Informace o bezpečnostním obsahu aktualizace softwaru iOS 4.3.2.

Tento dokument popisuje bezpečnostní obsah aktualizace softwaru iOS 4.3.2.

Tento dokument popisuje bezpečnostní obsah aktualizace softwaru iOS 4.3.2, kterou si můžete stáhnout a nainstalovat přes iTunes.

Apple v zájmu ochrany zákazníků nezveřejňuje, nerozebírá ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřeny a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.

Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.

Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.

Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.

Aktualizace softwaru iOS 4.3.2

  • Zásady důvěryhodnosti certifikátů

    K dispozici pro: iOS 3.0 až 4.3.1 pro iPhone 3GS a novější, iOS 3.1 až 4.3.1 pro iPod touch (3. generace) a novější, iOS 3.2 až 4.3.1 pro iPad

    Dopad: Útočník s výsadním oprávněním v síti může zachytit přihlašovací údaje nebo jiné citlivé informace.

    Popis: Partnerská registrační autorita společnosti Comodo vydala několik podvodných SSL certifikátů. S jejich pomocí může útočník typu „man in the middle“ přesměrovávat připojení a zachycovat přihlašovací údaje či jiné citlivé informace. Problém byl vyřešen zapsáním podvodných certifikátů na černou listinu.

    Poznámka: Pro uživatele Mac OS X řeší tento problém bezpečnostní aktualizace 2011-002. V systémech s Windows určuje Safari důvěryhodnost certifikátů podle úložiště certifikátů hostitelského operačního systému. Nainstalováním aktualizace popsané v článku znalostní databáze Microsoft č. 2524375 způsobíte, že Safari začne zmíněné certifikáty považovat za nedůvěryhodné. Článek najdete na adrese http://support.microsoft.com/en-us/kb/2524375/cs

  • libxslt

    K dispozici pro: iOS 3.0 až 4.3.1 pro iPhone 3GS a novější, iOS 3.1 až 4.3.1 pro iPod touch (3. generace) a novější, iOS 3.2 až 4.3.1 pro iPad

    Dopad: Návštěva škodlivého webu může vést k prozrazení adres v haldě.

    Popis: Použití funkce generate-id() XPath v rámci knihovny libxslt vedlo k prozrazení adres v haldě. Návštěva škodlivého webu mohla vést k prozrazení adres v haldě, což mohlo útočníkovi usnadnit obejití ochrany ASLR. Problém byl vyřešen generováním ID na základě rozdílu mezi adresami obou hald.

    CVE-ID

    CVE-2011-0195 : Chris Evans z týmu Google Chrome Security

  • Rychlý náhled

    K dispozici pro: iOS 3.0 až 4.3.1 pro iPhone 3GS a novější, iOS 3.1 až 4.3.1 pro iPod touch (3. generace) a novější, iOS 3.2 až 4.3.1 pro iPad

    Dopad: Zobrazení škodlivého dokumentu Microsoft Office mohlo vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

    Popis: Při zpracovávání souborů Microsoft Office Rychlým náhledem docházelo k problému s poškozením paměti. Zobrazení škodlivého dokumentu Microsoft Office mohlo vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

    CVE-ID

    CVE-2011-1417 : Charlie Miller a Dion Blazakis spolupracující s iniciativou Zero Day společnosti TippingPoint

  • WebKit

    K dispozici pro: iOS 3.0 až 4.3.1 pro iPhone 3GS a novější, iOS 3.1 až 4.3.1 pro iPod touch (3. generace) a novější, iOS 3.2 až 4.3.1 pro iPad

    Dopad: Návštěva škodlivého webu mohla vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

    Popis: Při zpracovávání funkcí nodeset docházelo k problému s přetečením celých čísel. Návštěva škodlivého webu mohla vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

    CVE-ID

    CVE-2011-1290 : Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp Weinmann a anonymní výzkumník spolupracující s iniciativou Zero Day společnosti TippingPoint

  • WebKit

    K dispozici pro: iOS 3.0 až 4.3.1 pro iPhone 3GS a novější, iOS 3.1 až 4.3.1 pro iPod touch (3. generace) a novější, iOS 3.2 až 4.3.1 pro iPad

    Dopad: Návštěva škodlivého webu mohla vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

    Popis: Ve zpracovávání textových uzlů existoval problém s použitím uvolněné paměti (chyba typu use-after-free). Návštěva škodlivého webu mohla vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

    CVE-ID

    CVE-2011-1344 : Vupen Security spolupracující s iniciativou Zero Day společnosti TippingPoint a Martin Barbella

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. S používáním internetu jsou neodmyslitelně spojena rizika. Další informace získáte od výrobce. Názvy jiných společností a produktů mohou být ochrannými známkami příslušných vlastníků.

Datum zveřejnění: