Този документ описва съдържанието за защита на iOS 4.3, което може да бъде изтеглено и инсталирано с помощта на iTunes.
С цел защита на нашите клиенти Apple не разкрива, не обсъжда и не потвърждава проблеми със защитата преди провеждането на цялостно разследване и издаването на всички необходими корекции или допълнителни издания към софтуера. За повече информация относно защитата на продуктите на Apple вж. уеб сайта Защита на продуктите на Apple.
За информация относно PGP ключа за защита на продуктите на Apple вж. „Как се използва PGP ключът за защита на продуктите на Apple“.
Където е възможно, се използват CVE идентификатори за описание на уязвимостите с цел допълнителна информация.
За да научите повече за други актуализации на защитата, вижте „Актуализации на защитата на Apple“.
iOS 4.3
- 

- 

CoreGraphics

На разположение за: от iOS 3.0 до 4.2.1 за iPhone 3GS и по-нови модели, от iOS 3.1 до 4.2.1 за iPod touch (3-то поколение) и по-нови модели, от iOS 3.2 до 4.2.1 за iPad

Въздействие: Няколко уязвимости във FreeType

Описание: Съществуваха няколко уязвимости във FreeType, най-съществената от които може да доведе до произволно изпълнение на код при обработването на злонамерено създаден шрифт. Тези проблеми се отстраняват чрез актуализиране на FreeType до версия 2.4.3. Допълнителна информация е на разположение в уеб сайта на FreeType на адрес http://www.freetype.org/

CVE-ID

CVE-2010-3855

 

- 

- 

ImageIO

На разположение за: от iOS 3.0 до 4.2.1 за iPhone 3GS и по-нови модели, от iOS 3.1 до 4.2.1 за iPod touch (3-то поколение) и по-нови модели, от iOS 3.2 до 4.2.1 за iPad

Въздействие: Разглеждането на злонамерено създадено TIFF изображение може да доведе до неочаквано прекратяване на приложение или произволно изпълнение на код

Описание: Съществуваше претоварване на буфера в обработването на libTIFF в JPEG-кодирани TIFF изображения. Разглеждането на злонамерено създадено TIFF изображение може да доведе до неочаквано прекратяване на приложение или произволно изпълнение на код.

CVE-ID

CVE-2011-0191: Apple

 

- 

- 

ImageIO

На разположение за: от iOS 3.0 до 4.2.1 за iPhone 3GS и по-нови модели, от iOS 3.1 до 4.2.1 за iPod touch (3-то поколение) и по-нови модели, от iOS 3.2 до 4.2.1 за iPad

Въздействие: Разглеждането на злонамерено създадено TIFF изображение може да доведе до неочаквано прекратяване на приложение или произволно изпълнение на код

Описание: Съществуваше претоварване на буфера в обработването на libTIFF в TIFF изображения, кодирани с CCITT Group 4. Разглеждането на злонамерено създадено TIFF изображение може да доведе до неочаквано прекратяване на приложение или произволно изпълнение на код.

CVE-ID

CVE-2011-0192: Apple

 

- 

- 

libxml

На разположение за: от iOS 3.0 до 4.2.1 за iPhone 3GS и по-нови модели, от iOS 3.1 до 4.2.1 за iPod touch (3-то поколение) и по-нови модели, от iOS 3.2 до 4.2.1 за iPad

Въздействие: Посещаването на злонамерено изграден уеб сайт може да доведе до неочаквано прекратяване на приложение или произволно изпълнение на код

Описание: Съществуваше проблем при двукратно освобождаване в обработката на libxml в XPath изрази. Посещаването на злонамерено изграден уеб сайт може да доведе до неочаквано прекратяване на приложение или произволно изпълнение на код.

CVE-ID

CVE-2010-4494: Yang Dingning от NCNIPC, Магистърски университет към Китайската академия на науките

 

- 

- 

Свързване в мрежа

На разположение за: от iOS 3.0 до 4.2.1 за iPhone 3GS и по-нови модели, от iOS 3.1 до 4.2.1 за iPod touch (3-то поколение) и по-нови модели, от iOS 3.2 до 4.2.1 за iPad

Въздействие: Сървър може да е в състояние да идентифицира устройство през различни връзки

Описание: Избраният от устройството IPv6 адрес съдържа MAC адреса на устройството при използване на автоматично конфигуриране на адрес без състояние (SLAAC). Сървър с възможност за IPv6, с който устройството е осъществило контакт, може да използва адреса за проследяване на устройството през различни връзки. Тази актуализация внедрява IPv6 разширението, описано в RFC 3041, чрез добавяне на временен случаен адрес, използван за изходящи връзки.

 

- 

- 

Safari

На разположение за: от iOS 3.0 до 4.2.1 за iPhone 3GS и по-нови модели, от iOS 3.1 до 4.2.1 за iPod touch (3-то поколение) и по-нови модели, от iOS 3.2 до 4.2.1 за iPad

Въздействие: Посещаването на злонамерено изграден уеб сайт може да доведе до изход от MobileSafari при стартиране

Описание: Злонамерено изграден уеб сайт може да съдържа javascript, който води до повторно стартиране на друго приложение на устройството чрез неговия URL манипулатор. Посещаването на този уеб сайт с MobileSafari ще доведе до изход от MobileSafari и до стартиране на целевото приложение. Тази последователност ще продължи при всяко отваряне на MobileSafari. Този проблем се разрешава чрез връщане към предходната страница, когато Safari се отвори отново, след като другото приложение е стартирано чрез неговия URL манипулатор.

CVE-ID

CVE-2011-0158: Nitesh Dhanjani от Ernst & Young LLP

 

- 

- 

Safari

На разположение за: от iOS 4.0 до 4.2.1 за iPhone 3GS и по-нови модели, от iOS 4.0 до 4.2.1 за iPod touch (3-то поколение) и по-нови модели, от iOS 4.2 до 4.2.1 за iPad

Въздействие: Изчистването на бисквитките в настройките на Safari може да няма ефект

Описание: При някои обстоятелства изчистването на бисквитките чрез настройките на Safari няма ефект, докато Safari се изпълнява. Този проблем се разрешава чрез подобрено обработване на бисквитките. Този проблем не засяга системи преди iOS 4.0.

CVE-ID

CVE-2011-0159: Erik Wong от Google Inc.

 

- 

- 

WebKit

На разположение за: от iOS 3.0 до 4.2.1 за iPhone 3GS и по-нови модели, от iOS 3.1 до 4.2.1 за iPod touch (3-то поколение) и по-нови модели, от iOS 3.2 до 4.2.1 за iPad

Въздействие: Посещаването на злонамерено изграден уеб сайт може да доведе до неочаквано прекратяване на приложение или произволно изпълнение на код

Описание: Съществуват няколко проблема с повреди в паметта в WebKit. Посещаването на злонамерено изграден уеб сайт може да доведе до неочаквано прекратяване на приложение или произволно изпълнение на код.

CVE-ID

CVE-2010-1792

CVE-2010-1824: kuzzcc и wushi от team509, работещ със Zero Day Initiative на TippingPoint

CVE-2011-0111: Sergey Glazunov

CVE-2011-0112: Yuzo Fujishima от Google Inc.

CVE-2011-0113: Andreas Kling от Nokia

CVE-2011-0114: Chris Evans от екипа по защита на Google Chrome

CVE-2011-0115: J23, работещ със Zero Day Initiative на TippingPoint, и Emil A Eklund от Google, Inc.

CVE-2011-0116: анонимен изследовател, работещ със Zero Day Initiative на TippingPoint

CVE-2011-0117: Abhishek Arya (Inferno) от Google, Inc.

CVE-2011-0118: Abhishek Arya (Inferno) от Google, Inc.

CVE-2011-0119: Abhishek Arya (Inferno) от Google, Inc.

CVE-2011-0120: Abhishek Arya (Inferno) от Google, Inc.

CVE-2011-0121: Abhishek Arya (Inferno) от Google, Inc.

CVE-2011-0122: Slawomir Blazek

CVE-2011-0123: Abhishek Arya (Inferno) от Google, Inc.

CVE-2011-0124: Yuzo Fujishima от Google Inc.

CVE-2011-0125: Abhishek Arya (Inferno) от Google, Inc.

CVE-2011-0126: Mihai Parparita от Google, Inc.

CVE-2011-0127: Abhishek Arya (Inferno) от Google, Inc.

CVE-2011-0128: David Bloom

CVE-2011-0129: Famlam

CVE-2011-0130: Apple

CVE-2011-0131: wushi от team509

CVE-2011-0132: wushi от team509, работещ със Zero Day Initiative на TippingPoint

CVE-2011-0133: wushi от team509, работещ със Zero Day Initiative на TippingPoint

CVE-2011-0134: Jan Tosovsky

CVE-2011-0135: анонимен репортер

CVE-2011-0136: Sergey Glazunov

CVE-2011-0137: Sergey Glazunov

CVE-2011-0138: kuzzcc

CVE-2011-0140: Sergey Glazunov

CVE-2011-0141: Chris Rohlf от Matasano Security

CVE-2011-0142: Abhishek Arya (Inferno) от Google, Inc.

CVE-2011-0143: Slawomir Blazek и Sergey Glazunov

CVE-2011-0144: Emil A Eklund от Google, Inc.

CVE-2011-0145: Abhishek Arya (Inferno) от Google, Inc.

CVE-2011-0146: Abhishek Arya (Inferno) от Google, Inc.

CVE-2011-0147: Dirk Schulze

CVE-2011-0148: Michal Zalewski от Google, Inc.

CVE-2011-0149: wushi от team509, работещ със Zero Day Initiative на TippingPoint, и SkyLined от екипа по защита на Google Chrome

CVE-2011-0150: Michael Gundlach от safariadblock.com

CVE-2011-0151: Abhishek Arya (Inferno) от Google, Inc.

CVE-2011-0152: SkyLined от екипа по защита на Google Chrome

CVE-2011-0153: Abhishek Arya (Inferno) от Google, Inc.

CVE-2011-0154: анонимен изследовател, работещ със Zero Day Initiative на TippingPoint

CVE-2011-0155: Aki Helin от OUSPG

CVE-2011-0156: Abhishek Arya (Inferno) от Google, Inc.

CVE-2011-0157: Benoit Jacob от Mozilla

CVE-2011-0168: Sergey Glazunov

 

- 

- 

WebKit

На разположение за: от iOS 3.0 до 4.2.1 за iPhone 3GS и по-нови модели, от iOS 3.1 до 4.2.1 за iPod touch (3-то поколение) и по-нови модели, от iOS 3.2 до 4.2.1 за iPad

Въздействие: Идентификационни данни за HTTP базово удостоверяване може да бъдат разкрити по невнимание на друг сайт

Описание: Ако даден сайт използва HTTP базово удостоверяване и пренасочва към друг сайт, идентификационните данни за удостоверяване може да бъдат изпратени на другия сайт. Този проблем се разрешава чрез подобрено обработване на идентификационните данни.

CVE-ID

CVE-2011-0160: McIntosh Cooey от Twelve Hundred Group, Harald Hanche-Olsen, Chuck Hohn от 1111 Internet LLC, работещ със CERT, и Paul Hinze от Braintree

 

- 

- 

WebKit

На разположение за: от iOS 3.0 до 4.2.1 за iPhone 3GS и по-нови модели, от iOS 3.1 до 4.2.1 за iPod touch (3-то поколение) и по-нови модели, от iOS 3.2 до 4.2.1 за iPad

Въздействие: Посещаването на злонамерено изграден уеб сайт може да доведе до стилови декларации между сайтове

Описание: Съществуваше проблем с кръстосан произход в обработването на структурата за достъп Attr.style от WebKit. Посещаването на злонамерено изграден уеб сайт може да позволи на сайта на вмъкне CSS в други документи. Този проблем се разрешава чрез премахване на структурата за достъп Attr.style.

CVE-ID

CVE-2011-0161: Apple

 

- 

- 

WebKit

На разположение за: от iOS 3.0 до 4.2.1 за iPhone 3GS и по-нови модели, от iOS 3.1 до 4.2.1 за iPod touch (3-то поколение) и по-нови модели, от iOS 3.2 до 4.2.1 за iPad

Въздействие: Злонамерено изграден уеб сайт може да е в състояние да попречи на други сайтове да подават заявки за определени ресурси

Описание: Съществуваше проблем с отравяне на кеша при обработката на кеширани ресурси от WebKit. Злонамерено изграден уеб сайт може да е в състояние да попречи на други сайтове да подават заявки за определени ресурси. Този проблем се разрешава чрез подобрена проверка на типа.

CVE-ID

CVE-2011-0163: Apple

 

- 

- 

Wi-Fi

На разположение за: от iOS 3.0 до 4.2.1 за iPhone 3GS и по-нови модели, от iOS 3.1 до 4.2.1 за iPod touch (3-то поколение) и по-нови модели, от iOS 3.2 до 4.2.1 за iPad

Въздействие: При свързване с Wi-Fi хакер в същата мрежа може да е в състояние да предизвика нулиране на устройство

Описание: Съществуваше проблем с проверката на границите в обработването на Wi-Fi рамки. При свързване с Wi-Fi хакер в същата мрежа може да е в състояние да предизвика нулиране на устройство.

CVE-ID

CVE-2011-0162: Scott Boyd от ePlus Technology, inc.