Om säkerhetsinnehållet i iOS 7.1.2

I det här dokumentet beskrivs säkerhetsinnehållet i iOS 7.1.2.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen Apple produktsäkerhet.

Mer information om Apples PGP-nyckel för produktsäkerhet finns i Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om andra säkerhetsuppdateringar finns på Säkerhetsuppdateringar från Apple.

iOS 7.1.2

  • Certifierad förtroendepolicy

    Tillgänglig på: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Uppdatering av den certifierade förtroendepolicyn

    Beskrivning: Den certifierade förtroendepolicyn uppdaterades. Du kan läsa den fullständiga listan över certifikat på http://support.apple.com/kb/HT5012?viewlocale=sv_SE.

  • CoreGraphics

    Tillgänglig på: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Visning av skadliga XBM-filer kan leda till att program avslutas oväntat eller att opålitlig kod körs

    Beskrivning: Ett problem med obunden trave-tilldelning fanns vid hantering av XBM-filer. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-1354: Dima Kovalenko på codedigging.com

  • Kärna

    Tillgänglig på: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett program kunde göra så att enheten oväntat startade om

    Beskrivning: En nollpekarreferens förekom vid hanteringen av IOKit API-argument. Problemet åtgärdades genom ytterligare validering av IOKit API-argument.

    CVE-ID

    CVE-2014-1355: cunzhang från Adlab på Venustech

  • launchd

    Tillgänglig på: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Ett heap-buffertspill förekom vid hantering av IPC-meddelanden i launchd. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-1356: Ian Beer på Google Project Zero

  • launchd

    Tillgänglig på: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Ett heap-buffertspill förekom vid hantering av loggmeddelanden i launchd. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-1357: Ian Beer på Google Project Zero

  • launchd

    Tillgänglig på: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Ett heltalsspill förekom i launchd. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-1358: Ian Beer på Google Project Zero

  • launchd

    Tillgänglig på: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Ett heltalsunderskott förekom i launchd. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-1359: Ian Beer på Google Project Zero

  • Lockdown

    Tillgänglig på: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En angripare som hade en iOS-enhet hade möjlighet att kringgå aktiveringslåset

    Beskrivning: Enheter utförde ofullständiga kontroller under enhetsaktiveringen, vilket gjorde att en angripare delvis kunde kringgå aktiveringslåset. Problemet åtgärdades genom ytterligare verifiering av de data som tas emot från aktiveringsservrarna på klientsidan.

    CVE-ID

    CVE-2014-1360

  • Den låsta skärmen

    Tillgänglig på: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En angripare som hade en enhet kunde överskrida gränsen för antalet misslyckade försök att ange lösenkoden

    Beskrivning: Under vissa omständigheter upprätthölls inte gränsen för antalet misslyckade försök att ange lösenkoden. Problemet åtgärdades genom ytterligare kontroller av att gränsen upprätthålls.

    CVE-ID

    CVE-2014-1352: mblsec

  • Den låsta skärmen

    Tillgänglig på: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En person med fysisk åtkomst till en låst enhet kan få åtkomst till det program som var aktivt före låsningen

    Beskrivning: Ett problem med tillståndshantering förekom vid hantering av telefonens tillstånd i flygplansläge. Problemet åtgärdades via förbättrad tillståndshantering när flygplansläget är aktivt.

    CVE-ID

    CVE-2014-1353

  • Mail

    Tillgänglig på: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: E-postbilagor kan extraheras från en iPhone 4

    Beskrivning: Dataskydd var inte aktiverat för e-postbilagor, vilket gjorde att de kunde läsas av en angripare med fysisk åtkomst till enheten. Problemet åtgärdades genom att krypteringsklassen för e-postbilagor ändrades.

    CVE-ID

    CVE-2014-1348: Andreas Kurtz på NESO Security Labs

  • Safari

    Tillgänglig på: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras

    Beskrivning: Ett problem med användning av tidigare använt minne förekom i Safaris hantering av ogiltiga webbadresser. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2014-1349: Reno Robert och Dhanesh Kizhakkinan

  • Inställningar

    Tillgänglig på: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En person med fysisk åtkomst till enheten kan inaktivera Hitta min iPhone utan att ange ett iCloud-lösenord

    Beskrivning: Ett problem med tillståndshantering förekom i hanteringen av Hitta min iPhone-tillståndet. Problemet åtgärdades genom förbättrad hantering av Hitta min iPhone-tillståndet.

    CVE-ID

    CVE-2014-1350

  • Secure Transport

    Tillgänglig på: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Två byte av oinitierat minne kunde avslöjas för en fjärrangripare

    Beskrivning: Ett oinitierat minnesåtkomstproblem förekom i hanteringen av DTLS-meddelanden i en TLS-anslutning. Problemet åtgärdades genom att endast DTLS-meddelanden accepteras i en DTLS-anslutning.

    CVE-ID

    CVE-2014-1361: Thijs Alkemade på The Adium Project

  • Siri

    Tillgänglig på: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad (3:e generationen) och senare

    Effekt: En person med fysisk tillgång till telefonen kan eventuellt visa alla kontakter

    Beskrivning: Om en Siri-förfrågan refererar till en eller flera kontakter visar Siri en lista med möjliga kontakter samt alternativet Mer som kan användas till att visa en fullständig kontaktlista. Om detta används när skärmen är låst kräver Siri inte lösenkoden innan hela kontaktlistan visas. Problemet åtgärdades genom att lösenkoden nu måste anges.

    CVE-ID

    CVE-2014-1351: Sherif Hashim

  • WebKit

    Tillgänglig på: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras

    Beskrivning: Flera minnesfel förekom i WebKit. Dessa problem åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2013-2875: miaubiz

    CVE-2013-2927: cloudfuzzer

    CVE-2014-1323: banty

    CVE-2014-1325: Apple

    CVE-2014-1326: Apple

    CVE-2014-1327: Google Chrome Security Team, Apple

    CVE-2014-1329: Google Chrome Security Team

    CVE-2014-1330: Google Chrome Security Team

    CVE-2014-1331: cloudfuzzer

    CVE-2014-1333: Google Chrome Security Team

    CVE-2014-1334: Apple

    CVE-2014-1335: Google Chrome Security Team

    CVE-2014-1336: Apple

    CVE-2014-1337: Apple

    CVE-2014-1338: Google Chrome Security Team

    CVE-2014-1339: Atte Kettunen på OUSPG

    CVE-2014-1341: Google Chrome Security Team

    CVE-2014-1342: Apple

    CVE-2014-1343: Google Chrome Security Team

    CVE-2014-1362: Apple, miaubiz

    CVE-2014-1363: Apple

    CVE-2014-1364: Apple

    CVE-2014-1365: Apple, Google Chrome Security Team

    CVE-2014-1366: Apple

    CVE-2014-1367: Apple

    CVE-2014-1368: Wushi på Keen Team (Keen Cloud Techs forskningsgrupp)

    CVE-2014-1382: Renata Hodovan vid universitetet i Szeged/Samsung Electronics

    CVE-2014-1731 : en anonym medlem av utvecklargemenskapen Blink

  • WebKit

    Tillgänglig på: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En skadlig webbplats kan skicka meddelanden till en ansluten ram eller fönster på ett sätt som kan kringgå mottagarens ursprungskontroll

    Beskrivning: Ett kodningsproblem fanns i hanteringen av unicode-tecken i webbadresser. En webbadress med skadligt innehåll kunde medföra att ett felaktigt postMessage-ursprung sändes. Problemet åtgärdades genom förbättrad kodning/avkodning.

    CVE-ID

    CVE-2014-1346: Erling Ellingsen på Facebook

  • WebKit

    Tillgänglig på: iPhone 4 och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En uppsåtligt skadlig webbplats kan styra om sitt domännamn i adressfältet

    Beskrivning: Ett problem med omstyrning förekom i hanteringen av webbadresser. Det här problemet åtgärdades genom förbättrad kodning av webbadresser.

    CVE-ID

    CVE-2014-1345: Erling Ellingsen på Facebook

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: