshantering förekom i hanteringen av Hitta min iPhone-tillståndet. Problemet åtgärdades genom förbättrad hantering av Hitta min iPhone-tillståndet.
CVE-ID
CVE-2014-1350
Secure Transport
Tillgänglig på: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Två byte av oinitierat minne kunde avslöjas för en fjärrangripare
Beskrivning: Ett oinitierat minnesåtkomstproblem förekom i hanteringen av DTLS-meddelanden i en TLS-anslutning. Problemet åtgärdades genom att endast DTLS-meddelanden accepteras i en DTLS-anslutning.
CVE-ID
CVE-2014-1361: Thijs Alkemade på The Adium Project
Siri
Tillgänglig på: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad (3:e generationen) och senare
Effekt: En person med fysisk tillgång till telefonen kan eventuellt visa alla kontakter
Beskrivning: Om en Siri-förfrågan refererar till en eller flera kontakter visar Siri en lista med möjliga kontakter samt alternativet Mer som kan användas till att visa en fullständig kontaktlista. Om detta används när skärmen är låst kräver Siri inte lösenkoden innan hela kontaktlistan visas. Problemet åtgärdades genom att lösenkoden nu måste anges.
CVE-ID
CVE-2014-1351: Sherif Hashim
WebKit
Tillgänglig på: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras
Beskrivning: Flera minnesfel förekom i WebKit. Dessa problem åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2013-2875: miaubiz
CVE-2013-2927: cloudfuzzer
CVE-2014-1323: banty
CVE-2014-1325: Apple
CVE-2014-1326: Apple
CVE-2014-1327: Google Chrome Security Team, Apple
CVE-2014-1329: Google Chrome Security Team
CVE-2014-1330: Google Chrome Security Team
CVE-2014-1331: cloudfuzzer
CVE-2014-1333: Google Chrome Security Team
CVE-2014-1334: Apple
CVE-2014-1335: Google Chrome Security Team
CVE-2014-1336: Apple
CVE-2014-1337: Apple
CVE-2014-1338: Google Chrome Security Team
CVE-2014-1339: Atte Kettunen på OUSPG
CVE-2014-1341: Google Chrome Security Team
CVE-2014-1342: Apple
CVE-2014-1343: Google Chrome Security Team
CVE-2014-1362: Apple, miaubiz
CVE-2014-1363: Apple
CVE-2014-1364: Apple
CVE-2014-1365: Apple, Google Chrome Security Team
CVE-2014-1366: Apple
CVE-2014-1367: Apple
CVE-2014-1368: Wushi på Keen Team (Keen Cloud Techs forskningsgrupp)
CVE-2014-1382: Renata Hodovan vid universitetet i Szeged/Samsung Electronics
CVE-2014-1731 : en anonym medlem av utvecklargemenskapen Blink
WebKit
Tillgänglig på: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En skadlig webbplats kan skicka meddelanden till en ansluten ram eller fönster på ett sätt som kan kringgå mottagarens ursprungskontroll
Beskrivning: Ett kodningsproblem fanns i hanteringen av unicode-tecken i webbadresser. En webbadress med skadligt innehåll kunde medföra att ett felaktigt postMessage-ursprung sändes. Problemet åtgärdades genom förbättrad kodning/avkodning.
CVE-ID
CVE-2014-1346: Erling Ellingsen på Facebook
WebKit
Tillgänglig på: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare
Effekt: En uppsåtligt skadlig webbplats kan styra om sitt domännamn i adressfältet
Beskrivning: Ett problem med omstyrning förekom i hanteringen av webbadresser. Det här problemet åtgärdades genom förbättrad kodning av webbadresser.
CVE-ID
CVE-2014-1345: Erling Ellingsen på Facebook
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.