Informacije o sigurnosnom sadržaju sustava iOS 7.1.2
U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 7.1.2.
Radi zaštite svojih klijenata Apple ne otkriva sigurnosne probleme, ne razgovara o njima niti ih potvrđuje do dovršetka cjelovite istrage te objavljivanja potrebnih zakrpa i izdanja. Da biste doznali više o sigurnosti Appleovih proizvoda, idite na web-mjesto Sigurnost Appleovih proizvoda.
Informacije o PGP ključu za zaštitu Appleovih proizvoda potražite u članku Korištenje PGP ključa za zaštitu Appleovih proizvoda.
Kada je moguće, slabe točke označene su CVE ID-ovima, pomoću kojih je moguće pronaći dodatne informacije.
Da biste doznali više o sigurnosnim ažuriranjima, pročitajte članak Appleova sigurnosna ažuriranja.
iOS 7.1.2
Pravilnik o pouzdanosti certifikata
Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: ažuriranje pravilnika o pouzdanosti certifikata
Opis: ažurirao se pravilnik o pouzdanosti certifikata. Potpuni popis certifikata možete vidjeti na stranici http://support.apple.com/kb/HT5012?viewlocale=hr_HR.
Jezgrena grafika
Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: pokretanje zlonamjerne XBM datoteke moglo je uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda
Opis: u načinu obrade XBM datoteka otkriven je problem s dodjelom neograničenih stogova. Taj je problem riješen poboljšanom provjerom ograničenja.
CVE-ID
CVE-2014-1354: Dima Kovalenko (codedigging.com)
Kernel
Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: neka je aplikacija mogla uzrokovati neočekivano ponovno pokretanje uređaja
Opis: dereferenca pokazivača s vrijednošću null otkrivena je u rukovanju API argumentima za IOKit. Taj je problem riješen dodatnom provjerom API argumenata za IOKit.
CVE-ID
CVE-2014-1355: cunzhang (Adlab, Venustech)
launchd
Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: uz sistemske ovlasti zlonamjerna aplikacija mogla je izvršiti arbitrarni kod
Opis: u načinu na koji funkcija launchd obrađuje IPC poruke otkriveno je veliko prekoračenje međuspremnika. Taj je problem riješen poboljšanom provjerom ograničenja.
CVE-ID
CVE-2014-1356: Ian Beer (Google Project Zero)
launchd
Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: uz sistemske ovlasti zlonamjerna aplikacija mogla je izvršiti arbitrarni kod
Opis: u načinu na koji funkcija launchd obrađuje poruke zapisnika otkriveno je veliko prekoračenje međuspremnika. Taj je problem riješen poboljšanom provjerom ograničenja.
CVE-ID
CVE-2014-1357: Ian Beer (Google Project Zero)
launchd
Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: uz sistemske ovlasti zlonamjerna aplikacija mogla je izvršiti arbitrarni kod
Opis: u funkciji launchd otkriveno je prekoračenje cijelih brojeva. Taj je problem riješen poboljšanom provjerom ograničenja.
CVE-ID
CVE-2014-1358: Ian Beer (Google Project Zero)
launchd
Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: uz sistemske ovlasti zlonamjerna aplikacija mogla je izvršiti arbitrarni kod
Opis: u funkciji launchd otkriven je podbačaj cijelih brojeva. Taj je problem riješen poboljšanom provjerom ograničenja.
CVE-ID
CVE-2014-1359: Ian Beer (Google Project Zero)
Zaključavanje
Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: napadač koji otuđi iOS uređaj mogao je zaobići zaključavanje aktivacije
Opis: uređaji nisu provodili potpune provjere prilikom aktivacije, što je zlonamjernim pojedincima omogućilo djelomični zaobilazak zaključavanja aktivacije. Taj je problem riješen dodatnom klijentskom provjerom podataka primljenih s aktivacijskih poslužitelja.
CVE-ID
CVE-2014-1360
Zaključani zaslon
Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: napadač koji otuđi uređaj mogao je prekoračiti maksimalni broj neuspjelih pokušaja unosa lozinke
Opis: u nekim se slučajevima nije provodilo ograničenje broja neuspjelih pokušaja unosa lozinke. Problem je riješen uvođenjem dodatnog provođenja ograničenja.
CVE-ID
CVE-2014-1352: mblsec
Zaključani zaslon
Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: osoba s fizičkim pristupom zaključanom uređaju mogla je pristupiti aplikaciji koja je bila pokrenuta u prednjem planu prije zaključavanja
Opis: u načinu obrade stanja telefonije u zrakoplovnom modu otkriven je problem s upravljanjem stanjem. Problem je riješen poboljšanim stanjem upravljanja u zrakoplovnom modu.
CVE-ID
CVE-2014-1353
Mail
Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: s uređaja iPhone 4 bilo je moguće izdvojiti privitke maila
Opis: zaštita podataka nije bila uključena za privitke pošte, što je napadaču s fizičkim pristupom uređaju omogućivalo njihovo čitanje. Taj je problem riješen promjenom klase enkripcije privitaka maila.
CVE-ID
CVE-2014-1348: Andreas Kurtz (NESO Security Labs)
Safari
Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda
Opis: u načinu na koji je Safari obrađivao URL-ove koji nisu valjani otkriven je problem s korištenjem nakon oslobađanja. Taj je problem riješen poboljšanim upravljanjem memorijom.
CVE-ID
CVE-2014-1349: Reno Robert i Dhanesh Kizhakkinan
Postavke
Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: osoba s fizičkim pristupom uređaju mogla je bez unosa lozinke za iCloud onemogućiti opciju Nađi moj iPhone
Opis: problem upravljanja stanjem pojavio se prilikom upravljanja stanjem opcije Nađi moj iPhone. Taj je problem riješen poboljšanim upravljanjem opcijom stanja Nađi moj iPhone.
CVE-ID
CVE-2014-1350
Sigurni prijenos
Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: udaljeni napadač mogao je doći do dva bajta neinicijalizirane memorije
Opis: u načinu obrade DTLS poruka u TLS vezi postojao je problem s pristupom neinicijaliziranoj memoriji. Taj je problem riješen tako što se u DTLS vezi prihvaćaju samo DTLS poruke.
CVE-ID
CVE-2014-1361: Thijs Alkemade (The Adium Project)
Siri
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad (treće generacije) i novije verzije
Učinak: osoba s fizičkim pristupom uređaju mogla je pregledavati sve kontakte
Opis: ako Siri pošalje zahtjev koji se odnosi na jedan od nekoliko kontakata, pojavit će se popis mogućih odabira i mogućnost "Više..." za prikaz cijelog popisa kontakata. Prilikom korištenja na zaključanom zaslonu Siri nije tražila lozinku za prikaz cijelog popisa kontakata. Problem je riješen tako što je sada potreban unos lozinke.
CVE-ID
CVE-2014-1351: Sherif Hashim
WebKit
Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda
Opis: u WebKitu je otkriven veći broj problema s neispravnom memorijom. Ti su problemi riješeni poboljšanim rukovanjem memorijom.
CVE-ID
CVE-2013-2875: miaubiz
CVE-2013-2927: cloudfuzzer
CVE-2014-1323: banty
CVE-2014-1325: Apple
CVE-2014-1326: Apple
CVE-2014-1327: tim za sigurnost preglednika Google Chrome, Apple
CVE-2014-1329: tim za sigurnost preglednika Google Chrome
CVE-2014-1330: tim za sigurnost preglednika Google Chrome
CVE-2014-1331: cloudfuzzer
CVE-2014-1333: tim za sigurnost preglednika Google Chrome
CVE-2014-1334: Apple
CVE-2014-1335: tim za sigurnost preglednika Google Chrome
CVE-2014-1336: Apple
CVE-2014-1337: Apple
CVE-2014-1338: tim za sigurnost preglednika Google Chrome
CVE-2014-1339: Atte Kettunen (OUSPG)
CVE-2014-1341: tim za sigurnost preglednika Google Chrome
CVE-2014-1342: Apple
CVE-2014-1343: tim za sigurnost preglednika Google Chrome
CVE-2014-1362: Apple, miaubiz
CVE-2014-1363: Apple
CVE-2014-1364: Apple
CVE-2014-1365: Apple, tim za sigurnost preglednika Google Chrome
CVE-2014-1366: Apple
CVE-2014-1367: Apple
CVE-2014-1368: Wushi iz tima Keen (istraživački tim Keen Cloud Tech)
CVE-2014-1382: Renata Hodovan (Sveučilište Szeged/Samsung Electronics)
CVE-2014-1731: anonimni član razvojne zajednice Blink
WebKit
Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: zlonamjerno web-mjesto moglo je slati poruke povezanom okviru ili prozoru i na taj način zaobići primateljevu provjeru podrijetla
Opis: u načinu obrade Unicode znakova u URL-ovima otkriven je problem s kodiranjem. Zlonamjerni URL mogao je dovesti do slanja netočnog podrijetla značajke postMessage. Problem je riješen poboljšanim kodiranjem/dekodiranjem.
CVE-ID
CVE-2014-1346: Erling Ellingsen (Facebook)
WebKit
Dostupno za: iPhone 4 i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: zlonamjerno web-mjesto moglo je lažirati svoj naziv domene na adresnoj traci
Opis: u načinu obrade URL-ova otkriven je problem s lažiranjem. Problem je riješen poboljšanim kodiranjem URL-ova.
CVE-ID
CVE-2014-1345: Erling Ellingsen (Facebook)
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.