Относно съдържанието за защита на iOS 4.3

Този документ описва съдържанието за защита на iOS 4.3.

Този документ описва съдържанието за защита на iOS 4.3, което може да бъде изтеглено и инсталирано с помощта на iTunes.

С цел защита на нашите клиенти Apple не разкрива, не обсъжда и не потвърждава проблеми със защитата преди провеждането на цялостно разследване и издаването на всички необходими корекции или допълнителни издания към софтуера. За повече информация относно защитата на продуктите на Apple вж. уеб сайта Защита на продуктите на Apple.

За информация относно PGP ключа за защита на продуктите на Apple вж. „Как се използва PGP ключът за защита на продуктите на Apple“.

Където е възможно, се използват CVE идентификатори за описание на уязвимостите с цел допълнителна информация.

За да научите повече за други актуализации на защитата, вижте „Актуализации на защитата на Apple“.

iOS 4.3

  • CoreGraphics

    На разположение за: от iOS 3.0 до 4.2.1 за iPhone 3GS и по-нови модели, от iOS 3.1 до 4.2.1 за iPod touch (3-то поколение) и по-нови модели, от iOS 3.2 до 4.2.1 за iPad

    Въздействие: Няколко уязвимости във FreeType

    Описание: Съществуваха няколко уязвимости във FreeType, най-съществената от които може да доведе до произволно изпълнение на код при обработването на злонамерено създаден шрифт. Тези проблеми се отстраняват чрез актуализиране на FreeType до версия 2.4.3. Допълнителна информация е на разположение в уеб сайта на FreeType на адрес http://www.freetype.org/

    CVE-ID

    CVE-2010-3855

  • ImageIO

    На разположение за: от iOS 3.0 до 4.2.1 за iPhone 3GS и по-нови модели, от iOS 3.1 до 4.2.1 за iPod touch (3-то поколение) и по-нови модели, от iOS 3.2 до 4.2.1 за iPad

    Въздействие: Разглеждането на злонамерено създадено TIFF изображение може да доведе до неочаквано прекратяване на приложение или произволно изпълнение на код

    Описание: Съществуваше претоварване на буфера в обработването на libTIFF в JPEG-кодирани TIFF изображения. Разглеждането на злонамерено създадено TIFF изображение може да доведе до неочаквано прекратяване на приложение или произволно изпълнение на код.

    CVE-ID

    CVE-2011-0191: Apple

  • ImageIO

    На разположение за: от iOS 3.0 до 4.2.1 за iPhone 3GS и по-нови модели, от iOS 3.1 до 4.2.1 за iPod touch (3-то поколение) и по-нови модели, от iOS 3.2 до 4.2.1 за iPad

    Въздействие: Разглеждането на злонамерено създадено TIFF изображение може да доведе до неочаквано прекратяване на приложение или произволно изпълнение на код

    Описание: Съществуваше претоварване на буфера в обработването на libTIFF в TIFF изображения, кодирани с CCITT Group 4. Разглеждането на злонамерено създадено TIFF изображение може да доведе до неочаквано прекратяване на приложение или произволно изпълнение на код.

    CVE-ID

    CVE-2011-0192: Apple

  • libxml

    На разположение за: от iOS 3.0 до 4.2.1 за iPhone 3GS и по-нови модели, от iOS 3.1 до 4.2.1 за iPod touch (3-то поколение) и по-нови модели, от iOS 3.2 до 4.2.1 за iPad

    Въздействие: Посещаването на злонамерено изграден уеб сайт може да доведе до неочаквано прекратяване на приложение или произволно изпълнение на код

    Описание: Съществуваше проблем при двукратно освобождаване в обработката на libxml в XPath изрази. Посещаването на злонамерено изграден уеб сайт може да доведе до неочаквано прекратяване на приложение или произволно изпълнение на код.

    CVE-ID

    CVE-2010-4494: Yang Dingning от NCNIPC, Магистърски университет към Китайската академия на науките

  • Свързване в мрежа

    На разположение за: от iOS 3.0 до 4.2.1 за iPhone 3GS и по-нови модели, от iOS 3.1 до 4.2.1 за iPod touch (3-то поколение) и по-нови модели, от iOS 3.2 до 4.2.1 за iPad

    Въздействие: Сървър може да е в състояние да идентифицира устройство през различни връзки

    Описание: Избраният от устройството IPv6 адрес съдържа MAC адреса на устройството при използване на автоматично конфигуриране на адрес без състояние (SLAAC). Сървър с възможност за IPv6, с който устройството е осъществило контакт, може да използва адреса за проследяване на устройството през различни връзки. Тази актуализация внедрява IPv6 разширението, описано в RFC 3041, чрез добавяне на временен случаен адрес, използван за изходящи връзки.

  • Safari

    На разположение за: от iOS 3.0 до 4.2.1 за iPhone 3GS и по-нови модели, от iOS 3.1 до 4.2.1 за iPod touch (3-то поколение) и по-нови модели, от iOS 3.2 до 4.2.1 за iPad

    Въздействие: Посещаването на злонамерено изграден уеб сайт може да доведе до изход от MobileSafari при стартиране

    Описание: Злонамерено изграден уеб сайт може да съдържа javascript, който води до повторно стартиране на друго приложение на устройството чрез неговия URL манипулатор. Посещаването на този уеб сайт с MobileSafari ще доведе до изход от MobileSafari и до стартиране на целевото приложение. Тази последователност ще продължи при всяко отваряне на MobileSafari. Този проблем се разрешава чрез връщане към предходната страница, когато Safari се отвори отново, след като другото приложение е стартирано чрез неговия URL манипулатор.

    CVE-ID

    CVE-2011-0158: Nitesh Dhanjani от Ernst & Young LLP

  • Safari

    На разположение за: от iOS 4.0 до 4.2.1 за iPhone 3GS и по-нови модели, от iOS 4.0 до 4.2.1 за iPod touch (3-то поколение) и по-нови модели, от iOS 4.2 до 4.2.1 за iPad

    Въздействие: Изчистването на бисквитките в настройките на Safari може да няма ефект

    Описание: При някои обстоятелства изчистването на бисквитките чрез настройките на Safari няма ефект, докато Safari се изпълнява. Този проблем се разрешава чрез подобрено обработване на бисквитките. Този проблем не засяга системи преди iOS 4.0.

    CVE-ID

    CVE-2011-0159: Erik Wong от Google Inc.

  • WebKit

    На разположение за: от iOS 3.0 до 4.2.1 за iPhone 3GS и по-нови модели, от iOS 3.1 до 4.2.1 за iPod touch (3-то поколение) и по-нови модели, от iOS 3.2 до 4.2.1 за iPad

    Въздействие: Посещаването на злонамерено изграден уеб сайт може да доведе до неочаквано прекратяване на приложение или произволно изпълнение на код

    Описание: Съществуват няколко проблема с повреди в паметта в WebKit. Посещаването на злонамерено изграден уеб сайт може да доведе до неочаквано прекратяване на приложение или произволно изпълнение на код.

    CVE-ID

    CVE-2010-1792

    CVE-2010-1824: kuzzcc и wushi от team509, работещ със Zero Day Initiative на TippingPoint

    CVE-2011-0111: Sergey Glazunov

    CVE-2011-0112: Yuzo Fujishima от Google Inc.

    CVE-2011-0113: Andreas Kling от Nokia

    CVE-2011-0114: Chris Evans от екипа по защита на Google Chrome

    CVE-2011-0115: J23, работещ със Zero Day Initiative на TippingPoint, и Emil A Eklund от Google, Inc.

    CVE-2011-0116: анонимен изследовател, работещ със Zero Day Initiative на TippingPoint

    CVE-2011-0117: Abhishek Arya (Inferno) от Google, Inc.

    CVE-2011-0118: Abhishek Arya (Inferno) от Google, Inc.

    CVE-2011-0119: Abhishek Arya (Inferno) от Google, Inc.

    CVE-2011-0120: Abhishek Arya (Inferno) от Google, Inc.

    CVE-2011-0121: Abhishek Arya (Inferno) от Google, Inc.

    CVE-2011-0122: Slawomir Blazek

    CVE-2011-0123: Abhishek Arya (Inferno) от Google, Inc.

    CVE-2011-0124: Yuzo Fujishima от Google Inc.

    CVE-2011-0125: Abhishek Arya (Inferno) от Google, Inc.

    CVE-2011-0126: Mihai Parparita от Google, Inc.

    CVE-2011-0127: Abhishek Arya (Inferno) от Google, Inc.

    CVE-2011-0128: David Bloom

    CVE-2011-0129: Famlam

    CVE-2011-0130: Apple

    CVE-2011-0131: wushi от team509

    CVE-2011-0132: wushi от team509, работещ със Zero Day Initiative на TippingPoint

    CVE-2011-0133: wushi от team509, работещ със Zero Day Initiative на TippingPoint

    CVE-2011-0134: Jan Tosovsky

    CVE-2011-0135: анонимен репортер

    CVE-2011-0136: Sergey Glazunov

    CVE-2011-0137: Sergey Glazunov

    CVE-2011-0138: kuzzcc

    CVE-2011-0140: Sergey Glazunov

    CVE-2011-0141: Chris Rohlf от Matasano Security

    CVE-2011-0142: Abhishek Arya (Inferno) от Google, Inc.

    CVE-2011-0143: Slawomir Blazek и Sergey Glazunov

    CVE-2011-0144: Emil A Eklund от Google, Inc.

    CVE-2011-0145: Abhishek Arya (Inferno) от Google, Inc.

    CVE-2011-0146: Abhishek Arya (Inferno) от Google, Inc.

    CVE-2011-0147: Dirk Schulze

    CVE-2011-0148: Michal Zalewski от Google, Inc.

    CVE-2011-0149: wushi от team509, работещ със Zero Day Initiative на TippingPoint, и SkyLined от екипа по защита на Google Chrome

    CVE-2011-0150: Michael Gundlach от safariadblock.com

    CVE-2011-0151: Abhishek Arya (Inferno) от Google, Inc.

    CVE-2011-0152: SkyLined от екипа по защита на Google Chrome

    CVE-2011-0153: Abhishek Arya (Inferno) от Google, Inc.

    CVE-2011-0154: анонимен изследовател, работещ със Zero Day Initiative на TippingPoint

    CVE-2011-0155: Aki Helin от OUSPG

    CVE-2011-0156: Abhishek Arya (Inferno) от Google, Inc.

    CVE-2011-0157: Benoit Jacob от Mozilla

    CVE-2011-0168: Sergey Glazunov

  • WebKit

    На разположение за: от iOS 3.0 до 4.2.1 за iPhone 3GS и по-нови модели, от iOS 3.1 до 4.2.1 за iPod touch (3-то поколение) и по-нови модели, от iOS 3.2 до 4.2.1 за iPad

    Въздействие: Идентификационни данни за HTTP базово удостоверяване може да бъдат разкрити по невнимание на друг сайт

    Описание: Ако даден сайт използва HTTP базово удостоверяване и пренасочва към друг сайт, идентификационните данни за удостоверяване може да бъдат изпратени на другия сайт. Този проблем се разрешава чрез подобрено обработване на идентификационните данни.

    CVE-ID

    CVE-2011-0160: McIntosh Cooey от Twelve Hundred Group, Harald Hanche-Olsen, Chuck Hohn от 1111 Internet LLC, работещ със CERT, и Paul Hinze от Braintree

  • WebKit

    На разположение за: от iOS 3.0 до 4.2.1 за iPhone 3GS и по-нови модели, от iOS 3.1 до 4.2.1 за iPod touch (3-то поколение) и по-нови модели, от iOS 3.2 до 4.2.1 за iPad

    Въздействие: Посещаването на злонамерено изграден уеб сайт може да доведе до стилови декларации между сайтове

    Описание: Съществуваше проблем с кръстосан произход в обработването на структурата за достъп Attr.style от WebKit. Посещаването на злонамерено изграден уеб сайт може да позволи на сайта на вмъкне CSS в други документи. Този проблем се разрешава чрез премахване на структурата за достъп Attr.style.

    CVE-ID

    CVE-2011-0161: Apple

  • WebKit

    На разположение за: от iOS 3.0 до 4.2.1 за iPhone 3GS и по-нови модели, от iOS 3.1 до 4.2.1 за iPod touch (3-то поколение) и по-нови модели, от iOS 3.2 до 4.2.1 за iPad

    Въздействие: Злонамерено изграден уеб сайт може да е в състояние да попречи на други сайтове да подават заявки за определени ресурси

    Описание: Съществуваше проблем с отравяне на кеша при обработката на кеширани ресурси от WebKit. Злонамерено изграден уеб сайт може да е в състояние да попречи на други сайтове да подават заявки за определени ресурси. Този проблем се разрешава чрез подобрена проверка на типа.

    CVE-ID

    CVE-2011-0163: Apple

  • Wi-Fi

    На разположение за: от iOS 3.0 до 4.2.1 за iPhone 3GS и по-нови модели, от iOS 3.1 до 4.2.1 за iPod touch (3-то поколение) и по-нови модели, от iOS 3.2 до 4.2.1 за iPad

    Въздействие: При свързване с Wi-Fi хакер в същата мрежа може да е в състояние да предизвика нулиране на устройство

    Описание: Съществуваше проблем с проверката на границите в обработването на Wi-Fi рамки. При свързване с Wi-Fi хакер в същата мрежа може да е в състояние да предизвика нулиране на устройство.

    CVE-ID

    CVE-2011-0162: Scott Boyd от ePlus Technology, inc.

Информацията за продукти, които не са произведени от Apple, или независими уебсайтове, които не са контролирани или тествани от Apple, се предоставя без препоръка или одобрение. Apple не поема никаква отговорност по отношение на подбора, производителността или използването на уебсайтове или продукти на трети страни. Apple не представя никакви становища относно точността или надеждността на уебсайтове на трети страни. Свържете се с доставчика за допълнителна информация.

Дата на публикуване: