Om säkerhetsinnehållet i iOS 8.1.3

I den här artikeln finns information om säkerhetsinnehållet i iOS 8.1.3

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen Apple produktsäkerhet.

Mer information om Apples PGP-nyckel för produktsäkerhet finns i Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om andra säkerhetsuppdateringar finns på Säkerhetsuppdateringar från Apple.

iOS 8.1.3

  • AppleFileConduit

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt AFC-kommando kan ge åtkomst till skyddade delar av filsystemet

    Beskrivning: En sårbarhet förekom i funktionen för symbolisk länk i AFC. Problemet åtgärdades genom utökade sökvägskontroller.

    CVE-ID

    CVE-2014-4480 : TaiG Jailbreak Team

  • CoreGraphics

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Öppning av en skadlig PDF-fil kan leda till att program avslutas oväntat eller att opålitlig kod körs

    Beskrivning: Ett heltalsspill förekom vid hantering av PDF-filer. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-4481 : Felipe Andres Manzano på Binamuse VRT via iSIGHT Partners GVP Program

  • dyld

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En lokal användare kan köra osignerad kod

    Beskrivning: Det förekom ett statushanteringsproblem vid hanteringen av körbara Mach-O-filer med överlappande segment. Problemet åtgärdades genom förbättrad validering av segmentstorlek.

    CVE-ID

    CVE-2014-4455 : TaiG Jailbreak Team

  • FontParser

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Öppning av en skadlig PDF-fil kan leda till att program avslutas oväntat eller att opålitlig kod körs

    Beskrivning: Ett buffertspill förekom vid hanteringen av typsnittsfiler. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-4483 : Apple

  • FontParser

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Bearbetning av en skadlig .dfont-fil kan leda till att program avslutas oväntat eller att opålitlig kod körs

    Beskrivning: Ett minnesfel förekom när .dfont-filer hanterades. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-4484 : Gaurav Baruah i samarbete med HP:s Zero Day Initiative

  • Grund

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Visning av en skadlig XML-fil kan leda till att program avslutas oväntat eller att opålitlig kod körs

    Beskrivning: Ett buffertspill förekom i XML-tolkaren. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-4485 : Apple

  • IOAcceleratorFamily

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: En nollpekarreferens förekom vid hantering av resurslistor i IOAcceleratorFamily. Problemet åtgärdades genom att ta bort onödig kod.

    CVE-ID

    CVE-2014-4486 : Ian Beer på Google Project Zero

  • IOHIDFamily

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Ett buffertspill förekom i IOHIDFamily. Problemet åtgärdades genom förbättrad storleksvalidering.

    CVE-ID

    CVE-2014-4487 : TaiG Jailbreak Team

  • IOHIDFamily

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Ett valideringsproblem förekom vid hantering av resurskö-metadata i IOHIDFamily. Problemet åtgärdades genom förbättrad validering av metadata.

    CVE-ID

    CVE-2014-4488 : Apple

  • IOHIDFamily

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: En nollpekarreferens förekom vid hantering av händelseköer i IOHIDFamily. Problemet åtgärdades genom förbättrad validering.

    CVE-ID

    CVE-2014-4489 : @beist

  • iTunes Store

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En webbplats kan kringgå begränsningar i sandlådan med hjälp av iTunes Store

    Beskrivning: Ett problem med hanteringen av omdirigerade URL:er från Safari till iTunes Store gjorde att skadliga webbplatser kunde kringgå Safaris begränsningar i sandlådan. Problemet åtgärdades genom förbättrad filtrering av URL:er som öppnas i iTunes Store.

    CVE-ID

    CVE-2014-8840 : lokihardt@ASRT i samarbete med HP:s Zero Day Initiative

  • Kerberos

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Kerberos libgssapi-biblioteket returnerade en kontexttoken med en nullpekare. Problemet åtgärdades genom förbättrad statushantering.

    CVE-ID

    CVE-2014-5352

  • Kärna

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Skadliga eller modifierade iOS-appar kan bestämma adresser i kärnan

    Beskrivning: Ett problem med avslöjande av information förekom vid hanteringen av API:er relaterade till kärntillägg. Svar innehållande en OSBundleMachOHeaders-nyckel kan ha omfattat kärnadresser, som kan bidra till att kringgå ASLR-skydd (address space layout randomization). Problemet åtgärdades genom att adresserna togs bort innan de returnerades.

    CVE-ID

    CVE-2014-4491 : @PanguTeam, Stefan Esser

  • Kärna

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Ett problem förekom i det delade delsystemet för kärnminne, vilket tillät en fjärrangripare att skriva till ett minne som var avsett att vara skrivskyddat. Problemet åtgärdades genom striktare behörighetskontroll för delade minnen.

    CVE-ID

    CVE-2014-4495 : Ian Beer på Google Project Zero

  • Kärna

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Skadliga eller modifierade iOS-appar kan bestämma adresser i kärnan

    Beskrivning: Kärngränssnittet mach_port_kobject läckte kärnadresser och heap permutation-värden, vilket kan bidra till att kringgå ASLR-skydd (address space layout randomization). Problemet åtgärdades genom att inaktivera mach_port_kobject-gränssnittet i produktionskonfigurationer.

    CVE-ID

    CVE-2014-4496 : TaiG Jailbreak Team

  • libnetcore

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Ett skadligt sandlådeprogram kan utsätta networkd daemon för risk

    Beskrivning: Det förekom flera typer av sammanblandningsproblem vid hantering av interprocesskommunikationen i networkd. Genom att skicka ett skadligt meddelande till networkd kan det ha varit möjligt att köra opålitlig kod som networkd-process. Problemet åtgärdades genom utökad typkontroll.

    CVE-ID

    CVE-2014-4492 : Ian Beer på Google Project Zero

  • MobileInstallation

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: En skadlig företagssignerad app kan lyckas ta kontroll över den lokala behållaren för appar som redan finns på en enhet

    Beskrivning: En sårbarhet förekom i appens installationsprocess. Problemet åtgärdades genom att förhindra företagsappar från att skriva över befintliga appar i specifika situationer.

    CVE-ID

    CVE-2014-4493 : Hui Xue och Tao Wei of FireEye, Inc.

  • Hemskärm

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Företagssignerade appar kan startas utan att användaren behöver ange att de är betrodda

    Beskrivning: Ett problem förekom vid fastställandet av när en företagsapp ska anges som betrodd första gången den öppnas. Problemet åtgärdades genom förbättrad validering av kodsignatur.

    CVE-ID

    CVE-2014-4494 : Song Jin, Hui Xue och Tao Wei of FireEye, Inc.

  • WebKit

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Besök på en webbplats som innehåller skadligt innehåll kan leda till UI-förfalskning

    Beskrivning: Ett problem med UI-förfalskning förekom vid hantering av rullningslistens gränser. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-4467 : Jordan Milne

  • WebKit

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Formatmallar läses in med olika källor, vilket kan tillåta exfiltrering av data

    Beskrivning: En SVG-fil som läses in i ett img-element kan läsa in en CSS-fil med annan källa. Problemet åtgärdades genom förbättrad blockering av externa CSS-referenser i SVG-filer.

    CVE-ID

    CVE-2014-4465 : Rennie deGraaf på iSEC Partners

  • WebKit

    Tillgänglig för: iPhone 4s och senare, iPod touch (5:e generationen) och senare, iPad 2 och senare

    Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras

    Beskrivning: Flera minnesfel förekom i WebKit. Dessa problem åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2014-3192 : cloudfuzzer

    CVE-2014-4459

    CVE-2014-4466 : Apple

    CVE-2014-4468 : Apple

    CVE-2014-4469 : Apple

    CVE-2014-4470 : Apple

    CVE-2014-4471 : Apple

    CVE-2014-4472 : Apple

    CVE-2014-4473 : Apple

    CVE-2014-4474 : Apple

    CVE-2014-4475 : Apple

    CVE-2014-4476 : Apple

    CVE-2014-4477 : lokihardt@ASRT i samarbete med HP:s Zero Day Initiative

    CVE-2014-4479 : Apple

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: