Informace o bezpečnostním obsahu aktualizace pro iPhone v1.0.1
Tento dokument popisuje bezpečnostní obsah aktualizace pro iPhone v1.0.1, kterou lze stáhnout a nainstalovat prostřednictvím iTunes podle popisu níže.
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.
Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.
Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.
Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.
Aktualizace pro iPhone v1.0.1
Safari
CVE-ID: CVE-2007-2400
Dostupné pro: iPhone v1.0
Dopad: Návštěva škodlivého webu může umožnit skriptování napříč weby.
Popis: Bezpečnostní model Safari zabraňuje JavaScriptu na vzdálených webových stránkách upravovat stránky mimo jejich doménu. Problém se souběhem při aktualizaci stránky v kombinaci s přesměrováním HTTP může umožnit JavaScriptu z jedné stránky upravit přesměrovanou stránku. To by mohlo umožnit čtení nebo libovolnou úpravu souborů cookie a stránek. Aktualizace tento problém řeší opravou řízení přístupu k vlastnostem okna. Poděkování zaslouží Lawrence Lai, Stan Switzer a Ed Rowe z týmu Adobe Systems, Inc. za nahlášení tohoto problému.
Safari
CVE-ID: CVE-2007-3944
Dostupné pro: iPhone v1.0
Dopad: Zobrazení škodlivé webové stránky může vést ke spuštění libovolného kódu.
Popis: V knihovně Perl Compatible Regular Expressions (PCRE) používané modulem JavaScriptu v Safari dochází k přetečení vyrovnávací paměti haldy. Nalákáním uživatele k návštěvě škodlivého webu může útočník způsobit problém, který může vést ke spuštění libovolného kódu. Aktualizace tento problém řeší provedením dodatečného ověření regulárních výrazů JavaScriptu. Poděkování zaslouží Charlie Miller a Jake Honoroff z týmu Independent Security Evaluators za nahlášení těchto problémů.
WebCore
CVE-ID: CVE-2007-2401
Dostupné pro: iPhone v1.0
Dopad: Návštěva škodlivého webu může povolit požadavky napříč weby.
Popis: Při serializaci záhlaví do požadavku HTTP dochází k problému vkládání HTTP v XMLHttpRequest. Nalákáním uživatele k návštěvě škodlivé webové stránky by útočník mohl vyvolat problém se skriptováním napříč weby. Aktualizace tento problém řeší provedením dodatečného ověření parametrů záhlaví. Poděkování zaslouží Richard Moore z týmu Westpoint Ltd. za nahlášení tohoto problému.
WebKit
CVE-ID: CVE-2007-3742
Dostupné pro: iPhone v1.0
Dopad: Podobné znaky v adrese URL lze použít k maskování webových stránek.
Popis: Podporu mezinárodních názvů domén (IDN) a písma Unicode vložená do Safari lze použít k vytvoření adresy URL, která obsahuje podobné znaky. Ty by mohly být použity na škodlivém webu k přesměrování uživatele na podvržený web, který se vizuálně jeví jako legitimní doména. Aktualizace tento problém řeší prostřednictvím vylepšené kontroly platnosti názvu domény. Poděkování zaslouží Tomohito Yoshino z týmu Business Architects Inc. za nahlášení tohoto problému.
WebKit
CVE-ID: CVE-2007-2399
Dostupné pro: iPhone v1.0
Dopad: Návštěva škodlivého webu mohla vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Neplatný převod typu při vykreslování sad snímků může vést k poškození paměti. Návštěva škodlivé webové stránky může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Poděkování zaslouží Rhys Kidd z týmu Westnet za nahlášení tohoto problému.
Poznámka k instalaci
Tato aktualizace je k dispozici pouze prostřednictvím iTunes a nezobrazí se v aplikaci Aktualizace softwaru vašeho počítače ani na webu podpory Apple se soubory ke stažení. Zkontrolujte, že máte připojení k internetu a nainstalovanou nejnovější verzi iTunes z (www.apple.com/cz/itunes).
iTunes podle týdenního plánu automaticky kontroluje server aktualizací Apple. Když je zjištěna aktualizace, stáhne ji. Když je iPhone v doku, iTunes uživateli nabídne možnost aktualizaci nainstalovat. Pokud je to možné, doporučujeme aktualizaci použít okamžitě. Pokud vyberete „Neinstalovat“, tato možnost se zobrazí při příštím připojení iPhonu. Proces automatické aktualizace může trvat až týden v závislosti na dni, kdy iTunes aktualizace vyhledává.
Aktualizaci můžete získat ručně pomocí tlačítka „Vyhledat aktualizace“ nebo pomocí nabídky v iTunes. Pak lze aktualizaci použít, když je iPhone připojený k počítači.
Chcete-li zkontrolovat, zda byl iPhone aktualizován:
Na iPhonu přejděte do Nastavení.
Klikněte na Obecné.
Klikněte na O aplikaci. Verze po použití této aktualizace bude „1.0.1 (1C25)“.