关于 iOS 7.1.1 的安全性内容

本文介绍了 iOS 7.1.1 的安全性内容。

为保护我们的客户,在未进行详尽调查并推出必要的修补程序或发行版之前,Apple 不会公开、讨论或确认安全性问题。要了解有关 Apple 产品安全性的更多信息,请参阅“Apple 产品安全性”网站。

有关 Apple 产品安全性 PGP 密钥的信息,请参阅“如何使用 Apple 产品安全性 PGP 密钥”。

如果可能,请使用 CVE ID 来查阅漏洞的详细信息。

要了解有关其他安全性更新的信息,请参阅“Apple 安全性更新”。

iOS 7.1.1

  • CFNetwork HTTPProtocol

    适用于:iPhone 4 及更新机型、iPod touch(第 5 代)及更新机型、iPad 2 及更新机型

    影响:拥有特权网络地位的攻击者可能会获得网站凭证

    说明:即使连接在 Set-Cookie HTTP 标题行填写完整之前已关闭,还是有可能处理该标题。攻击者可能在发送安全设置之前强制将连接关闭,以从 cookie 剥夺安全设置,然后获取不受保护的 cookie 的值。此问题已通过忽略不完整的 HTTP 标题行得到解决。

    CVE-ID

    CVE-2014-1296:巴黎 Inria 的 Prosecco 的 Antoine Delignat-Lavaud

  • IOKit Kernel

    适用于:iPhone 4 及更新机型、iPod touch(第 5 代)及更新机型、iPad 2 及更新机型

    影响:本地用户也许能够读取内核指针,这些指针可用来绕过内核地址空间布局随机化

    说明:存储于 IOKit 对象中的一组内核指针也许能够从用户空间进行检索。此问题已通过从对象删除指针得到解决。

    CVE-ID

    CVE-2014-1320:与 HP 的 Zero Day Initiative 合作的 Google Project Zero 的 Ian Beer

  • 安全性 - 安全传输

    适用于:iPhone 4 及更新机型、iPod touch(第 5 代)及更新机型、iPad 2 及更新机型

    影响:拥有特权网络地位的攻击者可截获数据或更改 SSL 保护区段中所执行的操作

    说明:在“三重握手”攻击中,攻击者可能建立拥有相同密钥和握手的两个连接、将攻击者的数据插入一个连接中,并重新协商,从而几个连接可相互转发。为了防止基于这种情形的攻击,安全传输已进行更改,从而在默认情况下,重新协商必须显示与原始连接中相同的服务器证书。

    CVE-ID

    CVE-2014-1295:位于巴黎 Inria 的 Prosecco 的 Antoine Delignat-Lavaud、Karthikeyan Bhargavan 和 Alfredo Pironti

  • WebKit

    适用于:iPhone 4 及更新机型、iPod touch(第 5 代)及更新机型、iPad 2 及更新机型

    影响:访问恶意制作的网站可能会导致应用软件意外终止或任意代码执行

    说明:WebKit 中存在多个内存损坏问题。这些问题已通过改进内存处理得到解决。

    CVE-ID

    CVE-2013-2871:miaubiz

    CVE-2014-1298:Google Chrome Security Team

    CVE-2014-1299:Google Chrome Security Team、Apple、University of Szeged 的 Renata Hodovan/Samsung Electronics

    CVE-2014-1300:与 HP 的 Zero Day Initiative 合作的 Google Project Zero 的 Ian Beer

    CVE-2014-1302:Google Chrome Security Team、Apple

    CVE-2014-1303:与 HP 的 Zero Day Initiative 合作的 KeenTeam

    CVE-2014-1304:Apple

    CVE-2014-1305:Apple

    CVE-2014-1307:Google Chrome Security Team

    CVE-2014-1308:Google Chrome Security Team

    CVE-2014-1309:cloudfuzzer

    CVE-2014-1310:Google Chrome Security Team

    CVE-2014-1311:Google Chrome Security Team

    CVE-2014-1312:Google Chrome Security Team

    CVE-2014-1313:Google Chrome Security Team

    CVE-2014-1713:与 HP 的 Zero Day Initiative 合作的 VUPEN

有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考,不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。联系供应商以了解其他信息。

发布日期: