Samen met iOS 7.1vennootschap Apple gepubliceerd inclusief een document waarin alle beveiligingsproblemen worden beschreven die zijn opgelost in de nieuwe versie van het besturingssysteem, inclusief veel exploits die in de oplossing zijn gebruikt jailbreak evasi0n7. Door deze kwetsbaarheden te verhelpen, kan het bedrijf Apple hij gaf de hackers van het team de eer Evad3rs, die de oplossing ontwikkelde van ongebonden jailbreak voor iOS 7, ze worden genoemd in het geval van verschillende kwetsbaarheden die zijn gesloten Apple.
Los van die van Evad3rs crediteert Apple er ook één Romeins in uw veiligheidsdocument, Bogdan Alecu van M-sec.net die een kwetsbaarheid ontdekt waardoor iOS via LockScreen kan worden misbruikt.
● backup
Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een kwaadwillig vervaardigde back-up kan het bestandssysteem wijzigen
Beschrijving: een symbolische link in een back-up wordt hersteld, waardoor daaropvolgende bewerkingen tijdens het herstel naar de rest van het bestandssysteem kunnen schrijven. Dit probleem is verholpen door te controleren op symbolische koppelingen tijdens het herstelproces.
CVE-2013-5133: evad3rs● Certificaatvertrouwensbeleid
Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: rootcertificaten zijn bijgewerkt
Beschrijving: er zijn verschillende certificaten toegevoegd aan of verwijderd uit de lijst met systeemroots.● Configuratieprofielen
Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: de vervaldatums van het profiel werden niet gerespecteerd
Beschrijving: de vervaldatums van mobiele configuratieprofielen zijn niet correct geëvalueerd. Het probleem is opgelost door een verbeterde verwerking van configuratieprofielen.
CVE-2014-1267● CoreCapture
Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een kwaadaardig programma kan een onverwachte beëindiging van het systeem veroorzaken
Beschrijving: er was een probleem met de bereikbare bewering bij de verwerking van IOKit API-aanroepen door CoreCapture. Het probleem is verholpen door een aanvullende validatie van de input van IOKit.
CVE-2014-1271: Filippo Bigarella● Crashrapportage
Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een lokale gebruiker kan mogelijk de machtigingen voor willekeurige bestanden wijzigen
Beschrijving: CrashHouseKeeping volgde symbolische koppelingen tijdens het wijzigen van de machtigingen voor bestanden. Dit probleem is verholpen door symbolische koppelingen niet te volgen bij het wijzigen van machtigingen voor bestanden.
CVE-2014-1272: evad3rs● dylde
Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: de vereisten voor het ondertekenen van code kunnen worden omzeild
Beschrijving: Instructies voor het verplaatsen van tekst in dynamische bibliotheken kunnen door dyld worden geladen zonder validatie van de codehandtekening. Dit probleem is verholpen door de instructies voor het verplaatsen van tekst te negeren.
CVE-2014-1273: evad3rs● FaceTime
Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een persoon met fysieke toegang tot het apparaat heeft mogelijk toegang tot FaceTime-contacten vanaf het vergrendelingsscherm
Beschrijving: FaceTime-contacten op een vergrendeld apparaat kunnen zichtbaar worden gemaakt door een mislukte FaceTime-oproep te plaatsen vanaf het vergrendelscherm. Dit probleem is verholpen door een verbeterde afhandeling van FaceTime-oproepen.
CVE-2014-1274● ImageIO
Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: het bekijken van een kwaadwillig vervaardigd PDF-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een bufferoverloop bij de verwerking van JPEG2000-afbeeldingen in PDF-bestanden. Dit probleem is verholpen door een verbeterde grenscontrole.
CVE-2014-1275: Felix Groebert van het Google-beveiligingsteam● ImageIO
Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: het bekijken van een kwaadwillig vervaardigd TIFF-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een bufferoverloop bij de verwerking van TIFF-afbeeldingen door libtiff. Dit probleem is verholpen door aanvullende validatie van TIFF-afbeeldingen.
CVE-2012-2088● ImageIO
Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: het bekijken van een kwaadwillig vervaardigd JPEG-bestand kan leiden tot het vrijgeven van de geheugeninhoud
Beschrijving: er was een probleem met niet-geïnitialiseerde geheugentoegang bij de verwerking van JPEG-markeringen door libjpeg, resulterend in het vrijgeven van de geheugeninhoud. Dit probleem is verholpen door een aanvullende validatie van JPEG-bestanden.
CVE-2013-6629: Michal Zalewski● IOKit HID-evenement
Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een kwaadaardig programma kan gebruikersacties in andere apps monitoren
Beschrijving: dankzij een interface in het IOKit-framework konden kwaadaardige apps gebruikersacties in andere apps monitoren. Dit probleem is verholpen door een verbeterd toegangscontrolebeleid in het raamwerk.
CVE-2014-1276: Min Zheng, Hui Xue en Dr. Tao (Lenx) Wei van FireEye● iTunes Store
Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een man-in-the-middle-aanvaller kan een gebruiker ertoe verleiden een kwaadaardige app te downloaden via Enterprise App Download
Beschrijving: een aanvaller met een geprivilegieerde netwerkpositie kan netwerkcommunicatie vervalsen om een gebruiker te verleiden een kwaadaardige app te downloaden. Dit probleem is verholpen door SSL te gebruiken en de gebruiker te vragen tijdens URL-omleidingen.
CVE-2014-1277: Stefan Esser● pit
Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een lokale gebruiker kan mogelijk een onverwachte systeembeëindiging of uitvoering van willekeurige code in de kernel veroorzaken
Beschrijving: er is een probleem met geheugentoegang buiten het bereik in de ARM ptmx_get_ioctl-functie. Dit probleem is verholpen door een verbeterde grenscontrole.
CVE-2014-1278: evad3rs● Office-kijker
Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: het openen van een kwaadwillig vervaardigd Microsoft Word-document kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een 'double free'-probleem bij de verwerking van Microsoft Word-documenten. Dit probleem is verholpen door een verbeterd geheugenbeheer.
CVE-2014-1252: Felix Groebert van het Google-beveiligingsteam● Foto's Backend
Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: verwijderde afbeeldingen kunnen nog steeds in de Foto's-app verschijnen onder transparante afbeeldingen
Beschrijving: bij het verwijderen van een afbeelding uit de activabibliotheek werden de in de cache opgeslagen versies van de afbeelding niet verwijderd. Dit probleem is verholpen door een verbeterd cachebeheer.
CVE-2014-1281: Walter Hoelblinger van Hoelblinger.com, Morgan Adams, Tom Pennington● Profielen
Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een configuratieprofiel is mogelijk verborgen voor de gebruiker
Beschrijving: er kon een configuratieprofiel met een lange naam op het apparaat worden geladen, maar dit werd niet weergegeven in de profielgebruikersinterface. Het probleem is verholpen door een verbeterde verwerking van profielnamen.
CVE-2014-1282: Assaf Hefetz, Yair Amit en Adi Sharabani van Skycure● Safari
Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: gebruikersreferenties kunnen via automatisch aanvullen worden bekendgemaakt aan een onverwachte site
Beschrijving: Safari heeft mogelijk automatisch ingevulde gebruikersnamen en wachtwoorden in een subframe van een ander domein dan het hoofdframe. Dit probleem is verholpen door een verbeterde tracering van de herkomst.
CVE-2013-5227: Niklas Malmgren van Klarna AB● Instellingen – Accounts
Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een persoon met fysieke toegang tot het apparaat kan Zoek mijn iPhone mogelijk uitschakelen zonder een iCloud-wachtwoord in te voeren
Beschrijving: er was een probleem met het statusbeheer bij de verwerking van de status Zoek mijn iPhone. Dit probleem is verholpen door een verbeterde verwerking van de status Zoek mijn iPhone.
CVE-2014-1284● Springplank
Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een persoon met fysieke toegang tot het apparaat kan mogelijk het startscherm van het apparaat zien, zelfs als het apparaat niet is geactiveerd
Beschrijving: een onverwachte beëindiging van de toepassing tijdens activering kan ervoor zorgen dat de telefoon het startscherm weergeeft. Het probleem is verholpen door een verbeterde foutafhandeling tijdens activering.
CVE-2014-1285: Roboboi99● SpringBoard-vergrendelscherm
Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een aanvaller op afstand kan ervoor zorgen dat het vergrendelingsscherm niet meer reageert
Beschrijving: er was een probleem met statusbeheer op het vergrendelingsscherm. Dit probleem is verholpen door een verbeterd staatsbeheer.
CVE-2014-1286: Bogdan Alecu van M-sec.net● TelephonyUI-framework
Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een webpagina kan een FaceTime-audiogesprek activeren zonder tussenkomst van de gebruiker
Beschrijving: Safari heeft de gebruiker niet geraadpleegd voordat facetime-audio:// URL's werden gestart. Dit probleem is verholpen door een bevestigingsprompt toe te voegen.
CVE-2013-6835: Guillaume Ross● USB Host
Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een persoon met fysieke toegang tot het apparaat kan mogelijk willekeurige code uitvoeren in de kernelmodus
Beschrijving: er is een probleem met geheugenbeschadiging bij de verwerking van USB-berichten. Dit probleem is verholpen door een aanvullende validatie van USB-berichten.
CVE-2014-1287: Andy Davis van NCC Group● video Driver
Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: het afspelen van een kwaadwillig vervaardigde video kan ertoe leiden dat het apparaat niet meer reageert
Beschrijving: er was een probleem met null-dereferentie bij de verwerking van MPEG-4-gecodeerde bestanden. Dit probleem is verholpen door een verbeterde geheugenverwerking.
CVE-2014-1280: rg0rd● WebKit
Beschikbaar voor: iPhone 4 en hoger, iPod touch (5e generatie) en hoger, iPad 2 en hoger
Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er zijn meerdere problemen met geheugenbeschadiging in WebKit. Deze problemen zijn verholpen door een verbeterde geheugenverwerking.
CVE-2013-2909: Atte Kettunen van OUSPG
CVE-2013-2926: wolkenfuzzer
CVE-2013-2928: Google Chrome-beveiligingsteam
CVE-2013-5196: Google Chrome-beveiligingsteam
CVE-2013-5197: Google Chrome-beveiligingsteam
CVE-2013-5198: Appel
CVE-2013-5199: Appel
CVE-2013-5225: Google Chrome-beveiligingsteam
CVE-2013-5228: Keen Team (@K33nTeam) werkt samen met HP's Zero Day Initiative
CVE-2013-6625: wolkenfuzzer
CVE-2013-6635: wolkenfuzzer
CVE-2014-1269: Appel
CVE-2014-1270: Appel
CVE-2014-1289: Appel
CVE-2014-1290: ant4g0nist (SegFault) in samenwerking met HP's Zero Day Initiative, Google Chrome Security Team
CVE-2014-1291: Google Chrome-beveiligingsteam
CVE-2014-1292: Google Chrome-beveiligingsteam
CVE-2014-1293: Google Chrome-beveiligingsteam
CVE-2014-1294: Google Chrome-beveiligingsteam
