About the security content of iOS 7.1.2
http://support.apple.com/kb/HT6297
上記 URL の iOS のセキュリティアップデートの翻訳
1) Certificate Trust Policy
Certificate Trust Policy を更新。証明書のリストは http://support.apple.com/kb/HT5012 にて参照可能
2) CoreGraphics
XBM ファイルの取り扱い処理において制限のないスタック割り当て問題が存在することが原因で、細工された XBM ファイルを閲覧することでアプリケーションが異常終了したり、任意のコードを実行される脆弱性。(CVE-2014-1354)
3) Kernel
IOKit API 引数の取り扱い処理において NULL ポインタ逆参照が存在することが原因で、アプリケーションが不規則に再起動したりする脆弱性。(CVE-2014-1355)
4) launchd
launchd の IPC メッセージの取り扱い処理においてヒープバッファオーバーフローが存在することが原因で、悪意のあるアプリケーションがシステム権限で任意のコードを実行する脆弱性。(CVE-2014-1356)
5) launchd
launchd の log メッセージの取り扱い処理においてヒープバッファオーバーフローが存在することが原因で、悪意のあるアプリケーションがシステム権限で任意のコードを実行できる脆弱性。(CVE-2014-1357)
6) launchd
launchd に整数オーバーフローが存在することが原因で、悪意のあるアプリケーションがシステム権限で任意のコードを実行できる脆弱性。(CVE-2014-1358)
7) launchd
launchd に整数アンダーフローが存在することが原因で、悪意のあるアプリケーションがシステム権限で任意のコードを実行できる脆弱性。(CVE-2014-1359)
8) lockdown
デバイスのアクティベーションの間に不完全なチェックを実施していることが原因で、Activation Lock を部分的に回避できる脆弱性。(CVE-2014-1360)
9) Lock Screen
状況次第で、失敗パスコード攻撃の制限が強制されないことが原因で、失敗パスコードの制限の最大値を超えて攻撃できる脆弱性。(CVE-2014-1352)
10) Lock Screen
Airplane モードでの電話の状態の取り扱い処理において状態管理の問題が存在することが原因で、ロックされた装置に物理的な操作でロックより前にあるアプリケーションを操作されてしまう脆弱性。(CVE-2014-1353)
11) Mail
メールの添付ファイルにデータ保護機能を有効にしていないことが原因で、メールの添付ファイルを iPhone 4 から抽出される脆弱性。(CVE-2014-1348)
12) Safari
Safari の不正 URL の取り扱いに開放したメモリを使用する問題が存在することが原因で、悪意のある細工された Web サイトを閲覧することで異常終了したり、任意のコードを実行される脆弱性。(CVE-2014-1349)
13) Setings
「iPhone を探せ」の状態の取り扱いに状態管理の問題が存在することが原因で、装置に物理的な操作により iCloud のパスワードの入力なしに「iPhone を探せ」機能を無効にできる脆弱性。(CVE-2014-1350)
14) Secure Transport
DTLS メッセージの取り扱い処理に初期化していないメモリへのアクセスが存在することが原因で、初期化
15) Siri
Lock Screen を使用している時に Siri リクエストがいくつかの契約のリストを表示する前にパスコードを要求しない問題が原因で、装置に物理的に操作できる人がすべての契約を閲覧できる脆弱性。(CVE-2014-131)
16) WebKit
WebKit に複数のメモリ破壊の問題が存在することが原因で、悪意のある細工された Web サイトを閲覧することでアプリケーションが異常終了したり、任意のコードを実行されたりする脆弱性。(CVE-2013-2875 CVE-2013-2927 CVE-2014-1323 CVE-2014-1325 CVE-2014-1326 CVE-2014-1327 CVE-2014-1329 CVE-2014-1330 CVE-2014-1331 CVE-2014-1333 CVE-2014-1334 CVE-2014-1335 CVE-2014-1336 CVE-2014-1337 CVE-2014-1338 CVE-2014-1339 CVE-2014-1341 CVE-2014-1342 CVE-2014-1343 CVE-2014-1362 CVE-2014-1363 CVE-2014-1364 CVE-2014-1365 CVE-2014-1366 CVE-2014-1367 CVE-2014-1368 CVE-2014-1382 CVE-2014-1731)
17) WebKit
URL の unicode 文字の取り扱いにエンコーディングの問題が存在することが原因で、悪意のあるサイトが接続フレームにメッセージを送信できたり、受信側のチェックを回避できたりする脆弱性。(CVE-2014-1346)
18) WebKit
URL の取り扱いになりすまし問題が存在することが原因で、悪意のある細工された Web サイトがアドレスバーのドメイン名をなりすますことができるきる脆弱性。(CVE-2014-1345)
0 件のコメント:
コメントを投稿