Tento článek popisuje bezpečnostní obsah aktualizace softwaru iOS 4.2.7 pro iPhone, kterou si můžete stáhnout a nainstalovat přes iTunes.
Apple v zájmu ochrany zákazníků nezveřejňuje, nerozebírá ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřeny a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.
Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.
Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.
Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.
Aktualizace softwaru iOS 4.2.7 pro iPhone
-
Zásady důvěryhodnosti certifikátů
K dispozici pro: iOS 4.2.5 až 4.2.6 pro iPhone 4 (CDMA)
Dopad: Útočník s výsadním oprávněním v síti může zachytit přihlašovací údaje nebo jiné citlivé informace.
Popis: Partnerská registrační autorita společnosti Comodo vydala několik podvodných SSL certifikátů. S jejich pomocí může útočník typu „man in the middle“ přesměrovávat připojení a zachycovat přihlašovací údaje či jiné citlivé informace. Problém byl vyřešen zapsáním podvodných certifikátů na černou listinu.
Poznámka: Pro uživatele Mac OS X řeší tento problém bezpečnostní aktualizace 2011-002. V systémech s Windows určuje Safari důvěryhodnost certifikátů podle úložiště certifikátů hostitelského operačního systému. Nainstalováním aktualizace popsané v článku znalostní databáze Microsoft č. 2524375 způsobíte, že Safari začne zmíněné certifikáty považovat za nedůvěryhodné. Článek najdete na adrese http://support.microsoft.com/en-us/kb/2524375/cs
-
Rychlý náhled
K dispozici pro: iOS 4.2.5 až 4.2.6 pro iPhone 4 (CDMA)
Dopad: Zobrazení škodlivého dokumentu Microsoft Office mohlo vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.
Popis: Při zpracovávání souborů Microsoft Office Rychlým náhledem docházelo k problémům s poškozením paměti. Zobrazení škodlivého dokumentu Microsoft Office mohlo vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.
CVE-ID
CVE-2011-1417 : Charlie Miller a Dion Blazakis spolupracující s iniciativou Zero Day společnosti TippingPoint
-
WebKit
K dispozici pro: iOS 4.2.5 až 4.2.6 pro iPhone 4 (CDMA)
Dopad: Návštěva škodlivého webu mohla vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.
Popis: Při zpracovávání funkcí nodeset docházelo k problému s přetečením celých čísel. Návštěva škodlivého webu mohla vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.
CVE-ID
CVE-2011-1290 : Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp Weinmann a anonymní výzkumník spolupracující s iniciativou Zero Day společnosti TippingPoint
-
WebKit
K dispozici pro: iOS 4.2.5 až 4.2.6 pro iPhone 4 (CDMA)
Dopad: Návštěva škodlivého webu mohla vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.
Popis: Ve zpracovávání textových uzlů existoval problém s použitím uvolněné paměti (chyba typu use-after-free). Návštěva škodlivého webu mohla vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.
CVE-ID
CVE-2011-1344 : Vupen Security spolupracující s iniciativou Zero Day společnosti TippingPoint a Martin Barbella