Informace o bezpečnostním obsahu aktualizace softwaru iOS 4.2.7 pro iPhone

Tento dokument popisuje bezpečnostní obsah aktualizace softwaru iOS 4.2.7

Tento dokument popisuje bezpečnostní obsah aktualizace softwaru iOS 4.2.7, který si můžete stáhnout a nainstalovat přes iTunes.

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.

Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.

Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.

Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.

Aktualizace softwaru iOS 4.2.7 pro iPhone

• Certificate Trust Policy

  K dispozici pro: iOS 4.2.5 až 4.2.6 pro iPhone 4 (CDMA)

  Dopad: Útočník s vysokými oprávněními v síti může zachytit pověření uživatele nebo jiné citlivé informace.

  Popis: Registrační úřad Comodo vydal několik podvodných certifikátů SSL. To může útočníkovi typu „man in the middle“ umožnit přesměrovat připojení a zachytit pověření uživatele nebo jiné citlivé informace. Problém byl vyřešen umístěním podvodných certifikátů na seznam zakázaných položek.

  Poznámka: U systémů Mac OS X je tento problém vyřešen v bezpečnostní aktualizaci 2011-002. U systémů Windows prohlížeč Safari využívá úložiště certifikátů hostujícího operačního systému ke stanovení, zda je certifikát serveru SSL důvěryhodný. Použití aktualizace popsané v článku znalostní databáze společnosti Microsoft č. 2524375 způsobí, že Safari bude tyto certifikáty považovat za nedůvěryhodné. Tento článek je k dispozici na adrese http://support.microsoft.com/kb/2524375

• QuickLook

  K dispozici pro: iOS 4.2.5 až 4.2.6 pro iPhone 4 (CDMA)

  Dopad: Zobrazení škodlivého souboru Microsoft Office může vést k neočekávanému ukončení aplikace nebo spuštění libovolného kódu.

  Popis: Při zpracování souborů Microsoft Office v nástroji QuickLook docházelo k poškození paměti. Zobrazení škodlivého dokumentu Microsoft Office může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

  CVE-ID

  CVE-2011-1417 : Charlie Miller a Dion Blazakis ve spolupráci se Zero Day Initiative společnosti TippingPoint

• WebKit

  K dispozici pro: iOS 4.2.5 až 4.2.6 pro iPhone 4 (CDMA)

  Dopad: Návštěva škodlivého webu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

  Popis: Při zpracovávání sad uzlů docházelo k přetečení celého čísla. Návštěva škodlivého webu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

  CVE-ID

  CVE-2011-1290: Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp Weinmann a anonymní výzkumník spolupracující s iniciativou Zero Day Initiative společnosti TippingPoint

• WebKit

  K dispozici pro: iOS 4.2.5 až 4.2.6 pro iPhone 4 (CDMA)

  Dopad: Návštěva škodlivého webu může vést k neočekávanému ukončení aplikace nebo spuštění libovolného kódu.

  Popis: Při zpracování textových uzlů docházelo k problému s použitím paměti po uvolnění. Návštěva škodlivého webu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

  CVE-ID

  CVE-2011-1344: Vupen Security ve spolupráci s iniciativou Zero Day Initiative společnosti TippingPoint a Martin Barbella