关于适用于 iPod touch 的 iOS 3.13 和 iOS 3.1.1 的安全性内容
这篇文稿介绍了适用于 iPod touch 的 iOS 3.13 和 iOS 3.1.3 的安全性内容。
为保护我们的客户,在未进行详尽调查并推出必要的修补程序或发布版本之前,Apple 不会公开、讨论或确认安全性问题。要进一步了解 Apple 产品安全性,请参阅“Apple 产品安全性”网站。
如需了解 Apple 产品安全性 PGP 密钥,请参阅“如何使用 Apple 产品安全性 PGP 密钥”。
在可能的情况下,我们会使用 CVE ID 来引用相应的漏洞以提供更多信息。
要了解其他安全性更新,请参阅“Apple 安全性更新”。
适用于 iPod touch 的 iOS 3.1.3 和 iOS 3.1.3
CoreAudio
CVE-ID:CVE-2010-0036
适用于:iOS 1.0 至 3.1.2、适用于 iPod touch 的 iOS 1.1 至 3.1.2
影响:播放恶意制作的 mp4 音频文件可能会导致应用程序意外终止或任意代码执行
描述:处理 mp4 音频文件时存在缓冲区溢出。播放恶意制作的 mp4 音频文件可能会导致应用程序意外终止或任意代码执行已通过改进边界检查解决这个问题。感谢 trapkit.de 的 Tobias Klein 报告这个问题。
ImageIO
CVE-ID:CVE-2009-2285
适用于:iOS 1.0 至 3.1.2、适用于 iPod touch 的 iOS 1.1 至 3.1.2
影响:查看恶意制作的 TIFF 图像可能会导致应用程序意外终止或任意代码执行
描述:ImageIO 在处理 TIFF 图像时存在缓冲区溢出。查看恶意制作的 TIFF 图像可能会导致应用软件意外终止或任意代码执行。已通过改进边界检查解决这个问题。
Recovery Mode
CVE-ID:CVE-2010-0038
适用于:iOS 1.0 至 3.1.2、适用于 iPod touch 的 iOS 1.1 至 3.1.2
影响:能够实际操作锁定设备的人员或许能够访问用户的数据
描述:处理某些 USB 控制信息时存在内存损坏问题。能够实际操作设备的人员可能会利用这个漏洞来绕过密码并访问用户的数据。已通过改进 USB 控制信息的处理解决这个问题。
WebKit
CVE-ID:CVE-2009-3384
适用于:iOS 1.0 至 3.1.2、适用于 iPod touch 的 iOS 1.1 至 3.1.2
影响:访问恶意制作的 FTP 服务器可能会导致应用程序意外终止、信息泄露或任意代码执行
描述:WebKit 在处理 FTP 目录列表时存在多个输入验证问题。访问恶意制作的 FTP 服务器可能会导致信息泄露、应用程序意外终止或任意代码执行。这一更新通过改进 FTP 目录列表的解析,解决了上述问题。感谢 Google Inc. 的 Michal Zalewski 报告上述问题。
WebKit
CVE-ID:CVE-2009-2841
适用于:iOS 1.0 至 3.1.2、适用于 iPod touch 的 iOS 1.1 至 3.1.2
影响:禁止载入远程图像时“邮件”可能会载入远程音频和视频
描述:WebKit 在遇到指向外部资源的 HTML 5 媒体元素时,不会发出资源载入回调来确定是否需要载入资源。这可能会导致向远程服务器发出不必要的请求。例如,HTML 格式电子邮件的发件人可能会利用这个漏洞来确定邮件是否已被读取。已通过在 WebKit 遇到 HTML 5 媒体元素时生成资源载入回调解决这个问题。
重要信息:提及的第三方网站和产品仅作参考,并不代表 Apple 的认可或推荐。Apple 对于第三方网站上所提供信息或产品的选择、性能或使用概不负责。Apple 提供这些网站只是为了方便用户。Apple 尚未测试这些网站上的信息,对信息的准确性或可靠性不作任何声明。使用互联网上的任何信息或产品均有一定风险,Apple 对于这些风险不承担任何责任。敬请理解:第三方网站与 Apple 互相独立,Apple 无法控制第三方网站上的内容。如需了解更多信息,请联系供应商。