Despre conţinutul de securitate din iOS 5.0.1 - Actualizare software.

În acest document este descris conţinutul de securitate din iOS 5.0.1.

În acest document este descris conţinutul de securitate din actualizarea iOS 5.0.1, care poate fi descărcată şi instalată utilizându-se iTunes.

Pentru protecţia clienţilor noştri, Apple nu divulgă, nu discută şi nu confirmă problemele de securitate înainte de a face o investigaţie completă şi de a pune la dispoziţie corecţiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul Web Securitatea produselor Apple.

Pentru informaţii despre cheia PGP pentru securitatea produselor Apple, consultă „Utilizarea cheii PGP pentru securitatea produselor Apple”.

Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilităţi pentru mai multe informaţii.

Pentru a afla mai multe despre alte actualizări de securitate, consultă „Actualizările de securitate Apple”.

iOS 5.0.1 - Actualizare software

• CFNetwork

  Disponibilitate pentru: iOS 3.0 - 5.0 pentru iPhone 3GS, iPhone 4 şi iPhone 4s, iOS 3.1 - 5.0 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 5.0 pentru iPad, iOS 4.3 - 5.0 pentru iPad 2

  Impact: accesarea unui site web rău intenţionat poate cauza divulgarea de informaţii sensibile

  Descriere: a existat o problemă la tratarea de către CFNetwork a URL-urilor create cu rea intenţie. La accesarea unui URL HTTP sau HTTPS creat cu rea intenţie, CFNetwork poate naviga la un server incorect.

  CVE-ID

  CVE-2011-3246: Erling Ellingsen (Facebook)

• CoreGraphics

  Disponibilitate pentru: iOS 3.0 - 5.0 pentru iPhone 3GS, iPhone 4 şi iPhone 4s, iOS 3.1 - 5.0 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 5.0 pentru iPad, iOS 4.3 - 5.0 pentru iPad 2

  Impact: vizualizarea unui document cu fonturi modificate cu rea intenţie poate cauza executarea unui cod arbitrar

  Descriere: au existat probleme multiple de alterare a memoriei în FreeType, cea mai gravă putând cauza executarea unui cod arbitrar la procesarea unui font modificat cu rea intenţie.

  CVE-ID

  CVE-2011-3439: Apple

• Securitate a datelor

  Disponibilitate pentru: iOS 3.0 - 5.0 pentru iPhone 3GS, iPhone 4 şi iPhone 4s, iOS 3.1 - 5.0 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 5.0 pentru iPad, iOS 4.3 - 5.0 pentru iPad 2

  Impact: un atacator cu o poziţie favorabilă în reţea poate intercepta datele de autentificare ale utilizatorilor sau alte informaţii confidenţiale

  Descriere: două autorităţi de certificare din lista de certificate-rădăcină de încredere au emis independent certificate intermediare către DigiCert Malaysia. DigiCert Malaysia a emis certificate cu chei slabe imposibil de revocat. Un atacator cu poziţie privilegiată în reţea putea intercepta acreditări ale utilizatorilor sau alte informaţii sensibile destinate unui site web cu certificat emis de DigiCert Malaysia. Problema a fost rezolvată prin configurarea setărilor implicite de sistem privind nivelul de încredere astfel încât certificatele DigiCert Malaysia să nu fie de încredere. Mulţumim lui Bruce Morton (Entrust Inc.) pentru raportarea acestei probleme.

• Nucleu

  Disponibilitate pentru: iOS 3.0 - 5.0 pentru iPhone 3GS, iPhone 4 şi iPhone 4s, iOS 3.1 - 5.0 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 5.0 pentru iPad, iOS 4.3 - 5.0 pentru iPad 2

  Impact: o aplicaţie poate executa coduri nesemnate

  Descriere: a existat o problemă logică la verificarea de către apelul de sistem mmap a combinaţiilor de semnalizatoare valide. Această problemă poate cauza ocolirea verificărilor de semnare a codurilor. Această problemă nu afectează dispozitivele pe care se execută iOS cu versiuni anterioare versiunii 4.3.

  CVE-ID

  CVE-2011-3442: Charlie Miller (Accuvant Labs)

• libinfo

  Disponibilitate pentru: iOS 3.0 - 5.0 pentru iPhone 3GS, iPhone 4 şi iPhone 4s, iOS 3.1 - 5.0 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 5.0 pentru iPad, iOS 4.3 - 5.0 pentru iPad 2

  Impact: accesarea unui site web rău intenţionat poate cauza divulgarea de informaţii sensibile

  Descriere: a existat o problemă la tratarea de către libinfo a căutărilor de nume DNS. În cadrul procesului de rezolvare a unui nume de gazdă creat cu rea intenţie, libinfo putea returna un rezultat incorect.

  CVE-ID

  CVE-2011-3441: Erling Ellingsen (Facebook), Per Johansson (Blocket AB)

• Blocare a codului de acces

  Disponibilitate pentru: iOS 4.3 - 5.0 pentru iPad 2

  Impact: o persoană cu acces fizic la un dispozitiv iPad 2 blocat putea accesa unele dintre datele utilizatorului

  Descriere: atunci când un accesoriu Smart Cover (Carcasă inteligentă) este deschis în timp ce un dispozitiv iPad 2 confirmă închiderea în starea „blocat”, dispozitivul iPad nu solicită un cod de acces. Acest lucru permite accesarea dispozitivului iPad, însă datele protejate de funcţia Protejare date sunt inaccesibile şi nu pot fi lansate aplicaţii.

  CVE-ID

  CVE-2011-3440