Informacije o sigurnosnom sadržaju softverskog ažuriranja iOS 5.1
U ovom se dokumentu opisuje sigurnosni sadržaj softverskog ažuriranja iOS 5.1.
U ovom se dokumentu opisuje sigurnosni sadržaj softverskog ažuriranja iOS 5.1 koji se može preuzeti i instalirati pomoću programa iTunes.
Radi zaštite svojih klijenata Apple ne otkriva sigurnosne probleme, ne razgovara o njima niti ih potvrđuje do dovršetka cjelovite istrage te objavljivanja potrebnih zakrpa i izdanja. Da biste doznali više o sigurnosti Appleovih proizvoda, idite na web-mjesto Sigurnost Appleovih proizvoda.
Informacije o PGP ključu za zaštitu Appleovih proizvoda potražite u članku "Korištenje PGP ključa za zaštitu Appleovih proizvoda".
Kada je moguće, slabe točke označene su CVE ID-ovima, pomoću kojih je moguće pronaći dodatne informacije.
Da biste doznali više o sigurnosnim ažuriranjima, pročitajte članak "Appleova sigurnosna ažuriranja".
Softversko ažuriranje iOS 5.1
CFNetwork
Dostupno za sljedeće uređaje: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (treće generacije) i novije, iPad, iPad 2
Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati otkrivanje osjetljivih podataka
Opis: postojao je problem u načinu na koji CFNetwork obrađuje pogrešno oblikovane URL-ove. Prilikom pristupa zlonamjernom URL-u CFNetwork je mogao poslati neočekivana zaglavlja zahtjeva.
CVE-ID
CVE-2012-0641: Erling Ellingsen iz Facebooka
HFS
Dostupno za sljedeće uređaje: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (treće generacije) i novije, iPad, iPad 2
Učinak: postavljanje slike diska sa zlonamjernim kodom moglo je dovesti do kvara uređaja ili izvršavanja nasumičnog koda
Opis: uz rukovanje HFS kataloškim datotekama pojavio se nedostatan dotok podataka za operaciju s cjelobrojnom vrijednošću.
CVE-ID
CVE-2012-0642: pod2g
Kernel
Dostupno za sljedeće uređaje: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (treće generacije) i novije, iPad, iPad 2
Učinak: zlonamjeran program mogao je zaobići ograničenja memorije za testiranje
Opis: prilikom rukovanja pozivima sustava za ispravljanje pogrešaka pojavio se logički problem. Zbog toga je zlonamjeran program mogao omogućiti izvršavanje koda u drugim programima uz iste korisničke ovlasti.
CVE-ID
CVE-2012-0643: 2012. iOS Jailbreak Dream Team
libresolv
Dostupno za sljedeće uređaje: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (treće generacije) i novije, iPad, iPad 2
Učinak: aplikacije koje koriste biblioteku libresolv mogle su biti podložne neočekivanom zatvaranju ili izvršavanju nasumičnog koda
Opis: prilikom rukovanja zapisima DNS resursa pojavilo se prekoračenje cijelog broja s mogućim kvarom stoga.
CVE-ID
CVE-2011-3453: Ilja van Sprundel iz tvrtke IOActive
Zaključavanje lozinkom
Dostupno za sljedeće uređaje: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (treće generacije) i novije, iPad, iPad 2
Učinak: osoba s fizičkim pristupom uređaju mogla je zaobići zaključavanje zaslona
Opis: prilikom primjene gesti prelaska prstom po zaslonskoj tipkovnici pojavio se problem sa stanjem nadmetanja. Zbog toga je osoba s fizičkim pristupom uređaju mogla zaobići zaslon sa zaključavanjem lozinkom.
CVE-ID
CVE-2012-0644: Roland Kohler iz Njemačkog saveznog mininstarstva ekonomije i tehnologije
Safari
Dostupno za sljedeće uređaje: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (treće generacije) i novije, iPad, iPad 2
Učinak: posjeti web-stranicama mogli su se bilježiti u povijest preglednika čak i ako je bilo aktivirano privatno pretraživanje
Opis: privatno pretraživanje u pregledniku Safari namijenjeno je sprječavanju bilježenja sesije pregledavanja. Posjećene su se stranice, zbog toga što web-mjesto koristi JavaScript metode pushState ili replaceState, bilježile u povijesti preglednika čak i kad je bio aktiviran mod privatnog pregledavanja. Taj je problem riješen tako da se takvi posjeti ne bilježe kad je uključeno privatno pretraživanje.
CVE-ID
CVE-2012-0585: Eric Melville iz tvrtke American Express
Siri
Dostupno za sljedeće uređaje: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (treće generacije) i novije, iPad, iPad 2
Učinak: napadač s fizičkim pristupom zaključanom mobitelu mogao je pristupiti zadnje primljenom e-mailu
Opis: u ograničenjima vezanim uz zaključavanje zaslona u značajci Siri otkrivena je pogreška u dizajnu. Ako je upotreba značajke Siri bila omogućena na zaključanom zaslonu, a aplikacija Mail otvorena s odabranom porukom zaštićenom zaključanim zaslonom, glasovnim se upravljanjem ta poruka mogla poslati bilo kojem primatelju. Taj je problem riješen onemogućivanjem prosljeđivanja aktivnih poruka sa zaključanog zaslona.
CVE-ID
CVE-2012-0645
VPN
Dostupno za sljedeće uređaje: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (treće generacije) i novije, iPad, iPad 2
Učinak: zlonamjerna konfiguracijska datoteka sustava mogla je uzrokovati izvršavanje nasumičnog koda sa sistemskim ovlastima
Opis: prilikom rukovanja konfiguracijskim datotekama racoon pojavila se slaba točka vezana uz oblikovanje niza.
CVE-ID
CVE-2012-0646: pod2g
WebKit
Dostupno za sljedeće uređaje: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (treće generacije) i novije, iPad, iPad 2
Učinak: posjećivanjem zlonamjernog web-mjesta mogli su se otkriti kolačići
Opis: u WebKitu se pojavio problem iz nekoliko izvora, koji može uzrokovati otkrivanje kolačića iz raznih izvora.
CVE-ID
CVE-2011-3887: Sergej Glazunov
WebKit
Dostupno za sljedeće uređaje: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (treće generacije) i novije, iPad, iPad 2
Učinak: posjećivanje zlonamjernog web-mjesta i povlačenje sadržaja mišem moglo je uzrokovati napad skriptama na više web-mjesta
Opis: u WebKitu se pojavio problem iz nekoliko izvora koji može uzrokovati povlačenje i ispuštanje sadržaja iz raznih izvora.
CVE-ID
CVE-2012-0590: Adam Barth iz sigurnosnog tima za Google Chrome
WebKit
Dostupno za sljedeće uređaje: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (treće generacije) i novije, iPad, iPad 2
Učinak: posjet zlonamjernom web-mjestu mogao je uzrokovati napad unakrsnim skriptiranjem
Opis: u WebKitu se pojavio veći broj problema iz nekoliko izvora.
CVE-ID
CVE-2011-3881: Sergej Glazunov
CVE-2012-0586: Sergej Glazunov
CVE-2012-0587: Sergej Glazunov
CVE-2012-0588: Jochen Eisinger iz tima za Google Chrome
CVE-2012-0589: Alan Austin s web-mjesta polyvore.com
WebKit
Dostupno za sljedeće uređaje: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (treće generacije) i novije, iPad, iPad 2
Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili nasumično izvršavanje koda
Opis: u WebKitu je otkriven veći broj problema s neispravnom memorijom.
CVE-ID
CVE-2011-2825: wushi iz skupine team509 u sklopu inicijative Zero Day Initiative udruženja TippingPoint
CVE-2011-2833: Apple
CVE-2011-2846: Arthur Gerkis, miaubiz
CVE-2011-2847: miaubiz, Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer
CVE-2011-2854: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer
CVE-2011-2855: Arthur Gerkis, wushi iz skupine team509 u sklopu iDefense VCP-a
CVE-2011-2857: miaubiz
CVE-2011-2860: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer
CVE-2011-2867: Dirk Schulze
CVE-2011-2868: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer
CVE-2011-2869: Cris Neckar iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer
CVE-2011-2870: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer
CVE-2011-2871: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer
CVE-2011-2872: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer
CVE-2011-2873: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer
CVE-2011-2877: miaubiz
CVE-2011-3885: miaubiz
CVE-2011-3888: miaubiz
CVE-2011-3897: pa_kt u sklopu inicijative Zero Day Initiative udruženja TippingPoint
CVE-2011-3908: Aki Helin iz OUSPG-a
CVE-2011-3909: tim za sigurnost preglednika Google Chrome (scarybeasts) i Chu
CVE-2011-3928: wushi iz skupine team509 u sklopu inicijative Zero Day Initiative udruženja TippingPoint
CVE-2012-0591: miaubiz i Martin Barbella
CVE-2012-0592: Alexander Gavrun u sklopu incijative Zero Day Initiative udruženja TippingPoint
CVE-2012-0593: Lei Zhang iz zajednice za razvoj Chromiuma
CVE-2012-0594: Adam Klein iz zajednice za razvoj Chromium
CVE-2012-0595: Apple
CVE-2012-0596: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer
CVE-2012-0597: miaubiz
CVE-2012-0598: Sergej Glazunov
CVE-2012-0599: Dmitro Gorbunov s web-mjesta SaveSources.com
CVE-2012-0600: Marshall Greenblatt, Dharani Govindan iz Google Chromea, miaubiz, Aki Helin iz OUSPG-a, Apple
CVE-2012-0601: Apple
CVE-2012-0602: Apple
CVE-2012-0603: Apple
CVE-2012-0604: Apple
CVE-2012-0605: Apple
CVE-2012-0606: Apple
CVE-2012-0607: Apple
CVE-2012-0608: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer
CVE-2012-0609: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer
CVE-2012-0610: miaubiz, Martin Barbella pomoću alata AddressSanitizer
CVE-2012-0611: Martin Barbella pomoću alata AddressSanitizer
CVE-2012-0612: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer
CVE-2012-0613: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer
CVE-2012-0614: miaubiz, Martin Barbella pomoću alata AddressSanitizer
CVE-2012-0615: Martin Barbella pomoću alata AddressSanitizer
CVE-2012-0616: miaubiz
CVE-2012-0617: Martin Barbella pomoću alata AddressSanitizer
CVE-2012-0618: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer
CVE-2012-0619: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer
CVE-2012-0620: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer
CVE-2012-0621: Martin Barbella pomoću alata AddressSanitizer
CVE-2012-0622: Dave Levin i Abhishek Arya iz tima za sigurnost preglednika Google Chrome
CVE-2012-0623: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer
CVE-2012-0624: Martin Barbella pomoću alata AddressSanitizer
CVE-2012-0625: Martin Barbella
CVE-2012-0626: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer
CVE-2012-0627: Apple
CVE-2012-0628: Slawomir Blazek, miaubiz, Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer
CVE-2012-0629: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome
CVE-2012-0630: Sergio Villar Senin iz tvrtke Igalia
CVE-2012-0631: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome
CVE-2012-0632: Cris Neckar iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer
CVE-2012-0633: Apple
CVE-2012-0635: Julien Chaffraix iz zajednice za razvoj Chromiuma, Martin Barbella pomoću alata AddressSanitizer
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.