Informace o bezpečnostním obsahu aktualizace softwaru iOS 5.1

Tento dokument popisuje bezpečnostní obsah aktualizace softwaru iOS 5.1.

Tento dokument popisuje bezpečnostní obsah aktualizace softwaru iOS 5.1, kterou si můžete stáhnout a nainstalovat přes iTunes.

Apple v zájmu ochrany zákazníků nezveřejňuje, nerozebírá ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřeny a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.

Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.

Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.

Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.

Aktualizace softwaru iOS 5.1

  • CFNetwork

    K dispozici pro: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generace) a novější, iPad, iPad 2

    Dopad: Návštěva škodlivého webu může vést k úniku citlivých informací.

    Popis: V knihovně CFNetwork existoval problém se zpracováváním deformovaných URL adres. Při přístupu na škodlivou URL adresu mohla knihovna CFNetwork posílat neočekávané hlavičky žádostí.

    CVE-ID

    CVE-2012-0641 : Erling Ellingsen ze společnosti Facebook

  • HFS

    K dispozici pro: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generace) a novější, iPad, iPad 2

    Dopad: Připojení nebezpečně vytvořeného obrazu disku může vést k vypnutí zařízení nebo ke svévolnému spuštění kódu.

    Popis: Ve zpracovávání katalogových souborů HFS existoval problém s podtečením celých čísel.

    CVE-ID

    CVE-2012-0642 : pod2g

  • Jádro

    K dispozici pro: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generace) a novější, iPad, iPad 2

    Dopad: Škodlivý program mohl obejít omezení sandboxu.

    Popis: Ve zpracovávání ladicích systémových volání existoval logický problém. Ten by mohl umožnit škodlivému programu získat přístup ke spuštění kódu v jiných programech se stejnými oprávněními uživatele.

    CVE-ID

    CVE-2012-0643 : 2012 iOS Jailbreak Dream Team

  • libresolv

    K dispozici pro: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generace) a novější, iPad, iPad 2

    Dopad: Aplikace, které používají knihovnu libresolv, jsou náchylné k nečekanému ukončení aplikace nebo svévolnému spuštění kódu.

    Popis: Ve zpracovávání záznamů o zdrojích DNS docházelo k přetečení celých čísel, které mohlo vést k poškození paměti haldy.

    CVE-ID

    CVE-2011-3453 : Ilja van Sprundel ze společnosti IOActive

  • Kódový zámek

    K dispozici pro: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generace) a novější, iPad, iPad 2

    Dopad: Osobě s fyzickým přístupem k zařízení se může podařit obejít zámek obrazovky.

    Popis: Ve zpracovávání gest, při kterých se přejetím prstu aktivuje volání, existoval problém s konfliktem časování. Ten mohl osobě s fyzickým přístupem k zařízení umožnit obejít zámek obrazovky.

    CVE-ID

    CVE-2012-0644 : Roland Kohler z německého Spolkového ministerstva hospodářství a technologií

  • Safari

    K dispozici pro: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generace) a novější, iPad, iPad 2

    Dopad: Návštěvy webových stránek mohou být zaznamenávány v historii prohlížeče, i když je zapnuto Anonymní prohlížení.

    Popis: Funkce Anonymní prohlížení v Safari má bránit zaznamenávání relace prohlížení. Stránky navštívené v důsledku toho, že otevřený web použil javascriptové metody pushState nebo replaceState, byly zaznamenány v historii prohlížeče, i když byl aktivní režim Anonymní prohlížení. Problém byl opraven a takové návštěvy nadále nejsou při zapnutém Anonymním prohlížení zaznamenávány.

    CVE-ID

    CVE-2012-0585 : Eric Melville ze společnosti American Express

  • Siri

    K dispozici pro: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generace) a novější, iPad, iPad 2

    Dopad: Útočník s fyzickým přístupem k zamčenému telefonu může získat přístup k první e-mailové zprávě.

    Popis: V omezeních Siri pro zamčenou obrazovku existoval problém v návrhu. Když bylo povoleno používání Siri na zamčené obrazovce a za zamčenou obrazovkou byl otevřený Mail s vybranou zprávou, bylo možné hlasovým příkazem tuto zprávu poslat libovolnému příjemci. Problém byl vyřešen vypnutím přeposílání aktivních zpráv ze zamčené obrazovky.

    CVE-ID

    CVE-2012-0645

  • VPN

    K dispozici pro: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generace) a novější, iPad, iPad 2

    Dopad: Škodlivý systémový konfigurační soubor může vést ke svévolnému spuštění kódu se systémovými oprávněními.

    Popis: Ve zpracovávání konfiguračních souborů součásti racoon existovala bezpečnostní slabina formátovacího řetězce.

    CVE-ID

    CVE-2012-0646 : pod2g

  • WebKit

    K dispozici pro: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generace) a novější, iPad, iPad 2

    Dopad: Návštěva škodlivého webu může vést k odhalení souborů cookie.

    Popis: V soustavě WebKit existoval problém se záměnou původu, který mohl umožnit odhalení souborů cookie napříč různými původy.

    CVE-ID

    CVE-2011-3887 : Sergey Glazunov

  • WebKit

    K dispozici pro: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generace) a novější, iPad, iPad 2

    Dopad: Návštěva škodlivého webu a přetažení obsahu myší může vést ke skriptovému útoku napříč weby.

    Popis: V soustavě WebKit existoval problém se záměnou původu, který mohl umožnit přetahování obsahu myší mezi různými původy.

    CVE-ID

    CVE-2012-0590 : Adam Barth z týmu Google Chrome Security

  • WebKit

    K dispozici pro: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generace) a novější, iPad, iPad 2

    Dopad: Návštěva škodlivého webu může vést ke skriptovému útoku napříč weby.

    Popis: V soustavě WebKit existovalo několik problémů se záměnou původu.

    CVE-ID

    CVE-2011-3881 : Sergey Glazunov

    CVE-2012-0586 : Sergey Glazunov

    CVE-2012-0587 : Sergey Glazunov

    CVE-2012-0588 : Jochen Eisinger ze týmu Google Chrome

    CVE-2012-0589 : Alan Austin, polyvore.com

  • WebKit

    K dispozici pro: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generace) a novější, iPad, iPad 2

    Dopad: Návštěva škodlivého webu může vést k nečekanému ukončení aplikace nebo svévolnému spuštění kódu.

    Popis: Ve WebKitu existovalo několik problémů s poškozením paměti.

    CVE-ID

    CVE-2011-2825 : wushi ze skupiny team509 spolupracující s iniciativou Zero Day Initiative společnosti TippingPoint

    CVE-2011-2833 : Apple

    CVE-2011-2846 : Arthur Gerkis, miaubiz

    CVE-2011-2847 : miaubiz, Abhishek Arya (Inferno) z týmu Google Chrome Security s využitím nástroje AddressSanitizer

    CVE-2011-2854 : Abhishek Arya (Inferno) z týmu Google Chrome Security s využitím nástroje AddressSanitizer

    CVE-2011-2855 : Arthur Gerkis, wushi ze skupiny team509 ve spolupráci s iDefense VCP

    CVE-2011-2857 : miaubiz

    CVE-2011-2860 : Abhishek Arya (Inferno) z týmu Google Chrome Security s využitím nástroje AddressSanitizer

    CVE-2011-2867 : Dirk Schulze

    CVE-2011-2868 : Abhishek Arya (Inferno) z týmu Google Chrome Security s využitím nástroje AddressSanitizer

    CVE-2011-2869 : Cris Neckar z týmu Google Chrome Security s využitím nástroje AddressSanitizer

    CVE-2011-2870 : Abhishek Arya (Inferno) z týmu Google Chrome Security s využitím nástroje AddressSanitizer

    CVE-2011-2871 : Abhishek Arya (Inferno) z týmu Google Chrome Security s využitím nástroje AddressSanitizer

    CVE-2011-2872 : Abhishek Arya (Inferno) z týmu Google Chrome Security s využitím nástroje AddressSanitizer

    CVE-2011-2873 : Abhishek Arya (Inferno) z týmu Google Chrome Security s využitím nástroje AddressSanitizer

    CVE-2011-2877 : miaubiz

    CVE-2011-3885 : miaubiz

    CVE-2011-3888 : miaubiz

    CVE-2011-3897 : pa_kt spolupracující s iniciativou Zero Day Initiative společnosti TippingPoint

    CVE-2011-3908 : Aki Helin z OUSPG

    CVE-2011-3909 : Google Chrome Security Team (scarybeasts) a Chu

    CVE-2011-3928 : wushi ze skupiny team509 spolupracující s iniciativou Zero Day Initiative společnosti TippingPoint

    CVE-2012-0591 : miaubiz a Martin Barbella

    CVE-2012-0592 : Alexander Gavrun spolupracující s iniciativou Zero Day Initiative společnosti TippingPoint

    CVE-2012-0593 : Lei Zhang z vývojové komunity projektu Chromium

    CVE-2012-0594 : Adam Klein z vývojové komunity projektu Chromium

    CVE-2012-0595 : Apple

    CVE-2012-0596 : Abhishek Arya (Inferno) z týmu Google Chrome Security s využitím nástroje AddressSanitizer

    CVE-2012-0597 : miaubiz

    CVE-2012-0598 : Sergey Glazunov

    CVE-2012-0599 : Dmytro Gorbunov ze SaveSources.com

    CVE-2012-0600 : Marshall Greenblatt, Dharani Govindan z týmu Google Chrome, miaubiz, Aki Helin z OUSPG, Apple

    CVE-2012-0601 : Apple

    CVE-2012-0602 : Apple

    CVE-2012-0603 : Apple

    CVE-2012-0604 : Apple

    CVE-2012-0605 : Apple

    CVE-2012-0606 : Apple

    CVE-2012-0607 : Apple

    CVE-2012-0608 : Abhishek Arya (Inferno) z týmu Google Chrome Security s využitím nástroje AddressSanitizer

    CVE-2012-0609 : Abhishek Arya (Inferno) z týmu Google Chrome Security s využitím nástroje AddressSanitizer

    CVE-2012-0610 : miaubiz, Martin Barbella s využitím nástroje AddressSanitizer

    CVE-2012-0611 : Martin Barbella s využitím nástroje AddressSanitizer

    CVE-2012-0612 : Abhishek Arya (Inferno) z týmu Google Chrome Security s využitím nástroje AddressSanitizer

    CVE-2012-0613 : Abhishek Arya (Inferno) z týmu Google Chrome Security s využitím nástroje AddressSanitizer

    CVE-2012-0614 : miaubiz, Martin Barbella s využitím nástroje AddressSanitizer

    CVE-2012-0615 : Martin Barbella s využitím nástroje AddressSanitizer

    CVE-2012-0616 : miaubiz

    CVE-2012-0617 : Martin Barbella s využitím nástroje AddressSanitizer

    CVE-2012-0618 : Abhishek Arya (Inferno) z týmu Google Chrome Security s využitím nástroje AddressSanitizer

    CVE-2012-0619 : Abhishek Arya (Inferno) z týmu Google Chrome Security s využitím nástroje AddressSanitizer

    CVE-2012-0620 : Abhishek Arya (Inferno) z týmu Google Chrome Security s využitím nástroje AddressSanitizer

    CVE-2012-0621 : Martin Barbella s využitím nástroje AddressSanitizer

    CVE-2012-0622 : Abhishek Arya (Inferno) z týmu Google Chrome Security s využitím nástroje AddressSanitizer

    CVE-2012-0623 : Abhishek Arya (Inferno) z týmu Google Chrome Security s využitím nástroje AddressSanitizer

    CVE-2012-0624 : Martin Barbella s využitím nástroje AddressSanitizer

    CVE-2012-0625 : Martin Barbella

    CVE-2012-0626 : Abhishek Arya (Inferno) z týmu Google Chrome Security s využitím nástroje AddressSanitizer

    CVE-2012-0627 : Apple

    CVE-2012-0628 : Slawomir Blazek, miaubiz, Abhishek Arya (Inferno) z týmu Google Chrome Security s využitím nástroje AddressSanitizer

    CVE-2012-0629 : Abhishek Arya (Inferno) z týmu Google Chrome Security s využitím nástroje AddressSanitizer

    CVE-2012-0630 : Sergio Villar Senin ze společnosti Igalia

    CVE-2012-0631 : Abhishek Arya (Inferno) z týmu Google Chrome Security

    CVE-2012-0632 : Cris Neckar z týmu Google Chrome Security s využitím nástroje AddressSanitizer

    CVE-2012-0633 : Apple

    CVE-2012-0635 : Julien Chaffraix z vývojové komunity projektu Chromium, Martin Barbella s využitím nástroje AddressSanitizer

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. S používáním internetu jsou neodmyslitelně spojena rizika. Další informace získáte od výrobce. Názvy jiných společností a produktů mohou být ochrannými známkami příslušných vlastníků.

Datum zveřejnění: