Despre conținutul de securitate din actualizarea software iOS 5.1
Acest document descrie conținutul de securitate din actualizarea software iOS 5.1.
În acest document este descris conținutul de securitate din actualizarea software iOS 5.1, care poate fi descărcată și instalată utilizându-se iTunes.
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate înainte de a face o investigație completă și de a pune la dispoziție corecțiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul web Securitatea produselor Apple.
Pentru informații despre cheia PGP pentru securitatea produselor Apple, consultă „Utilizarea cheii PGP pentru securitatea produselor Apple”.
Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilități pentru obținerea de informații suplimentare.
Pentru a afla mai multe despre alte actualizări de securitate, consultă „Actualizările de securitate Apple”.
Actualizare software iOS 5.1
CFNetwork
Disponibil pentru iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (a 3-a generație) și modele ulterioare, iPad, iPad 2
Impact: vizitarea unui site web creat cu rea intenție poate conduce la divulgarea unor informații confidențiale
Descriere: a existat o problemă la tratarea de către CFNetwork a adreselor URL formate incorect. La accesarea unei adrese URL create cu rea intenție, CFNetwork putea trimite antete de solicitări neașteptate.
CVE-ID
CVE-2012-0641: Erling Ellingsen de la Facebook
HFS
Disponibil pentru iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (a 3-a generație) și modele ulterioare, iPad, iPad 2
Impact: montarea unei imagini de disc create cu rea intenție poate conduce la închiderea dispozitivului sau la executarea unui cod aleatoriu
Descriere: a existat o depășire negativă de întreg la tratarea fișierelor catalog HFS.
CVE-ID
CVE-2012-0642: pod2g
Nucleu
Disponibil pentru iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (a 3-a generație) și modele ulterioare, iPad, iPad 2
Impact: un program creat cu rea intenție putea ocoli restricțiile sandboxului
Descriere: a existat o problemă logică la tratarea apelurilor de depanare ale sistemului. Acest lucru ar putea permite unui program creat cu rea intenție să execute cod în alte programe cu aceleași privilegii de utilizator.
CVE-ID
CVE-2012-0643: 2012 iOS Jailbreak Dream Team
libresolv
Disponibil pentru iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (a 3-a generație) și modele ulterioare, iPad, iPad 2
Impact: aplicațiile care utilizează biblioteca libresolv pot fi vulnerabile la terminarea neașteptată a aplicației sau executarea unui cod aleatoriu
Descriere: a existat o depășire a întregului la tratarea înregistrărilor cu resurse DNS, ceea ce ar putea conduce la alterarea memoriei zonei-tampon de structură de date.
CVE-ID
CVE-2011-3453: Ilja van Sprundel de la IOActive
Blocare a codului de acces
Disponibil pentru iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (a 3-a generație) și modele ulterioare, iPad, iPad 2
Impact: O persoană cu acces fizic la dispozitiv poate ocoli blocarea ecranului
Descriere: a existat o problemă privind condiția de rulare la tratarea gesturilor de glisare pentru apelare. Acest lucru poate permite unei persoane care are acces fizic la dispozitiv să ocolească ecranul de blocare cu cod de acces.
CVE-ID
CVE-2012-0644: Roland Kohler din cadrul Ministerului Federal German al Economiei și Tehnologiei
Safari
Disponibil pentru iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (a 3-a generație) și modele ulterioare, iPad, iPad 2
Impact: paginile web vizitate ar putea fi înregistrate în istoricul browserului chiar dacă este activată navigarea confidențială
Descriere: navigarea confidențială din Safari este concepută pentru a preveni înregistrarea unei sesiuni de navigare. Paginile vizitate ca urmare a unui site care utilizează metodele JavaScript pushState sau replaceState au fost înregistrate în istoricul browserului chiar dacă era activată navigarea confidențială. Această problemă este rezolvată prin neînregistrarea acestor pagini vizitate în momentul în care este activată navigarea confidențială.
CVE-ID
CVE-2012-0585: Eric Melville de la American Express
Siri
Disponibil pentru iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (a 3-a generație) și modele ulterioare, iPad, iPad 2
Impact: un atacator care are acces fizic la un telefon blocat ar putea obține acces la mesajul de e-mail aflat cel mai în față
Descriere: a existat o problemă la crearea restricțiilor pentru Siri în ecranul de blocare. Dacă funcția Siri a fost activată pentru utilizarea în ecranul de blocare și aplicația Mail era fost deschisă și era selectat un mesaj în spatele ecranului de blocare, ar putea fi utilizată o comandă vocală pentru a trimite mesajul respectiv către un destinatar aleatoriu. Această problemă este rezolvată prin dezactivarea redirecționării din ecranul de blocare a mesajelor active.
CVE-ID
CVE-2012-0645
VPN
Disponibil pentru iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (a 3-a generație) și modele ulterioare, iPad, iPad 2
Impact: un fișier de configurare a sistemului creat cu rea intenție poate conduce la executarea unui cod aleatoriu cu privilegii de sistem
Descriere: a existat o vulnerabilitate legată de șirurile de format la tratarea fișierelor de configurare de tip „racoon”.
CVE-ID
CVE-2012-0646: pod2g
WebKit
Disponibil pentru iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (a 3-a generație) și modele ulterioare, iPad, iPad 2
Impact: vizitarea unui site web creat cu rea intenție poate conduce la divulgarea unor cookie-uri
Descriere: a existat o problemă de origine încrucișată la WebKit, care poate permite divulgarea cookie-urilor peste origini.
CVE-ID
CVE-2011-3887: Sergey Glazunov
WebKit
Disponibil pentru iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (a 3-a generație) și modele ulterioare, iPad, iPad 2
Impact: accesarea unui site web creat cu rea intenție și glisarea conținutului cu mouse-ul poate declanșa un atac asupra scripturilor de pe mai multe site-uri
Descriere: a existat o problemă de origine încrucișată la WebKit, care poate permite glisarea și fixarea conținutului peste origini.
CVE-ID
CVE-2012-0590: Adam Barth din cadrul echipei responsabile de securitate a Google Chrome
WebKit
Disponibil pentru iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (a 3-a generație) și modele ulterioare, iPad, iPad 2
Impact: accesarea unui site web creat cu rea intenție poate declanșa un atac asupra scripturilor de pe mai multe site-uri
Descriere: au existat mai multe probleme de origine încrucișată la WebKit.
CVE-ID
CVE-2011-3881: Sergey Glazunov
CVE-2012-0586: Sergey Glazunov
CVE-2012-0587: Sergey Glazunov
CVE-2012-0588: Jochen Eisinger din cadrul echipei Google Chrome
CVE-2012-0589: Alan Austin de la polyvore.com
WebKit
Disponibil pentru iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (a 3-a generație) și modele ulterioare, iPad, iPad 2
Impact: accesarea unui site web creat cu rea intenție poate duce la închiderea neașteptată a aplicației sau la executarea unui cod aleatoriu
Descriere: au existat mai multe probleme de alterare a memoriei la WebKit.
CVE-ID
CVE-2011-2825: wushi de la team509, în colaborare cu proiectul Zero Day Initiative al TippingPoint
CVE-2011-2833: Apple
CVE-2011-2846: Arthur Gerkis, miaubiz
CVE-2011-2847: miaubiz, Abhishek Arya (Inferno) din cadrul echipei responsabile pentru securitate a Google Chrome, cu utilizarea AddressSanitizer
CVE-2011-2854: Abhishek Arya (Inferno) din cadrul echipei responsabile pentru securitate a Google Chrome, cu utilizarea AddressSanitizer
CVE-2011-2855: Arthur Gerkis, wushi de la team509, în colaborare cu iDefense VCP
CVE-2011-2857: miaubiz
CVE-2011-2860: Abhishek Arya (Inferno) din cadrul echipei responsabile pentru securitate a Google Chrome, cu utilizarea AddressSanitizer
CVE-2011-2867: Dirk Schulze
CVE-2011-2868: Abhishek Arya (Inferno) din cadrul echipei responsabile pentru securitate a Google Chrome, cu utilizarea AddressSanitizer
CVE-2011-2869: Cris Neckar din cadrul echipei responsabile pentru securitate a Google Chrome, cu utilizarea AddressSanitizer
CVE-2011-2870: Abhishek Arya (Inferno) din cadrul echipei responsabile pentru securitate a Google Chrome, cu utilizarea AddressSanitizer
CVE-2011-2871: Abhishek Arya (Inferno) din cadrul echipei responsabile pentru securitate a Google Chrome, cu utilizarea AddressSanitizer
CVE-2011-2872: Abhishek Arya (Inferno) și Cris Neckar din cadrul echipei responsabile pentru securitate a Google Chrome, cu utilizarea AddressSanitizer
CVE-2011-2873: Abhishek Arya (Inferno) din cadrul echipei responsabile pentru securitate a Google Chrome, cu utilizarea AddressSanitizer
CVE-2011-2877: miaubiz
CVE-2011-3885: miaubiz
CVE-2011-3888: miaubiz
CVE-2011-3897: pa_kt în colaborare cu proiectul Zero Day Initiative al TippingPoint
CVE-2011-3908: Aki Helin de la OUSPG
CVE-2011-3909: echipa responsabilă de securitate a Google Chrome (scarybeasts) și Chu
CVE-2011-3928: wushi de la team509, în colaborare cu proiectul Zero Day Initiative al TippingPoint
CVE-2012-0591: miaubiz și Martin Barbella
CVE-2012-0592: Alexander Gavrun în colaborare cu proiectul Zero Day Initiative al TippingPoint
CVE-2012-0593: Lei Zhang din cadrul comunității de dezvoltare Chromium
CVE-2012-0594: Adam Klein din cadrul comunității de dezvoltare Chromium
CVE-2012-0595: Apple
CVE-2012-0596: Abhishek Arya (Inferno) din cadrul echipei responsabile pentru securitate a Google Chrome, cu utilizarea AddressSanitizer
CVE-2012-0597: miaubiz
CVE-2012-0598: Sergey Glazunov
CVE-2012-0599: Dmytro Gorbunov de la SaveSources.com
CVE-2012-0600: Marshall Greenblatt, Dharani Govindan de la Google Chrome, miaubiz, Aki Helin de la OUSPG, Apple
CVE-2012-0601: Apple
CVE-2012-0602: Apple
CVE-2012-0603: Apple
CVE-2012-0604: Apple
CVE-2012-0605: Apple
CVE-2012-0606: Apple
CVE-2012-0607: Apple
CVE-2012-0608: Abhishek Arya (Inferno) din cadrul echipei responsabile pentru securitate a Google Chrome, cu utilizarea AddressSanitizer
CVE-2012-0609: Abhishek Arya (Inferno) din cadrul echipei responsabile pentru securitate a Google Chrome, cu utilizarea AddressSanitizer
CVE-2012-0610: miaubiz, Martin Barbella, cu utilizarea AddressSanitizer
CVE-2012-0611: Martin Barbella, cu utilizarea AddressSanitizer
CVE-2012-0612: Abhishek Arya (Inferno) din cadrul echipei responsabile pentru securitate a Google Chrome, cu utilizarea AddressSanitizer
CVE-2012-0613: Abhishek Arya (Inferno) din cadrul echipei responsabile pentru securitate a Google Chrome, cu utilizarea AddressSanitizer
CVE-2012-0614: miaubiz, Martin Barbella, cu utilizarea AddressSanitizer
CVE-2012-0615: Martin Barbella, cu utilizarea AddressSanitizer
CVE-2012-0616: miaubiz
CVE-2012-0617: Martin Barbella, cu utilizarea AddressSanitizer
CVE-2012-0618: Abhishek Arya (Inferno) din cadrul echipei responsabile pentru securitate a Google Chrome, cu utilizarea AddressSanitizer
CVE-2012-0619: Abhishek Arya (Inferno) din cadrul echipei responsabile pentru securitate a Google Chrome, cu utilizarea AddressSanitizer
CVE-2012-0620: Abhishek Arya (Inferno) din cadrul echipei responsabile pentru securitate a Google Chrome, cu utilizarea AddressSanitizer
CVE-2012-0621: Martin Barbella, cu utilizarea AddressSanitizer
CVE-2012-0622: Dave Levin și Abhishek Arya din cadrul echipei responsabile pentru securitate a Google Chrome
CVE-2012-0623: Abhishek Arya (Inferno) din cadrul echipei responsabile pentru securitate a Google Chrome, cu utilizarea AddressSanitizer
CVE-2012-0624: Martin Barbella, cu utilizarea AddressSanitizer
CVE-2012-0625: Martin Barbella
CVE-2012-0626: Abhishek Arya (Inferno) din cadrul echipei responsabile pentru securitate a Google Chrome, cu utilizarea AddressSanitizer
CVE-2012-0627: Apple
CVE-2012-0628: Slawomir Blazek, miaubiz, Abhishek Arya (Inferno) din cadrul echipei responsabile pentru securitate a Google Chrome, cu utilizarea AddressSanitizer
CVE-2012-0629: Abhishek Arya (Inferno) din cadrul echipei responsabile pentru securitate a Google Chrome
CVE-2012-0630: Sergio Villar Senin de la Igalia
CVE-2012-0631: Abhishek Arya (Inferno) din cadrul echipei responsabile pentru securitate a Google Chrome
CVE-2012-0632: Cris Neckar din cadrul echipei responsabile pentru securitate a Google Chrome, cu utilizarea AddressSanitizer
CVE-2012-0633: Apple
CVE-2012-0635: Julien Chaffraix din cadrul comunității de dezvoltare Chromium, Martin Barbella, cu utilizarea AddressSanitizer
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.