Tento dokument popisuje bezpečnostní obsah aktualizace softwaru iOS 4.3.5, kterou si můžete stáhnout a nainstalovat přes iTunes.
Apple v zájmu ochrany zákazníků nezveřejňuje, nerozebírá ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřeny a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.
Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.
Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.
Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.
Aktualizace softwaru iOS 4.3.5
-
Zabezpečení dat
K dispozici pro: iOS 3.0 až 4.3.4 pro iPhone 3GS a iPhone 4 (GSM), iOS 3.1 až 4.3.4 pro iPod touch (3. generace) a novější, iOS 3.2 až 4.3.4 pro iPad
Dopad: Útočník s výsadním postavením v síti může zachytávat nebo upravovat data v relacích chráněných protokolem SSL/TLS.
Popis: Ve zpracovávání certifikátů X.509 existoval problém s ověřováním certifikátových řetězců. Útočník s výsadním postavením v síti mohl zachytávat nebo upravovat data v relacích chráněných protokolem SSL/TLS. Byly ale možné i jiné útoky využívající ověřování certifikátů X.509. Problém byl vyřešen lepším ověřováním certifikátových řetězců X.509.
CVE-ID
CVE-2011-0228 : Gregor Kopf z týmu Recurity Labs pracující pro BSI a Paul Kehrer z týmu SpiderLabs společnosti Trustwave