Despre conţinutul de securitate din iOS 5.0.1 - Actualizare software.
În acest document este descris conţinutul de securitate din iOS 5.0.1.
În acest document este descris conţinutul de securitate din actualizarea iOS 5.0.1, care poate fi descărcată şi instalată utilizându-se iTunes.
Pentru protecţia clienţilor noştri, Apple nu divulgă, nu discută şi nu confirmă problemele de securitate înainte de a face o investigaţie completă şi de a pune la dispoziţie corecţiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul Web Securitatea produselor Apple.
Pentru informaţii despre cheia PGP pentru securitatea produselor Apple, consultă „Utilizarea cheii PGP pentru securitatea produselor Apple”.
Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilităţi pentru mai multe informaţii.
Pentru a afla mai multe despre alte actualizări de securitate, consultă „Actualizările de securitate Apple”.
iOS 5.0.1 - Actualizare software
CFNetwork
Disponibilitate pentru: iOS 3.0 - 5.0 pentru iPhone 3GS, iPhone 4 şi iPhone 4s, iOS 3.1 - 5.0 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 5.0 pentru iPad, iOS 4.3 - 5.0 pentru iPad 2
Impact: accesarea unui site web rău intenţionat poate cauza divulgarea de informaţii sensibile
Descriere: a existat o problemă la tratarea de către CFNetwork a URL-urilor create cu rea intenţie. La accesarea unui URL HTTP sau HTTPS creat cu rea intenţie, CFNetwork poate naviga la un server incorect.
CVE-ID
CVE-2011-3246: Erling Ellingsen (Facebook)
CoreGraphics
Disponibilitate pentru: iOS 3.0 - 5.0 pentru iPhone 3GS, iPhone 4 şi iPhone 4s, iOS 3.1 - 5.0 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 5.0 pentru iPad, iOS 4.3 - 5.0 pentru iPad 2
Impact: vizualizarea unui document cu fonturi modificate cu rea intenţie poate cauza executarea unui cod arbitrar
Descriere: au existat probleme multiple de alterare a memoriei în FreeType, cea mai gravă putând cauza executarea unui cod arbitrar la procesarea unui font modificat cu rea intenţie.
CVE-ID
CVE-2011-3439: Apple
Securitate a datelor
Disponibilitate pentru: iOS 3.0 - 5.0 pentru iPhone 3GS, iPhone 4 şi iPhone 4s, iOS 3.1 - 5.0 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 5.0 pentru iPad, iOS 4.3 - 5.0 pentru iPad 2
Impact: un atacator cu o poziţie favorabilă în reţea poate intercepta datele de autentificare ale utilizatorilor sau alte informaţii confidenţiale
Descriere: două autorităţi de certificare din lista de certificate-rădăcină de încredere au emis independent certificate intermediare către DigiCert Malaysia. DigiCert Malaysia a emis certificate cu chei slabe imposibil de revocat. Un atacator cu poziţie privilegiată în reţea putea intercepta acreditări ale utilizatorilor sau alte informaţii sensibile destinate unui site web cu certificat emis de DigiCert Malaysia. Problema a fost rezolvată prin configurarea setărilor implicite de sistem privind nivelul de încredere astfel încât certificatele DigiCert Malaysia să nu fie de încredere. Mulţumim lui Bruce Morton (Entrust Inc.) pentru raportarea acestei probleme.
Nucleu
Disponibilitate pentru: iOS 3.0 - 5.0 pentru iPhone 3GS, iPhone 4 şi iPhone 4s, iOS 3.1 - 5.0 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 5.0 pentru iPad, iOS 4.3 - 5.0 pentru iPad 2
Impact: o aplicaţie poate executa coduri nesemnate
Descriere: a existat o problemă logică la verificarea de către apelul de sistem mmap a combinaţiilor de semnalizatoare valide. Această problemă poate cauza ocolirea verificărilor de semnare a codurilor. Această problemă nu afectează dispozitivele pe care se execută iOS cu versiuni anterioare versiunii 4.3.
CVE-ID
CVE-2011-3442: Charlie Miller (Accuvant Labs)
libinfo
Disponibilitate pentru: iOS 3.0 - 5.0 pentru iPhone 3GS, iPhone 4 şi iPhone 4s, iOS 3.1 - 5.0 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 5.0 pentru iPad, iOS 4.3 - 5.0 pentru iPad 2
Impact: accesarea unui site web rău intenţionat poate cauza divulgarea de informaţii sensibile
Descriere: a existat o problemă la tratarea de către libinfo a căutărilor de nume DNS. În cadrul procesului de rezolvare a unui nume de gazdă creat cu rea intenţie, libinfo putea returna un rezultat incorect.
CVE-ID
CVE-2011-3441: Erling Ellingsen (Facebook), Per Johansson (Blocket AB)
Blocare a codului de acces
Disponibilitate pentru: iOS 4.3 - 5.0 pentru iPad 2
Impact: o persoană cu acces fizic la un dispozitiv iPad 2 blocat putea accesa unele dintre datele utilizatorului
Descriere: atunci când un accesoriu Smart Cover (Carcasă inteligentă) este deschis în timp ce un dispozitiv iPad 2 confirmă închiderea în starea „blocat”, dispozitivul iPad nu solicită un cod de acces. Acest lucru permite accesarea dispozitivului iPad, însă datele protejate de funcţia Protejare date sunt inaccesibile şi nu pot fi lansate aplicaţii.
CVE-ID
CVE-2011-3440
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.