Informacje o zabezpieczeniach odtwarzacza iPod touch v2.1

  • Ostatnia modyfikacja: 14 październik, 2008
  • Artykuł: HT3026

Podsumowanie

Ten dokument zawiera informacje o zabezpieczeniach odtwarzacza iPod touch v2.1

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących bezpieczeństwa przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł „Jak używać klucza PGP serwisu Bezpieczeństwo produktów firmy Apple”.

Zawsze gdy jest to możliwe, w odniesieniu do luk używane są identyfikatory z katalogu CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł „Uaktualnienia zabezpieczeń firmy Apple”.

Dotyczy produktów

Bezpieczeństwo produktów, iPod touch

iPod touch v2.1

  • Środowisko działania programu

    Identyfikator CVE: CVE-2008-3631

    Dostępne dla: iPod touch w wersji od 2.0 do 2.0.2.

    Zagrożenie: program może odczytać pliki innego programu.

    Opis: środowisko działania programu nie wprowadza skutecznie ograniczeń dostępu między różnymi programami zewnętrznymi. Może to pozwolić programowi na odczytanie plików zapisanych w środowisku pracy innego programu i doprowadzić do ujawnienia poufnych danych. Niniejsza aktualizacja rozwiązuje ten problem, wymuszając prawidłowe ograniczenia między środowiskami programu. Problem zgłosił Nicolas Seriot z firmy Sen:te i Bruce Cogswell. Problem nie dotyczy odtwarzaczy iPod touch w wersji starszej niż 2.0.

  • CoreGraphics

    Identyfikator CVE: CVE-2008-1806, CVE-2008-1807, CVE-2008-1808

    Dostępne dla: iPod touch w wersji od 1.1 do 2.2.

    Zagrożenie: Duża liczba luk bezpieczeństwa w mechanizmie FreeType v2.3.5

    Opis: W mechanizmie FreeType v2.3.5 istnieje wiele luk bezpieczeństwa. Najpoważniejsza z nich może doprowadzić do wykonania zewnętrznego kodu wskutek odczytu specjalnie spreparowanych informacji o czcionce. Niniejsza aktualizacja rozwiązuje ten problem, wprowadzając zabezpieczenia do mechanizmu FreeType w wersji 2.3.6 i nowszej. Dodatkowe informacje można znaleźć w witrynie mechanizmu FreeType, dostępnej pod adresem http://www.freetype.org/

  • mDNSResponder

    Identyfikator CVE: CVE-2008-1447

    Dostępne dla: iPod touch w wersji od 1.1 do 2.0.2

    Zagrożenie: program mDNSResponder jest podatny na skażenie pamięci podręcznej DNS i może zwrócić fałszywe informacje.

    Opis: program mDNSResponder udostępnia programom interfejs API do zapytań DNS typu unicast, który umożliwia zamianę nazw serwerów na adresy IP. Słabe punkty protokołu DNS mogą umożliwić zdalnym agresorom skażenie pamięci podręcznej DNS. W efekcie programy oparte na programie mDNSResponder dla protokołu DNS mogą otrzymywać fałszywe informacje. To uaktualnienie rozwiązuje problem przez zaimplementowanie wybierania losowego portu źródłowego i identyfikatora transakcji w celu zwiększenia odporności na próby skażenia pamięci podręcznej. Problem zgłosił Dan Kaminsky z firmy IOActive.

  • Sieci

    Identyfikator CVE: CVE-2008-3612

    Dostępne dla: iPod touch w wersji od 2.0 do 2.0.2.

    Zagrożenie: możliwa do przewidzenia sekwencja początkowych liczb protokołu TCP może doprowadzić do fałszowania przesyłanych informacji lub przechwycenia sesji.

    Opis: Początkowe liczby protokołu TCP są tworzone w określonej sekwencji. Możliwość przewidzenia tych liczb może pozwolić zdalnemu agresorowi na utworzenie sfałszowanego połączenia TCP lub podstawienie informacji do istniejącego połączenia. To uaktualnienie rozwiązuje ten problem przez zamianę początkowych liczb protokołu TCP na generowane losowo. Problem nie dotyczy odtwarzaczy iPod touch w wersji starszej niż 2.0.

  • WebKit

    Identyfikator CVE: CVE-2008-3632

    Dostępne dla: iPod touch w wersji od 1.1 do 2.0.2

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania programu lub wykonania dowolnego kodu

    Opis: obsługa szablonów CSS w mechanizmie WebKit zawiera problem typu użyj-po-wyczyszczeniu. Odwiedzenie złośliwie spreparowanej witryny może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje ten problem przez poprawienie obsługi odniesień do dokumentów.

Informacje dodatkowe

Ważne: Informacje na temat produktów firm innych niż Apple są podawane jedynie do celów informacyjnych i nie należy uznawać tych produktów za rekomendowane przez firmę Apple. Więcej informacji można uzyskać u producenta.