Om sikkerhedsindholdet i iOS 8.1.3

Dette dokument beskriver sikkerhedsindholdet i iOS 8.1.3

Af hensyn til vores kunders sikkerhed omtaler, diskuterer eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed kan ses i artiklen Sådan bruges PGP-nøglen til Apple-produktsikkerhed.

Hvor det er muligt, bruges der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.

iOS 8.1.3

  • AppleFileConduit

    Fås til: iPhone 4s og nyere, iPod touch (5. generation) og nyere, iPad 2 og nyere

    Effekt: En skadelig afc-kommando kan muligvis give adgang til beskyttede dele af arkivsystemet

    Beskrivelse: Der var en sikkerhedsrisiko i den symbolske sammenkædningsmekanisme for afc. Dette problem blev løst ved at tilføje yderligere stikontroller.

    CVE-ID

    CVE-2014-4480: TaiG Jailbreak Team

  • CoreGraphics

    Fås til: iPhone 4s og nyere, iPod touch (5. generation) og nyere, iPad 2 og nyere

    Effekt: Åbning af et skadeligt PDF-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et heltalsoverløb ved behandling af PDF-arkiver. Problemet er løst via forbedret kontrol af grænser.

    CVE-ID

    CVE-2014-4481: Felipe Andres Manzano fra Binamuse VRT, via iSIGHT Partners GVP Program

  • dyld

    Fås til: iPhone 4s og nyere, iPod touch (5. generation) og nyere, iPad 2 og nyere

    Effekt: En lokal bruger kan muligvis køre usigneret kode

    Beskrivelse: Der var et problem med tilstandshåndtering ved behandling af eksekverbare Mach-O-arkiver med overlappende segmenter. Dette problem blev løst via forbedret godkendelse af segmentstørrelser.

    CVE-ID

    CVE-2014-4455: TaiG Jailbreak Team

  • FontParser

    Fås til: iPhone 4s og nyere, iPod touch (5. generation) og nyere, iPad 2 og nyere

    Effekt: Åbning af et skadeligt PDF-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et bufferoverløb ved behandling af skriftarkiver. Problemet er løst via forbedret kontrol af grænser.

    CVE-ID

    CVE-2014-4483: Apple

  • FontParser

    Fås til: iPhone 4s og nyere, iPod touch (5. generation) og nyere, iPad 2 og nyere

    Effekt: Behandling af et skadeligt .dfont-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med beskadiget hukommelse ved behandling af .dfont-arkiver. Problemet er løst via forbedret kontrol af grænser.

    CVE-ID

    CVE-2014-4484: Gaurav Baruah, som arbejder for HP's Zero Day Initiative

  • Foundation

    Fås til: iPhone 4s og nyere, iPod touch (5. generation) og nyere, iPad 2 og nyere

    Effekt: Visning af et skadeligt XML-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et bufferoverløb i XML-parseren. Problemet er løst via forbedret kontrol af grænser.

    CVE-ID

    CVE-2014-4485: Apple

  • IOAcceleratorFamily

    Fås til: iPhone 4s og nyere, iPod touch (5. generation) og nyere, iPad 2 og nyere

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var en reference til en null-pointer i IOAcceleratorFamilys håndtering af ressourcelister. Problemet er løst ved at fjerne unødvendig kode.

    CVE-ID

    CVE-2014-4486: Ian Beer fra Google Project Zero

  • IOHIDFamily

    Fås til: iPhone 4s og nyere, iPod touch (5. generation) og nyere, iPad 2 og nyere

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et bufferoverløb i IOHIDFamily. Problemet er løst via forbedret godkendelse af størrelse.

    CVE-ID

    CVE-2014-4487: TaiG Jailbreak Team

  • IOHIDFamily

    Fås til: iPhone 4s og nyere, iPod touch (5. generation) og nyere, iPad 2 og nyere

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et godkendelsesproblem i IOHIDFamilys håndtering af metadata til ressourcekøen. Problemet er løst ved forbedret godkendelse af metadata.

    CVE-ID

    CVE-2014-4488: Apple

  • IOHIDFamily

    Fås til: iPhone 4s og nyere, iPod touch (5. generation) og nyere, iPad 2 og nyere

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var en reference til en null-pointer i IOHIDFamilys håndtering af hændelseskøer. Problemet er løst ved forbedret godkendelse.

    CVE-ID

    CVE-2014-4489: @beist

  • iTunes Store

    Fås til: iPhone 4s og nyere, iPod touch (5. generation) og nyere, iPad 2 og nyere

    Effekt: Et websted kan muligvis omgå sandbox-begrænsninger ved hjælp af iTunes Store

    Beskrivelse: Der var et problem med behandling af URL'er, der var omdirigeret fra Safari til iTunes Store, som kunne gøre det muligt for et skadeligt websted at omgå sandbox-begrænsningerne i Safari. Problemet blev løst via forbedret filtrering af URL'er, der er åbnet af iTunes Store.

    CVE-ID

    CVE-2014-8840: lokihardt@ASRT, som arbejder for HP's Zero Day Initiative

  • Kerberos

    Fås til: iPhone 4s og nyere, iPod touch (5. generation) og nyere, iPad 2 og nyere

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Kerberos-biblioteket libgssapi returnerede et konteksttoken med en efterstillet pointer. Problemet blev løst gennem forbedret statusadministration.

    CVE-ID

    CVE-2014-5352

  • Kernel

    Fås til: iPhone 4s og nyere, iPod touch (5. generation) og nyere, iPad 2 og nyere

    Effekt: Skadelige eller kompromitterede iOS-programmer kan muligvis fastslå adresser i kernen

    Beskrivelse: Der var et problem med afsløring af oplysninger ved behandling af API'er relateret til kerneudvidelser. Svar, der indeholder en OSBundleMachOHeaders-nøgle, har muligvis inkluderet kerneadresser, som kan hjælpe med at omgå randomiseringsbeskyttelse af adresserummets layout. Problemet er løst ved at sikre adresserne, før de returneres.

    CVE-ID

    CVE-2014-4491: @PanguTeam, Stefan Esser

  • Kernel

    Fås til: iPhone 4s og nyere, iPod touch (5. generation) og nyere, iPad 2 og nyere

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et problem i kernens undersystem til delt hukommelse, som gjorde det muligt for en hacker at skrive til hukommelse, som skulle have været skrivebeskyttet. Dette problem blev løst med en strengere kontrol af tilladelser til delt hukommelse.

    CVE-ID

    CVE-2014-4495: Ian Beer fra Google Project Zero

  • Kernel

    Fås til: iPhone 4s og nyere, iPod touch (5. generation) og nyere, iPad 2 og nyere

    Effekt: Skadelige eller kompromitterede iOS-programmer kan muligvis fastslå adresser i kernen

    Beskrivelse: mach_port_kobject-kernens grænseflade lækkede kerneadresser og heap-omplaceringsværdi, hvilket kan hjælpe med at omgå randomiseringsbeskyttelse af adresserummets layout. Dette blev løst ved at deaktivere mach_port_kobject-grænsefladen i produktionskonfigurationer.

    CVE-ID

    CVE-2014-4496: TaiG Jailbreak Team

  • libnetcore

    Fås til: iPhone 4s og nyere, iPod touch (5. generation) og nyere, iPad 2 og nyere

    Effekt: En skadelig sandbox-app kan kompromittere networkd-daemon

    Beskrivelse: Der var flere problemer med typeforvirring i networkds håndtering af kommunikation mellem processer. Ved at sende en skadelig meddelelse til networkd kunne der køres vilkårlig kode som networkd-processen. Problemet blev løst via yderligere typekontrol.

    CVE-ID

    CVE-2014-4492: Ian Beer fra Google Project Zero

  • MobileInstallation

    Fås til: iPhone 4s og nyere, iPod touch (5. generation) og nyere, iPad 2 og nyere

    Effekt: Et skadeligt virksomhedssigneret program kan muligvis overtage kontrollen over den lokale container for programmer, der allerede er på en enhed

    Beskrivelse: Der var en sikkerhedsrisiko i programmets installeringsproces. Dette blev løst ved at forhindre virksomhedsprogrammer i at tilsidesætte eksisterende programmer i specifikke scenarier.

    CVE-ID

    CVE-2014-4493: Hui Xue og Tao Wei fra FireEye, Inc.

  • Springboard

    Fås til: iPhone 4s og nyere, iPod touch (5. generation) og nyere, iPad 2 og nyere

    Effekt: Virksomhedssignerede programmer kan muligvis starte uden at bede om godkendelse

    Beskrivelse: Der var et problem med at finde ud af, hvornår der skulle bedes om godkendelse, når et virksomhedssigneret program blev åbnet første gang. Problemet blev løst via forbedret godkendelse af kodesignatur.

    CVE-ID

    CVE-2014-4494: Song Jin, Hui Xue og Tao Wei fra FireEye, Inc.

  • WebKit

    Fås til: iPhone 4s og nyere, iPod touch (5. generation) og nyere, iPad 2 og nyere

    Effekt: Besøg på et websted, som bruger skadeligt indhold, kan medføre manipulering med brugergrænsefladen

    Beskrivelse: Der var et problem med manipulering af brugergrænsefladen ved håndtering af grænser på rullepanelet. Problemet er løst via forbedret kontrol af grænser.

    CVE-ID

    CVE-2014-4467: Jordan Milne

  • WebKit

    Fås til: iPhone 4s og nyere, iPod touch (5. generation) og nyere, iPad 2 og nyere

    Effekt: Formatark indlæses på tværs af oprindelsessteder, hvilket kan gøre det muligt at eksfiltrere data

    Beskrivelse: Et SVG-objekt, der er indlæst i et IMG-element, kan indlæse et CSS-arkiv på tværs af oprindelsessteder. Problemet er løst ved forbedret blokering af eksterne CSS-referencer i SVG-objekter.

    CVE-ID

    CVE-2014-4465: Rennie deGraaf fra iSEC Partners

  • WebKit

    Fås til: iPhone 4s og nyere, iPod touch (5. generation) og nyere, iPad 2 og nyere

    Effekt: Besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var flere problemer med beskadiget hukommelse i WebKit. Problemerne er løst ved forbedret håndtering af hukommelsen.

    CVE-ID

    CVE-2014-3192: cloudfuzzer

    CVE-2014-4459

    CVE-2014-4466: Apple

    CVE-2014-4468: Apple

    CVE-2014-4469: Apple

    CVE-2014-4470: Apple

    CVE-2014-4471: Apple

    CVE-2014-4472: Apple

    CVE-2014-4473: Apple

    CVE-2014-4474: Apple

    CVE-2014-4475: Apple

    CVE-2014-4476: Apple

    CVE-2014-4477: lokihardt@ASRT, som arbejder for HP's Zero Day Initiative

    CVE-2014-4479: Apple

Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.

Udgivelsesdato: