Informacije o sigurnosnom sadržaju ažuriranja softvera iOS 4.3.2

U ovom se dokumentu opisuje sigurnosni sadržaj ažuriranja softvera iOS 4.3.2.

U ovom se dokumentu opisuje sigurnosni sadržaj ažuriranja softvera iOS 4.3.2, koje se može preuzeti i instalirati pomoću programa iTunes.

Da bi zaštitio korisnike, Apple ne otkriva, ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i javno ne ponudi zakrpe ili nova izdanja. Da biste saznali više o sigurnosti Appleovih proizvoda, posjetite web-mjesto Sigurnost Appleovih proizvoda.

Informacije o PGP ključu za sigurnost Appleovih proizvoda potražite na web-mjestu „Upotreba PGP ključa za sigurnost Appleovih proizvoda."

Kada je to moguće, CVE ID-jevi služe kao referenca za dodatne informacije o slabim točkama.

Da biste saznali više o sigurnosnim ažuriranjima, posjetite web-mjesto „Appleova sigurnosna ažuriranja".

Ažuriranje softvera iOS 4.3.2

  • Certificate Trust Policy

    Dostupno za: verzije od iOS 3.0 do 4.3.1 za iPhone 3GS i noviji, od iOS 3.1 do 4.3.1 za iPod touch (treće generacije) i noviji, od iOS 3.2 do 4.3.1 za iPad

    Učinak: napadači s mrežnim ovlastima mogli su presresti vjerodajnice ili druge osjetljive podatke korisnika

    Opis: nekoliko krivotvorenih SSL certifikata izdao je Comodov partnerski izdavač certifikata. Na taj način "napadač posrednik" može preusmjeriti veze i presresti korisničke vjerodajnice ili druge povjerljive podatke. Problem je riješen uvrštavanjem lažnih certifikata na popis zabranjenih.

    Napomena: u sustavima Mac OS X problem je riješen sigurnosnim ažuriranjem 2011-002. U sustavu Windows Safari se prilikom utvrđivanja pouzdanosti certifikata SSL poslužitelja oslanja na spremište certifikata operacijskog sustava u kojem se nalazi. Primjenom ažuriranja opisanog u članku Microsoftove baze znanja pod brojem 2524375 Safari će te certifikate početi smatrati nepouzdanima. Taj je članak dostupan na adresi http://support.microsoft.com/2524375

  • libxslt

    Dostupan za: verzije od iOS 3.0 do 4.3.1 za iPhone 3GS i noviji, od iOS 3.1 do 4.3.1 za iPod touch (treće generacije) i noviji, od iOS 3.2 do 4.3.1 za iPad

    Učinak: nakon posjeta zlonamjerno stvorenom web-mjestu može doći do otkrivanja adresa u snopu

    Opis: libxslt je implementacijom funkcije generate-id() XPath otkrivao adresu međuspremnika snopa. Posjet zlonamjernom web-mjestu može uzrokovati otkrivanje adresa snopu, a time se može olakšati zaobilaženje zaštite randomizacijom prostornog rasporeda adresa. Problem se rješava generiranjem ID-a na temelju razlike između adresa dvaju međuspremnika snopova.

    CVE-ID

    CVE-2011-0195: Chris Evans iz tima za sigurnost preglednika Google Chrome

  • QuickLook

    Dostupno za: verzije od iOS 3.0 do 4.3.1 za iPhone 3GS i noviji, od iOS 3.1 do 4.3.1 za iPod touch (treće generacije) i noviji, od iOS 3.2 do 4.3.1 za iPad

    Učinak: prikazom zlonamjerno stvorene datoteke programa Microsoft Office moglo je doći do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: u načinu na koji QuickLook obrađuje datoteke iz sustava Microsoft Office otkriveni su problemi s oštećenjem memorije. Prikazom zlonamjerno stvorene datoteke programa Microsoft Office moglo je doći do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    CVE-ID

    CVE-2011-1417 : Charlie Miller i Dion Blazakis u suradnji s inicijativom Zero Day tvrtke TippingPoint

  • WebKit

    Dostupno za: verzije od iOS 3.0 do 4.3.1 za iPhone 3GS i noviji, od iOS 3.1 do 4.3.1 za iPod touch (treće generacije) i noviji, od iOS 3.2 do 4.3.1 za iPad

    Učinak: posjetom zlonamjerno stvorenom web-mjestu moglo je doći do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: u načinu obrade skupova čvorova otkriven je problem s prekoračenjem cijelih brojeva. Pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda.

    CVE-ID

    CVE-2011-1290: Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp Weinmann i anonimni istraživač u suradnji s inicijativom Zero Day tvrtke Tipping Point

  • WebKit

    Dostupno za: verzije od iOS 3.0 do 4.3.1 za iPhone 3GS i noviji, od iOS 3.1 do 4.3.1 za iPod touch (treće generacije) i noviji, od iOS 3.2 do 4.3.1 za iPad

    Učinak: posjetom zlonamjerno stvorenom web-mjestu moglo je doći do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: u načinu obrade tekstnih čvorova otkriven je problem s korištenjem nakon oslobađanja. Pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda.

    CVE-ID

    CVE-2011-1344: Vupen Security u suradnji s inicijativom Zero Day tvrtke Tipping Point te Martin Barbella

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: