Informacije o sigurnosnom sadržaju sustava iOS 4.3

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 4.3.

U dokumentu se opisuje sigurnosni sadržaj sustava iOS 4.3, koji se može preuzeti i instalirati pomoću programa iTunes.

Radi zaštite svojih klijenata Apple ne otkriva sigurnosne probleme, ne razgovara o njima niti ih potvrđuje do dovršetka cjelovite istrage te objavljivanja potrebnih zakrpa i izdanja. Da biste doznali više o sigurnosti Appleovih proizvoda, idite na web-mjesto Sigurnost Appleovih proizvoda.

Informacije o PGP ključu za zaštitu Appleovih proizvoda potražite u članku "Korištenje PGP ključa za zaštitu Appleovih proizvoda".

Kada je moguće, slabe točke označene su CVE ID-ovima pomoću kojih je moguće pronaći dodatne informacije.

Da biste doznali više o sigurnosnim ažuriranjima, pročitajte članak "Appleova sigurnosna ažuriranja".

iOS 4.3

  • Jezgrena grafika

    Dostupno za: iOS od 3.0 do 4.2.1 za iPhone 3GS i noviji, iOS od 3.1 do 4.2.1 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.2.1 za iPad

    Učinak: više slabih točaka u komponenti FreeType

    Opis: u komponenti FreeType postojalo je više slabih točaka, a najopasnija od njih mogla je dopustiti arbitrarno izvršavanje kodova prilikom obrade zlonamjerno sastavljenog fonta. Problemi se otklanjaju ažuriranjem komponente FreeType na verziju 2.4.3. Dodatne informacije dostupne su na web-mjestu komponente FreeType na adresi http://www.freetype.org/

    CVE-ID

    CVE-2010-3855

  • ImageIO

    Dostupno za: iOS od 3.0 do 4.2.1 za iPhone 3GS i noviji, iOS od 3.1 do 4.2.1 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.2.1 za iPad

    Učinak: prikaz zlonamjerne TIFF datoteke može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda

    Opis: u načinu na koji je libTIFF obrađivao TIFF slike s JPEG kodiranjem dolazilo je do prelijevanja iz međuspremnika. Prikaz zlonamjerne TIFF datoteke može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda.

    CVE-ID

    CVE-2011-0191: Apple

  • ImageIO

    Dostupno za: iOS od 3.0 do 4.2.1 za iPhone 3GS i noviji, iOS od 3.1 do 4.2.1 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.2.1 za iPad

    Učinak: prikaz zlonamjerne TIFF datoteke može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda

    Opis: u načinu na koji je libTIFF obrađivao TIFF slike s kodiranjem CCITT Group 4 dolazilo je do prelijevanja iz međuspremnika. Prikaz zlonamjerne TIFF datoteke može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda.

    CVE-ID

    CVE-2011-0192: Apple

  • libxml

    Dostupno za: iOS od 3.0 do 4.2.1 za iPhone 3GS i noviji, iOS od 3.1 do 4.2.1 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.2.1 za iPad

    Učinak: pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda

    Opis: u načinu na koji je libxml obrađivao XPath izraze postojao je problem s dvostrukim oslobađanjem. Pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda.

    CVE-ID

    CVE-2010-4494: Yang Dingning iz NCNIPC-a, poslijediplomski studij Kineske akademije znanosti

  • Umrežavanje

    Dostupno za: iOS od 3.0 do 4.2.1 za iPhone 3GS i noviji, iOS od 3.1 do 4.2.1 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.2.1 za iPad

    Učinak: poslužitelj bi mogao prepoznati uređaj putem druge veze

    Opis: kad se koristi automatska konfiguracija adrese bez stanja (SLAAC), IPv6 adresa koju uređaj odabire sadrži MAC adresu uređaja. Poslužitelj na kojem je omogućen IPv6, a uređaj s njime uspostavi vezu, može iskoristiti tu adresu za praćenje uređaja i na drugim vezama. Ovim se ažuriranjem implementira proširenje IPv6 protokola opisano u članku RFC 3041 dodavanjem privremene nasumične adrese koja se koristi prilikom izlaznih veza.

  • Safari

    Dostupno za: iOS od 3.0 do 4.2.1 za iPhone 3GS i noviji, iOS od 3.1 do 4.2.1 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.2.1 za iPad

    Učinak: posjet zlonamjernom web-mjestu mogao bi uzrokovati zatvaranje preglednika MobileSafari prilikom pokretanja

    Opis: na zlonamjernom web-mjestu mogao bi se nalaziti javascript koji uzastopno pokreće neku drugu aplikaciju putem rukovatelja URL-a. Ako posjetite to web-mjesto putem preglednika MobileSafari, preglednik će se zatvoriti, a pokrenut će se ciljna aplikacija. Taj će se slijed ponavljati prilikom svakog otvaranja preglednika MobileSafari. Problem se rješava povratkom na prethodnu stranicu kad se Safari ponovno otvori nakon što je putem rukovatelja URL-a pokrenuta druga aplikacija.

    CVE-ID

    CVE-2011-0158: Nitesh Dhanjani iz tvrtke Ernst & Young LLP

  • Safari

    Dostupno za: iOS od 4.0 do 4.2.1 za iPhone 3GS i noviji, iOS od 4.0 do 4.2.1 za iPod touch (treće generacije) i noviji, iOS od 4.2 do 4.2.1 za iPad

    Učinak: čišćenje kolačića u postavkama preglednika Safari možda neće imati učinka

    Opis: čišćenje kolačića putem postavki preglednika Safari dok je Safari pokrenut u nekim slučajevima nema učinka. Problem se rješava poboljšanom obradom kolačića. Problem ne utječe na sustave stariji od verzije iOS 4.0.

    CVE-ID

    CVE-2011-0159: Erik Wong iz tvrtke Google Inc.

  • WebKit

    Dostupno za: iOS od 3.0 do 4.2.1 za iPhone 3GS i noviji, iOS od 3.1 do 4.2.1 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.2.1 za iPad

    Učinak: pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda

    Opis: u WebKitu postoji veći broj problema s oštećenjem memorije. Pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda.

    CVE-ID

    CVE-2010-1792

    CVE-2010-1824: kuzzcc i wushi iz grupe team509, koja radi na inicijativi Zero Day Initiative tvrtke TippingPoint

    CVE-2011-0111: Sergey Glazunov

    CVE-2011-0112: Yuzo Fujishima iz tvrtke Google Inc.

    CVE-2011-0113: Andreas Kling iz tvrtke Nokia

    CVE-2011-0114: Chris Evans iz tima za sigurnost preglednika Google Chrome

    CVE-2011-0115: J23 koji radi na inicijativi Zero Day Initiative tvrtke TippingPoint i Emil A Eklund iz tvrtke Google, Inc.

    CVE-2011-0116: anonimni istraživač koji radi na inicijativi Zero Day Initiative tvrtke TippingPoint

    CVE-2011-0117: Abhishek Arya (Inferno) iz tvrtke Google, Inc.

    CVE-2011-0118: Abhishek Arya (Inferno) iz tvrtke Google, Inc.

    CVE-2011-0119: Abhishek Arya (Inferno) iz tvrtke Google, Inc.

    CVE-2011-0120: Abhishek Arya (Inferno) iz tvrtke Google, Inc.

    CVE-2011-0121: Abhishek Arya (Inferno) iz tvrtke Google, Inc.

    CVE-2011-0122: Slawomir Blazek

    CVE-2011-0123: Abhishek Arya (Inferno) iz tvrtke Google, Inc.

    CVE-2011-0124: Yuzo Fujishima iz tvrtke Google Inc.

    CVE-2011-0125: Abhishek Arya (Inferno) iz tvrtke Google, Inc.

    CVE-2011-0126: Mihai Parparita iz tvrtke Google, Inc.

    CVE-2011-0127: Abhishek Arya (Inferno) iz tvrtke Google, Inc.

    CVE-2011-0128: David Bloom

    CVE-2011-0129: Famlam

    CVE-2011-0130: Apple

    CVE-2011-0131: wushi iz grupe team509

    CVE-2011-0132: wushi iz grupe team509, koja radi na inicijativi Zero Day Initiative tvrtke TippingPoint

    CVE-2011-0133: wushi iz grupe team509, koja radi na inicijativi Zero Day Initiative tvrtke TippingPoint

    CVE-2011-0134: Jan Tosovsky

    CVE-2011-0135: prijavila anonimna osoba

    CVE-2011-0136: Sergey Glazunov

    CVE-2011-0137: Sergey Glazunov

    CVE-2011-0138: kuzzcc

    CVE-2011-0140: Sergey Glazunov

    CVE-2011-0141: Chris Rohlf iz tvrtke Matasano Security

    CVE-2011-0142: Abhishek Arya (Inferno) iz tvrtke Google, Inc.

    CVE-2011-0143: Slawomir Blazek i Sergey Glazunov

    CVE-2011-0144: Emil A Eklund iz tvrtke Google, Inc.

    CVE-2011-0145: Abhishek Arya (Inferno) iz tvrtke Google, Inc.

    CVE-2011-0146: Abhishek Arya (Inferno) iz tvrtke Google, Inc.

    CVE-2011-0147: Dirk Schulze

    CVE-2011-0148: Michal Zalewski iz tvrtke Google, Inc.

    CVE-2011-0149: wushi iz grupe team509, koja radi na inicijativi Zero Day Initiative tvrtke TippingPoint i SkyLined iz tima za sigurnost preglednika Google Chrome

    CVE-2011-0150: Michael Gundlach s web-mjesta safariadblock.com

    CVE-2011-0151: Abhishek Arya (Inferno) iz tvrtke Google, Inc.

    CVE-2011-0152: Skylined iz tima za sigurnost preglednika Google Chrome

    CVE-2011-0153: Abhishek Arya (Inferno) iz tvrtke Google, Inc.

    CVE-2011-0154: anonimni istraživač koji radi na inicijativi Zero Day Initiative tvrtke TippingPoint

    CVE-2011-0155: Aki Helin iz OUSPG-a

    CVE-2011-0156: Abhishek Arya (Inferno) iz tvrtke Google, Inc.

    CVE-2011-0157: Benoit Jacob iz tvrtke Mozilla

    CVE-2011-0168: Sergey Glazunov

  • WebKit

    Dostupno za: iOS od 3.0 do 4.2.1 za iPhone 3GS i noviji, iOS od 3.1 do 4.2.1 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.2.1 za iPad

    Učinak: postoji mogućnost slučajnog otkrivanja vjerodajnica za osnovnu HTTP provjeru autentičnosti drugom web-mjestu

    Opis: ako se na web-mjestu koristi osnovna HTTP provjera autentičnosti te se preusmjerava na drugo web-mjesto, tom se drugom web-mjestu mogu poslati vjerodajnice za provjeru autentičnosti. Problem se rješava poboljšanom obradom vjerodajnica.

    CVE-ID

    CVE-2011-0160: McIntosh Cooey iz grupe Twelve Hundred Group, Harald Hanche-Olsen, Chuck Hohn iz tvrtke 1111 Internet LLC u suradnji s CERT-om te Paul Hinze iz tvrtke Braintree

  • WebKit

    Dostupno za: iOS od 3.0 do 4.2.1 za iPhone 3GS i noviji, iOS od 3.1 do 4.2.1 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.2.1 za iPad

    Učinak: posjet zlonamjernom web-mjestu može uzrokovati objavljivanje stilova na više web-mjesta

    Opis: u načinu na koji WebKit obrađuje pristupnik Attr.style postojao je problem s resursima iz više izvora. Posjet zlonamjernom web-mjestu mogao bi web-mjestu omogućiti umetanje CSS-a u druge dokumente. Problem je riješen uklanjanjem pristupnika Attr.style.

    CVE-ID

    CVE-2011-0161: Apple

  • WebKit

    Dostupno za: iOS od 3.0 do 4.2.1 za iPhone 3GS i noviji, iOS od 3.1 do 4.2.1 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.2.1 za iPad

    Učinak: zlonamjerno web-mjesto moglo bi drugim web-mjestima onemogućiti slanje zahtjeva za određene resurse

    Opis: u načinu na koji WebKit obrađuje predmemorirane resurse postojao je problem s oštećenjem predmemorije. Zlonamjerno web-mjesto moglo bi drugim web-mjestima onemogućiti slanje zahtjeva za određene resurse. Problem se rješava poboljšanom provjerom vrste.

    CVE-ID

    CVE-2011-0163: Apple

  • Wi-Fi

    Dostupno za: iOS od 3.0 do 4.2.1 za iPhone 3GS i noviji, iOS od 3.1 do 4.2.1 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.2.1 za iPad

    Učinak: dok je uređaj povezan s Wi-Fi mrežom, napadač na istoj toj mreži mogao bi uzrokovati resetiranje uređaja

    Opis: u načinu obrade Wi-Fi okvira postojao je problem s provjerom granica. Dok je uređaj povezan s Wi-Fi mrežom, napadač na istoj toj mreži mogao bi uzrokovati resetiranje uređaja.

    CVE-ID

    CVE-2011-0162: Scott Boyd iz tvrtke ePlus Technology, inc.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: