Informace o bezpečnostním obsahu aktualizace pro iPhone 1.1.1
Tento dokument popisuje obsah bezpečnostní aktualizace pro iPhone 1.1.1.
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.
Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.
Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.
Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.
Aktualizace iPhonu 1.1.1
Bluetooth
CVE-ID: CVE-2007-3753
Dopad: Útočníkovi v dosahu Bluetooth se může podařit způsobit neočekávané ukončení aplikace nebo spuštění libovolného kódu.
Popis: Na serveru Bluetooth iPhonu existuje problém s ověřováním vstupů. Odesláním škodlivých paketů protokolu SDP (Service Discovery Protocol) do iPhonu se zapnutým Bluetooth může útočník problém spustit, což může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Tato aktualizace řeší problém dalším ověřováním paketů SDP. Poděkování za nahlášení problému zaslouží Kevin Mahaffey a John Hering ze společnosti Flexilis Mobile Security.
CVE-ID: CVE-2007-3754
Dopad: Kontrola e-mailu přes nedůvěryhodné sítě může vést k prozrazení informací prostřednictvím útoku typu man-in-the-middle.
Popis: Když je Mail nakonfigurovaný tak, aby pro příchozí a odchozí připojení používal SSL, nevaruje uživatele, když se identita poštovního serveru změnila nebo se jí nedá důvěřovat. Útočníkovi, který dokáže spojení zachytit, se může vydávat za poštovní server uživatele a získat přihlašovací údaje uživatele nebo jiné citlivé informace. Tato aktualizace řeší problém správným upozorněním, když se identita vzdáleného poštovního serveru změní.
CVE-ID: CVE-2007-3755
Dopad: Použití odkazu na telefon („tel:“) v Mailu vytočí telefonní číslo bez potvrzení.
Popis: Mail podporuje vytáčení telefonních čísel přes odkaz na telefon („tel:“). Když útočník uživatele naláká, aby použil odkaz na telefon v e-mailové zprávě, může způsobit, že iPhone zavolá bez uživatelova potvrzení. Tato aktualizace řeší problém tím, že před vytočením telefonního čísla přes odkaz na telefon v Mailu zobrazí potvrzovací okno. Poděkování za nahlášení problému zaslouží Andi Baritchi ze společnosti McAfee.
Safari
CVE-ID: CVE-2007-3756
Dopad: Návštěva škodlivého webu může vést k prozrazení obsahu URL.
Popis: Problém s provedením v Safari umožňuje webové stránce přečíst adresu URL, která se aktuálně zobrazuje v jejím nadřazeném okně. Když útočník uživatele naláká k návštěvě škodlivé webové stránky, může se mu podařit získat adresu URL nesouvisející stránky. Tato aktualizace řeší problém vylepšením kontroly zabezpečení napříč doménami. Poděkování za nahlášení problému zaslouží Michal Zalewski ze společnosti Google Inc. a Secunia Research.
Safari
CVE-ID: CVE-2007-3757
Dopad: Návštěva škodlivého webu může vést k nezamýšlenému vytáčení nebo vytočení jiného než očekávaného čísla.
Popis: Safari podporuje vytáčení telefonních čísel přes odkaz na telefon („tel:“). Když je odkaz na telefon vybrán, Safari se v potvrzení zeptá, jestli se má číslo vytočit. Škodlivý odkaz na telefon může způsobit, že se během potvrzení zobrazí jiné číslo než to, které se skutečně vytáčí. Ukončení Safari během potvrzování může vést k neúmyslnému potvrzení. Tato aktualizace řeší problém správným zobrazením čísla, které bude vytočeno, a vyžadováním potvrzení pro odkazy na telefon. Poděkování za nahlášení problému zaslouží Billy Hoffman a Bryan Sullivan z HP Security Labs (dříve SPI Labs) a Eduardo Tang.
Safari
CVE-ID: CVE-2007-3758
Dopad: Návštěva škodlivého webu může vést ke skriptování napříč weby.
Popis: V Safari existuje chyba zabezpečení se skriptováním napříč weby, která škodlivým webům umožňuje nastavit vlastnosti oken JavaScriptu webových stránek poskytovaných z jiné domény. Když útočník uživatele naláká k návštěvě škodlivého webu, může problém spustit, což vede k získání nebo nastavení stavu okna a polohy stránek poskytovaných z jiných webů. Tato aktualizace řeší problém tím, že vylepšuje kontroly přístupu k těmto vlastnostem. Poděkování za nahlášení problému zaslouží Michal Zalewski ze společnosti Google Inc.
Safari
CVE-ID: CVE-2007-3759
Dopad: Zakázání JavaScriptu se projeví až po restartování Safari.
Popis: V Safari se dá pomocí konfigurace povolit nebo zakázat JavaScript. Tato předvolba se projeví až při příštím restartování Safari. K tomu obvykle dochází, když se restartuje iPhone. To může uživatele uvést v omyl, že je JavaScript zakázaný, přestože není. Tato aktualizace řeší problém tím, že novou předvolbu použije před načtením nových webových stránek.
Safari
CVE-ID: CVE-2007-3760
Dopad: Návštěva škodlivého webu může vést ke skriptování napříč weby.
Popis: Problém se skriptováním napříč weby v Safari umožňuje škodlivému webu obejít zásady stejného původu pomocí značek „frame“. Když útočník uživatele naláká k návštěvě škodlivé webové stránky, může problém spustit, což může vést ke spuštění JavaScriptu v kontextu jiného webu. Tato aktualizace řeší problém tím, že zakazuje JavaScript jako zdroj „iframe“ a omezuje JavaScript ve značkách „frame“ na stejný přístup jako web, ze kterého pochází. Poděkování za nahlášení problému zaslouží Michal Zalewski ze společnosti Google Inc. a Secunia Research.
Safari
CVE-ID: CVE-2007-3761
Dopad: Návštěva škodlivého webu může vést ke skriptování napříč weby.
Popis: Problém se skriptováním napříč weby v Safari umožňuje, aby události JavaScriptu byly spojeny se špatným rámcem. Když útočník uživatele naláká k návštěvě škodlivé webové stránky, může způsobit spuštění JavaScriptu v kontextu jiného webu. Tato aktualizace řeší problém přiřazením událostí JavaScriptu ke správnému zdrojovému rámci.
Safari
CVE-ID: CVE-2007-4671
Dopad: JavaScript na webových stránkách může mít přístup k obsahu dokumentů doručovaných přes HTTPS nebo s nimi manipulovat.
Popis: Problém v Safari umožňuje, aby obsah doručovaný přes HTTP měnil obsah doručovaný přes HTTPS ve stejné doméně nebo k němu měl přístup. Když útočník uživatele naláká k návštěvě škodlivé webové stránky, může způsobit spuštění JavaScriptu v kontextu webových stránek HTTPS ve stejné doméně. Tato aktualizace řeší problém omezením přístupu mezi spuštěním JavaScriptu v rámcích HTTP a HTTPS. Poděkování za nahlášení problému zaslouží Keigo Yamazaki ze společnosti LAC Co., Ltd (Little eArth Corporation Co., Ltd.).
Poznámka k instalaci:
Tato aktualizace je dostupná pouze prostřednictvím iTunes a nezobrazí se v aplikaci Aktualizace softwaru vašeho počítače ani na webu Apple se soubory ke stažení. Zkontrolujte, že máte připojení k internetu a nainstalovanou nejnovější verzi iTunes z www.apple.com/cz/itunes.
iTunes podle týdenního plánu automaticky kontroluje server aktualizací Apple. Když je zjištěna aktualizace, stáhne ji. Když je iPhone v doku, iTunes uživateli nabídne možnost aktualizaci nainstalovat. Pokud je to možné, doporučujeme aktualizaci použít okamžitě. Pokud vyberete „Neinstalovat“, tato možnost se zobrazí při příštím připojení iPhonu.
Proces automatické aktualizace může trvat až týden v závislosti na dni, kdy iTunes aktualizace vyhledává. Aktualizaci můžete získat ručně pomocí tlačítka „Vyhledat aktualizace“ v iTunes. Pak lze aktualizaci použít, když je iPhone připojený k počítači.
Pokud chcete zkontrolovat, jestli byl iPhone aktualizován:
Přejděte do Nastavení
Klikněte na Obecné
Klikněte na Informace. Verze po provedení této aktualizace bude „1.1.1 (3A109a)“.