Informace o bezpečnostním obsahu iOS 6

Informace o bezpečnostním obsahu iOS 6.

iOS 6 lze stáhnout a nainstalovat pomocí iTunes.

Tento dokument popisuje bezpečnostní obsah v systému iOS 6.

Společnost Apple v zájmu ochrany svých zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou zcela vyšetřeny a dokud nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.

Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.

Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.

Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.

iOS 6

  • CFNetwork

    K dispozici pro: iPhone 3GS a novější, iPod touch (4. generace) a novější, iPad 2 a novější

    Dopad: Návštěva nebezpečně vytvořeného webu může vést k úniku citlivých informací.

    Popis: V knihovně CFNetwork existoval problém se zpracováváním deformovaných URL adres. Knihovna CFNetwork může odesílat požadavky nesprávnému hostiteli, což může vést k úniku citlivých informací. Problém byl vyřešen vylepšenou manipulací s URL adresami.

    CVE-ID

    CVE-2012-3724 : Erling Ellingsen ze společnosti Facebook

  • CoreGraphics

    K dispozici pro: iPhone 3GS a novější, iPod touch (4. generace) a novější, iPad 2 a novější

    Dopad: Několik bezpečnostních slabin v knihovně FreeType.

    Popis: V knihovně FreeType existovalo několik slabin, z nichž ty nejvážnější mohly vést ke svévolnému spuštění kódu při zpracovávání škodlivě vytvořeného písma. Problémy byly vyřešeny aktualizací softwarového jádra FreeType na verzi 2.4.9. Další informace najdete na webu FreeType na adrese http://www.freetype.org/.

    CVE-ID

    CVE-2012-1126

    CVE-2012-1127

    CVE-2012-1128

    CVE-2012-1129

    CVE-2012-1130

    CVE-2012-1131

    CVE-2012-1132

    CVE-2012-1133

    CVE-2012-1134

    CVE-2012-1135

    CVE-2012-1136

    CVE-2012-1137

    CVE-2012-1138

    CVE-2012-1139

    CVE-2012-1140

    CVE-2012-1141

    CVE-2012-1142

    CVE-2012-1143

    CVE-2012-1144

  • CoreMedia

    K dispozici pro: iPhone 3GS a novější, iPod touch (4. generace) a novější, iPad 2 a novější

    Dopad: Zobrazení škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

    Popis: Při manipulaci s videosoubory zakódovanými pomocí kodeku Sorenson docházelo k neinicializovanému přístupu k paměti. Problém byl vyřešen vylepšenou inicializací paměti.

    CVE-ID

    CVE-2012-3722 : Will Dormann ze skupiny CERT/CC

  • DHCP

    K dispozici pro: iPhone 3GS a novější, iPod touch (4. generace) a novější, iPad 2 a novější

    Dopad: Škodlivá síť Wi-Fi může rozpoznat sítě, ke kterým bylo zařízení dříve připojeno.

    Popis: Při připojení k síti Wi-Fi může systém iOS protokolem DNAv4 vysílat MAC adresy sítí, ke kterým se zařízení dříve připojovalo. Problém byl vyřešen vypnutím protokolu DNAv4 v nešifrovaných sítích Wi-Fi.

    CVE-ID

    CVE-2012-3725 : Mark Wuergler ze společnosti Immunity, Inc.

  • ImageIO

    K dispozici pro: iPhone 3GS a novější, iPod touch (4. generace) a novější, iPad 2 a novější

    Dopad: Zobrazení škodlivého souboru TIFF může vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

    Popis: Při manipulaci s obrázky TIFF s kódováním ThunderScan prostřednictvím knihovny libtiff docházelo k přetečení vyrovnávací paměti. Problém byl vyřešen aktualizací knihovny libtiff na verzi 3.9.5.

    CVE-ID

    CVE-2011-1167

  • ImageIO

    K dispozici pro: iPhone 3GS a novější, iPod touch (4. generace) a novější, iPad 2 a novější

    Dopad: Zobrazení škodlivého obrázku PNG může vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

    Popis: Při manipulaci s obrázky PNG prostřednictvím knihovny libtiff docházelo k vícenásobnému poškození paměti. Tyto problémy byly vyřešeny vylepšeným ověřováním obrázků PNG.

    CVE-ID

    CVE-2011-3026 : Jüri Aedla

    CVE-2011-3048

    CVE-2011-3328

  • ImageIO

    K dispozici pro: iPhone 3GS a novější, iPod touch (4. generace) a novější, iPad 2 a novější

    Dopad: Zobrazení škodlivého obrázku JPEG může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Při manipulaci s obrázky JPEG prostřednictvím třídy ImageIO docházelo k problému s dvojitým uvolněním paměti. Problém byl vyřešen vylepšením správy paměti.

    CVE-ID

    CVE-2012-3726 : Phil ze společnosti PKJE Consulting

  • ImageIO

    K dispozici pro: iPhone 3GS a novější, iPod touch (4. generace) a novější, iPad 2 a novější

    Dopad: Zobrazení škodlivého obrázku TIFF může vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

    Popis: Při manipulaci s obrázky TIFF prostřednictvím knihovny libTIFF docházelo k problému s přetečením celých čísel. Problém byl vyřešen vylepšením ověřování obrázků TIFF.

    CVE-ID

    CVE-2012-1173 : Alexander Gavrun spolupracující na projektu Zero Day Initiative společnosti HP

  • Mezinárodní komponenty pro Unicode

    K dispozici pro: iPhone 3GS a novější, iPod touch (4. generace) a novější, iPad 2 a novější

    Dopad: U aplikací, které používají knihovny ICU, může docházet k nečekanému ukončení nebo ke svévolnému spuštění kódu.

    Popis: Při zpracování identifikátorů národního prostředí knihoven ICU může dojít k přetečení zásobníku vyrovnávací paměti. Problém byl vyřešen vylepšenou kontrolou rozsahu.

    CVE-ID

    CVE-2011-4599

  • IPSec

    K dispozici pro: iPhone 3GS a novější, iPod touch (4. generace) a novější, iPad 2 a novější

    Dopad: Načtení škodlivého konfiguračního souboru součásti racoon může vést ke svévolnému spuštění kódu.

    Popis: Při manipulaci s konfiguračními soubory součásti racoon docházelo k přetečení vyrovnávací paměti. Problém byl vyřešen vylepšenou kontrolou rozsahu.

    CVE-ID

    CVE-2012-3727 : iOS Jailbreak Dream Team

  • Jádro

    K dispozici pro: iPhone 3GS a novější, iPod touch (4. generace) a novější, iPad 2 a novější

    Dopad: Místní uživatel s oprávněním správce systému může spustit libovolný kód.

    Popis: Při manipulaci s filtrem balíčku funkcí ioctl prostřednictvím jádra docházelo k problému s neplatným přesměrováním ukazatele. To útočníkovi umožňuje změnit paměť jádra. Problém byl vyřešen lepším zpracováním chyb.

    CVE-ID

    CVE-3728 : 2012 iOS Jailbreak Dream Team

  • Jádro

    K dispozici pro: iPhone 3GS a novější, iPod touch (4. generace) a novější, iPad 2 a novější

    Dopad: Místní uživatel může rozpoznat rozvržení paměti jádra.

    Popis: V překladači rozhraní Berkeley Packet Filter se vyskytl problém s neinicializovaným přístupem do paměti, což může vést ke zveřejnění obsahu paměti. Problém byl vyřešen vylepšenou inicializací paměti.

    CVE-ID

    CVE-2012-3729 : Dan Rosenberg

  • libxml

    K dispozici pro: iPhone 3GS a novější, iPod touch (4. generace) a novější, iPad 2 a novější

    Dopad: Zobrazení škodlivé webové stránky může vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

    Popis: V knihovně libxml existovalo víc chyb zabezpečení, z nichž ty nejzávažnější mohly vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu. Potíže byly vyřešeny nasazením příslušných oprav ve směru klient-server.

    CVE-ID

    CVE-2011-1944 : Chris Evans z týmu Google Chrome Security

    CVE-2011-2821 : Yang Dingning z organizace NCNIPC, absolvent univerzity Čínské akademie věd

    CVE-2011-2834 : Yang Dingning z organizace NCNIPC, absolvent univerzity Čínské akademie věd

    CVE-2011-3919 : Jüri Aedla

  • Mail

    K dispozici pro: iPhone 3GS a novější, iPod touch (4. generace) a novější, iPad 2 a novější

    Dopad: V Mailu se může ve zprávě zobrazit nesprávná příloha.

    Popis: Při manipulaci s přílohami prostřednictvím Mailu docházelo k logickému problému. Pokud bylo v následující příloze e-mailu použito stejné ID obsahu jako v předchozí příloze, zobrazila by se předchozí příloha, a to i tehdy, pokud oba e-maily odeslali různí odesílatelé. To může vést k útokům založeným na falšování IP adresy nebo k útokům typu phishing. Problém byl vyřešen vylepšenou manipulací s přílohami.

    CVE-ID

    CVE-2012-3730 : Angelo Prado z týmu Product Security společnosti salesforce.com

  • Mail

    K dispozici pro: iPhone 3GS a novější, iPod touch (4. generace) a novější, iPad 2 a novější

    Dopad: E-mailové přílohy lze číst bez přístupového kódu uživatele.

    Popis: Ve způsobu ochrany dat e-mailových příloh v Mailu se vyskytl logický problém. Problém byl vyřešen správným nastavením třídy ochrany dat pro e-mailové přílohy.

    CVE-ID

    CVE-2012-3731 : Stephen Prairie ze společnosti Travelers Insurance, Erich Stuntebeck ze společnosti AirWatch

  • Mail

    K dispozici pro: iPhone 3GS a novější, iPod touch (4. generace) a novější, iPad 2 a novější

    Dopad: Útočník může zfalšovat odesílatele zprávy podepsané podle standardu S/MIME.

    Popis: Ve zprávách podepsaných podle standardu S/MIME se místo jména přiřazeného k identitě uživatele podepisujícího zprávu zobrazovala nedůvěryhodná adresa odesílatele. Problém byl vyřešen zobrazením adresy přidružené k identitě uživatele, který zprávu podepsal, pokud je k dispozici.

    CVE-ID

    CVE-2012-3732 : Anonymní výzkumník

  • Zprávy

    K dispozici pro: iPhone 3GS a novější, iPod touch (4. generace) a novější, iPad 2 a novější

    Dopad: Uživatel může neúmyslně zveřejnit existenci svých ostatních e-mailových adres.

    Popis: Pokud měl uživatel ke službě iMessage připojeno víc e-mailových adres, při odpovídání na zprávu mohlo dojít k odeslání odpovědi z jiné e-mailové adresy. Mohlo tak dojít k odhalení jiných e-mailových adres přidružených k účtu uživatele. Problém byl vyřešen tím, že se v odpovědi vždycky použije e-mailová adresa, na kterou byla zaslána původní zpráva.

    CVE-ID

    CVE-2012-3733 : Rodney S. Foley ze společnosti Gnomesoft, LLC

  • Office Viewer

    K dispozici pro: iPhone 3GS a novější, iPod touch (4. generace) a novější, iPad 2 a novější

    Dopad: U nezašifrovaného dokumentu mohlo dojít k zápisu dat do dočasného souboru.

    Popis: V podpoře prohlížení souborů Microsoft Office se vyskytl problém s možným únikem informací. Při prohlížení dokumentu zapisovala aplikace Office Viewer data prohlíženého dokumentu do dočasného souboru umístěného v dočasném adresáři volaného procesu. U aplikace, která k ochraně uživatelských souborů používá ochranu dat nebo jiné šifrování, by to mohlo vést k úniku informací. Problém byl vyřešen tím, že při prohlížení dokumentů Office se už nevytváří dočasné soubory.

    CVE-ID

    CVE-2012-3734 : Salvatore Cataudella ze společnosti Open Systems Technologies

  • OpenGL

    K dispozici pro: iPhone 3GS a novější, iPod touch (4. generace) a novější, iPad 2 a novější

    Dopad: U aplikací, které používají rozhraní OpenGL systému OS X, může dojít k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

    Popis: Při kompilaci jazyka GLSL docházelo k problému s vícenásobným poškozením paměti. Tyto problémy byly vyřešeny vylepšeným ověřováním shaderů v jazyce GLSL.

    CVE-ID

    CVE-2011-3457 : Chris Evans z týmu Google Chrome Security a Marc Schoenefeld z týmu Red Hat Security Response

  • Kódový zámek

    K dispozici pro: iPhone 3GS a novější, iPod touch (4. generace) a novější, iPad 2 a novější

    Dopad: Osoba s fyzickým přístupem k zařízení mohla na uzamčeném zařízení krátce zahlédnout poslední použitou aplikaci od jiného výrobce.

    Popis: Při zobrazení jezdce „Vypnout“ na uzamčené obrazovce se vyskytl logický problém. Problém byl vyřešen vylepšenou správou stavu uzamčení.

    CVE-ID

    CVE-2012-3735 : Chris Lawrence DBB

  • Kódový zámek

    K dispozici pro: iPhone 3GS a novější, iPod touch (4. generace) a novější, iPad 2 a novější

    Dopad: Osobě s fyzickým přístupem k zařízení se může podařit obejít zámek obrazovky.

    Popis: Při ukončování videohovorů FaceTime ze zamčené obrazovky se vyskytl logický problém. Problém byl vyřešen vylepšenou správou stavu uzamčení.

    CVE-ID

    CVE-2012-3736 : Ian Vitek ze společnosti 2Secure AB

  • Kódový zámek

    K dispozici pro: iPhone 3GS a novější, iPod touch (4. generace) a novější, iPad 2 a novější

    Dopad: Přes uzamčenou obrazovku mohly být přístupné všechny fotografie.

    Popis: Vyskytl se problém v technickém řešení prohlížení fotografií pořízených z uzamčené obrazovky. Aby se dalo určit, k jakým fotografiím má být umožněn přístup, kódový zámek zjistí čas, kdy bylo zařízení uzamčeno, a porovná ho s časem pořízení fotografie. Zfalšováním aktuálního času mohl útočník získat přístup k fotografiím, které byly pořízeny před uzamčením zařízení. Tyto problémy byly vyřešeny přesným sledováním fotografií pořízených zamčeným zařízením.

    CVE-ID

    CVE-2012-3737 : Ade Barkah ze společnosti BlueWax Inc.

  • Kódový zámek

    K dispozici pro: iPhone 3GS a novější, iPod touch (4. generace) a novější, iPad 2 a novější

    Dopad: Osoba s fyzickým přístupem k uzamčenému zařízení může uskutečňovat videohovory FaceTime.

    Popis: Na obrazovce tísňového volání se vyskytl logický problém, který umožňoval hlasovým vytáčením uskutečňovat videohovory FaceTime na uzamčeném zařízení. Mohlo také dojít ke zveřejnění kontaktů uživatele prostřednictvím návrhů kontaktů. Problém byl vyřešen tím, že na obrazovce tísňového volání bylo vypnuto hlasové vytáčení.

    CVE-ID

    CVE-2012-3738 : Ade Barkah ze společnosti BlueWax Inc.

  • Kódový zámek

    K dispozici pro: iPhone 3GS a novější, iPod touch (4. generace) a novější, iPad 2 a novější

    Dopad: Osobě s fyzickým přístupem k zařízení se může podařit obejít zámek obrazovky.

    Popis: Použití fotoaparátu ze zamčené obrazovky mohlo v některých případech narušit funkci automatického uzamčení obrazovky. Osoba s fyzickým přístupem k zařízení by tak mohla obejít obrazovku kódového zámku. Problém byl vyřešen vylepšenou správou stavu uzamčení.

    CVE-ID

    CVE-2012-3739 : Sebastian Spanninger z Rakouského spolkového výpočetního střediska (BRZ)

  • Kódový zámek

    K dispozici pro: iPhone 3GS a novější, iPod touch (4. generace) a novější, iPad 2 a novější

    Dopad: Osobě s fyzickým přístupem k zařízení se může podařit obejít zámek obrazovky.

    Popis: Při manipulaci se zámkem obrazovky docházelo k problému se správou stavu. Problém byl vyřešen vylepšenou správou stavu uzamčení.

    CVE-ID

    CVE-2012-3740 : Ian Vitek ze společnosti 2Secure AB

  • Omezení

    K dispozici pro: iPhone 3GS a novější, iPod touch (4. generace) a novější, iPad 2 a novější

    Dopad: Uživatel mohl nakupovat, aniž by zadal přihlašovací údaje Apple ID.

    Popis: Po vypnutí Omezení se systém iOS nemusí během transakce zeptat uživatele na heslo. Problém byl vyřešen důkladnějším ověřováním transakcí.

    CVE-ID

    CVE-2012-3741 : Kevin Makens z Redwood High School

  • Safari

    K dispozici pro: iPhone 3GS a novější, iPod touch (4. generace) a novější, iPad 2 a novější

    Dopad: Webové stránky můžou ve svých názvech používat znaky, které se podobají ikoně uzamčení.

    Popis: Webové stránky můžou v názvu stránky používat znak Unicode, který slouží k vytvoření ikony zámku. Tato ikona byla vzhledově podobná ikoně, která se používá k označení zabezpečeného připojení, což mohlo vést uživatele k mylnému závěru, že se jedná o zabezpečené připojení. Problém byl vyřešen odebráním těchto znaků z nadpisů stránek.

    CVE-ID

    CVE-2012-3742 : Boku Kihara ze společnosti Lepidum

  • Safari

    K dispozici pro: iPhone 3GS a novější, iPod touch (4. generace) a novější, iPad 2 a novější

    Dopad: Na webové stránce může dojít k automatickému vyplnění hesla i tehdy, když je ve specifikaci stránky automatické dokončování vypnuté.

    Popis: U prvků, které sloužily k zadání hesla a měly vypnutý atribut automatického dokončování, docházelo k automatickému dokončování. Problém byl vyřešen lepší manipulací s atributem automatického dokončování.

    CVE-ID

    CVE-2012-0680 : Dan Poltawski ze společnosti Moodle

  • Systémové protokoly

    K dispozici pro: iPhone 3GS a novější, iPod touch (4. generace) a novější, iPad 2 a novější

    Dopad: Aplikace v sandboxu můžou získat obsah ze systémového protokolu.

    Popis: Aplikace v sandboxu měly přístup pro čtení do adresáře /var/log, a mohly tak získat citlivé informace ze systémových protokolů. Problém byl vyřešen odepřením přístupu aplikací v sandboxu k adresáři /var/log.

    CVE-ID

    CVE-2012-3743

  • Telefonování

    K dispozici pro: iPhone 3GS a novější, iPod touch (4. generace) a novější, iPad 2 a novější

    Dopad: Textová zpráva může vypadat, jako by ji odeslal libovolný uživatel.

    Popis: V textových zprávách se místo odesílatele zobrazovala zpáteční adresa. Zpáteční adresy se však dají zfalšovat. Problém byl vyřešen tím, že se místo zpáteční adresy vždy zobrazuje původní adresa odesílatele.

    CVE-ID

    CVE-2012-3744 : pod2g

  • Telefonování

    K dispozici pro: iPhone 3GS a novější, iPod touch (4. generace) a novější, iPad 2 a novější

    Dopad: Textová zpráva může rušit připojení k mobilní síti.

    Popis: Při manipulaci se záhlavím uživatelských dat v textových zprávách docházelo k přetečení vyrovnávací paměti těsným překročením přiděleného rozsahu. Problém byl vyřešen vylepšenou kontrolou rozsahu.

    CVE-ID

    CVE-2012-3745 : pod2g

  • UIKit

    K dispozici pro: iPhone 3GS a novější, iPod touch (4. generace) a novější, iPad 2 a novější

    Dopad: Útočník, který získal přístup k systému souborů zařízení, může číst soubory, které zobrazuje třída UIWebView.

    Popis: Aplikace, které používají třídu UIWebView, můžou v systému souborů ponechat nešifrované soubory, i když je zapnutý přístupový kód. Problém byl vyřešen vylepšenou ochranou dat.

    CVE-ID

    CVE-2012-3746 : Ben Smith ze společnosti Box

  • WebKit

    K dispozici pro: iPhone 3GS a novější, iPod touch (4. generace) a novější, iPad 2 a novější

    Dopad: Prohlížení webové stránky se škodlivým kódem může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Ve WebKitu existovalo několik problémů s poškozením paměti. Tyto problémy byly vyřešeny lepší správou paměti.

    CVE-ID

    CVE-2011-3016 : miaubiz

    CVE-2011-3021 : Arthur Gerkis

    CVE-2011-3027 : miaubiz

    CVE-2011-3032 : Arthur Gerkis

    CVE-2011-3034 : Arthur Gerkis

    CVE-2011-3035 : wushi ze skupiny team509 ve spolupráci s Arthurem Gerkisem, účastníkem programu iDefense Vulnerability Contributor (VCP)

    CVE-2011-3036 : miaubiz

    CVE-2011-3037 : miaubiz

    CVE-2011-3038 : miaubiz

    CVE-2011-3039 : miaubiz

    CVE-2011-3040 : miaubiz

    CVE-2011-3041 : miaubiz

    CVE-2011-3042 : miaubiz

    CVE-2011-3043 : miaubiz

    CVE-2011-3044 : Arthur Gerkis

    CVE-2011-3050 : miaubiz

    CVE-2011-3053 : miaubiz

    CVE-2011-3059 : Arthur Gerkis

    CVE-2011-3060 : miaubiz

    CVE-2011-3064 : Atte Kettunen ze skupiny OUSPG

    CVE-2011-3068 : miaubiz

    CVE-2011-3069 : miaubiz

    CVE-2011-3071 : pa_kt spolupracující na projektu Zero Day Initiative společnosti HP

    CVE-2011-3073 : Arthur Gerkis

    CVE-2011-3074 : Slawomir Blazek

    CVE-2011-3075 : miaubiz

    CVE-2011-3076 : miaubiz

    CVE-2011-3078 : Martin Barbella z týmu Google Chrome Security

    CVE-2011-3081 : miaubiz

    CVE-2011-3086 : Arthur Gerkis

    CVE-2011-3089 : Skylined z týmu Google Chrome Security, miaubiz

    CVE-2011-3090 : Arthur Gerkis

    CVE-2011-3105 : miaubiz

    CVE-2011-3913 : Arthur Gerkis

    CVE-2011-3924 : Arthur Gerkis

    CVE-2011-3926 : Arthur Gerkis

    CVE-2011-3958 : miaubiz

    CVE-2011-3966 : Aki Helin ze skupiny OUSPG

    CVE-2011-3968 : Arthur Gerkis

    CVE-2011-3969 : Arthur Gerkis

    CVE-2011-3971 : Arthur Gerkis

    CVE-2012-0682 : Apple Product Security

    CVE-2012-0683 : Dave Mandelin ze společnosti Mozilla

    CVE-2012-1520 : Martin Barbella z týmu Google Chrome Security s využitím nástroje AddressSanitizer a Jose A. Vazquez z spa-s3c.blogspot.com spolupracující na programu iDefense Vulnerability Contributor (VCP)

    CVE-2012-1521 : Skylined z týmu Google Chrome Security, Jose A. Vazquez z spa-s3c.blogspot.com spolupracující na programu iDefense Vulnerability Contributor (VCP)

    CVE-2012-2818 : miaubiz

    CVE-2012-3589 : Dave Mandelin ze společnosti Mozilla

    CVE-2012-3590 : Apple Product Security

    CVE-2012-3591 : Apple Product Security

    CVE-2012-3592 : Apple Product Security

    CVE-2012-3593 : Apple Product Security

    CVE-2012-3594 : miaubiz

    CVE-2012-3595 : Martin Barbella z týmu Google Chrome Security

    CVE-2012-3596 : Skylined z týmu Google Chrome Security

    CVE-2012-3597 : Abhishek Arya (Inferno) z týmu Google Chrome Security

    CVE-2012-3598 : Apple Product Security

    CVE-2012-3599 : Abhishek Arya (Inferno) z týmu Google Chrome Security

    CVE-2012-3600 : David Levin z vývojové komunity projektu Chromium

    CVE-2012-3601 : Martin Barbella z týmu Google Chrome Security s využitím nástroje AddressSanitizer

    CVE-2012-3602 : miaubiz

    CVE-2012-3603 : Apple Product Security

    CVE-2012-3604 : Skylined z týmu Google Chrome Security

    CVE-2012-3605 : Cris Neckar z týmu Google Chrome Security

    CVE-2012-3608 : Skylined z týmu Google Chrome Security

    CVE-2012-3609 : Skylined z týmu Google Chrome Security

    CVE-2012-3610 : Skylined z týmu Google Chrome Security

    CVE-2012-3611 : Apple Product Security

    CVE-2012-3612 : Skylined z týmu Google Chrome Security

    CVE-2012-3613 : Abhishek Arya (Inferno) z týmu Google Chrome Security

    CVE-2012-3614 : Yong Li ze společnosti Research In Motion, Inc.

    CVE-2012-3615 : Stephen Chenney z vývojové komunity projektu Chromium

    CVE-2012-3617 : Apple Product Security

    CVE-2012-3618 : Abhishek Arya (Inferno) z týmu Google Chrome Security

    CVE-2012-3620 : Abhishek Arya (Inferno) z týmu Google Chrome Security

    CVE-2012-3624 : Skylined z týmu Google Chrome Security

    CVE-2012-3625 : Skylined z týmu Google Chrome Security

    CVE-2012-3626 : Apple Product Security

    CVE-2012-3627 : Skylined a Abhishek Arya (Inferno) z týmu Google Chrome Security

    CVE-2012-3628 : Apple Product Security

    CVE-2012-3629 : Abhishek Arya (Inferno) z týmu Google Chrome Security

    CVE-2012-3630 : Abhishek Arya (Inferno) z týmu Google Chrome Security

    CVE-2012-3631 : Abhishek Arya (Inferno) z týmu Google Chrome Security

    CVE-2012-3633 : Martin Barbella z týmu Google Chrome Security s využitím nástroje AddressSanitizer

    CVE-2012-3634 : Martin Barbella z týmu Google Chrome Security s využitím nástroje AddressSanitizer

    CVE-2012-3635 : Martin Barbella z týmu Google Chrome Security s využitím nástroje AddressSanitizer

    CVE-2012-3636 : Martin Barbella z týmu Google Chrome Security s využitím nástroje AddressSanitizer

    CVE-2012-3637 : Martin Barbella z týmu Google Chrome Security s využitím nástroje AddressSanitizer

    CVE-2012-3638 : Martin Barbella z týmu Google Chrome Security s využitím nástroje AddressSanitizer

    CVE-2012-3639 : Martin Barbella z týmu Google Chrome Security s využitím nástroje AddressSanitizer

    CVE-2012-3640 : miaubiz

    CVE-2012-3641 : Slawomir Blazek

    CVE-2012-3642 : miaubiz

    CVE-2012-3644 : miaubiz

    CVE-2012-3645 : Martin Barbella z týmu Google Chrome Security s využitím nástroje AddressSanitizer

    CVE-2012-3646 : Julien Chaffraix z vývojové komunity projektu Chromium, Martin Barbella z týmu Google Chrome Security s využitím nástroje AddressSanitizer

    CVE-2012-3647 : Skylined z týmu Google Chrome Security

    CVE-2012-3648 : Abhishek Arya (Inferno) z týmu Google Chrome Security

    CVE-2012-3651 : Abhishek Arya (Inferno) a Martin Barbella z týmu Google Chrome Security

    CVE-2012-3652 : Martin Barbella z týmu Google Chrome Security

    CVE-2012-3653 : Martin Barbella z týmu Google Chrome Security s využitím nástroje AddressSanitizer

    CVE-2012-3655 : Skylined z týmu Google Chrome Security

    CVE-2012-3656 : Abhishek Arya (Inferno) z týmu Google Chrome Security

    CVE-2012-3658 : Apple

    CVE-2012-3659 : Mario Gomes z netfuzzer.blogspot.com, Abhishek Arya (Inferno) z týmu Google Chrome Security

    CVE-2012-3660 : Abhishek Arya (Inferno) z týmu Google Chrome Security

    CVE-2012-3661 : Apple Product Security

    CVE-2012-3663 : Skylined z týmu Google Chrome Security

    CVE-2012-3664 : Thomas Sepez z vývojové komunity projektu Chromium

    CVE-2012-3665 : Martin Barbella z týmu Google Chrome Security s využitím nástroje AddressSanitizer

    CVE-2012-3666 : Apple

    CVE-2012-3667 : Trevor Squires z propaneapp.com

    CVE-2012-3668 : Apple Product Security

    CVE-2012-3669 : Apple Product Security

    CVE-2012-3670 : Abhishek Arya (Inferno) z týmu Google Chrome Security, Arthur Gerkis

    CVE-2012-3671 : Skylined a Martin Barbella z týmu Google Chrome Security

    CVE-2012-3672 : Abhishek Arya (Inferno) z týmu Google Chrome Security

    CVE-2012-3673 : Abhishek Arya (Inferno) z týmu Google Chrome Security

    CVE-2012-3674 : Skylined z týmu Google Chrome Security

    CVE-2012-3676 : Julien Chaffraix z vývojové komunity projektu Chromium

    CVE-2012-3677 : Apple

    CVE-2012-3678 : Apple Product Security

    CVE-2012-3679 : Chris Leary ze společnosti Mozilla

    CVE-2012-3680 : Skylined z týmu Google Chrome Security

    CVE-2012-3681 : Apple

    CVE-2012-3682 : Adam Barth z týmu Google Chrome Security

    CVE-2012-3683 : wushi ze skupiny team509 spolupracující na programu iDefense Vulnerability Contributor (VCP)

    CVE-2012-3684 : kuzzcc

    CVE-2012-3686 : Robin Cao ze společnosti Torch Mobile (Peking)

    CVE-2012-3703 : Apple Product Security

    CVE-2012-3704 : Skylined z týmu Google Chrome Security

    CVE-2012-3706 : Apple Product Security

    CVE-2012-3708 : Apple

    CVE-2012-3710 : James Robinson ze společnosti Google

    CVE-2012-3747 : David Bloom ze společnosti Cue

  • WebKit

    K dispozici pro: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generace) a novější, iPad, iPad 2

    Dopad: Návštěva škodlivého webu může vést k úniku informací mezi weby.

    Popis: Při manipulaci s hodnotami vlastnosti šablony CSS docházelo k problému se záměnou původu. Problém byl vyřešen vylepšeným sledováním původu.

    CVE-ID

    CVE-2012-3691 : Apple

  • WebKit

    K dispozici pro: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generace) a novější, iPad, iPad 2

    Dopad: Škodlivé webové stránky můžou nahradit obsah prvku iframe obsahem z jiného webu.

    Popis: Při manipulaci s prvky iframe ve vyskakovacích oknech docházelo k problému se záměnou původu. Problém byl vyřešen vylepšeným sledováním původu.

    CVE-ID

    CVE-2011-3067 : Sergey Glazunov

  • WebKit

    K dispozici pro: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generace) a novější, iPad, iPad 2

    Dopad: Návštěva škodlivého webu může vést k úniku informací mezi weby.

    Popis: Při manipulaci s prvky iframe a identifikátory fragmentů docházelo k problému se záměnou původu. Problém byl vyřešen vylepšeným sledováním původu.

    CVE-ID

    CVE-2012-2815 : Elie Bursztein, Baptiste Gourdin, Gustav Rydstedt a Dan Boneh ze Stanford University Security Laboratory

  • WebKit

    K dispozici pro: iPhone 3GS a novější, iPod touch (4. generace) a novější, iPad 2 a novější

    Dopad: Znaky v adrese URL, které jsou si podobné, mohou být použity k maskování pravých webových stránek.

    Popis: Podpora mezinárodního názvu domény (IDN) a písma Unicode v prohlížeči Safari mohla být použita k vytvoření adresy URL, která obsahuje podobné znaky. Ta mohla být použita na škodlivém webu k přesměrování uživatele na falešný web, který vzhledem napodobuje důvěryhodnou doménu. Problém byl vyřešen doplněním seznamu znaků, o kterých se ví, že jsou si podobné, do soustavy WebKit. K vykreslení podobných znaků na panelu Adresa se použije kódování Punycode.

    CVE-ID

    CVE-2012-3693 : Matt Cooley ze společnosti Symantec

  • WebKit

    K dispozici pro: iPhone 3GS a novější, iPod touch (4. generace) a novější, iPad 2 a novější

    Dopad: Návštěva škodlivého webu může vést ke skriptovému útoku napříč weby.

    Popis: Při manipulaci s URL adresami docházelo k problému s kanonizací. To mohlo vést ke spuštění skriptu mezi weby, které používají vlastnost location.href. Problém byl vyřešen vylepšenou normalizací adres URL.

    CVE-ID

    CVE-2012-3695 : Masato Kinugawa

  • WebKit

    K dispozici pro: iPhone 3GS a novější, iPod touch (4. generace) a novější, iPad 2 a novější

    Dopad: Návštěva škodlivého webu může vést k rozdělení požadavku HTTP.

    Popis: Při manipulaci s identifikátory WebSocket docházelo k problému s vkládáním záhlaví HTTP. Problém byl vyřešen vylepšeným očištěním identifikátorů URI protokolu WebSocket.

    CVE-ID

    CVE-2012-3696 : David Belcher z týmu, který se ve společnosti BlackBerry zabývá řešením problémů se zabezpečením

  • WebKit

    K dispozici pro: iPhone 3GS a novější, iPod touch (4. generace) a novější, iPad 2 a novější

    Dopad: Škodlivý web může zfalšovat hodnotu na panelu adresy URL.

    Popis: Při manipulaci s historií relací docházelo k problému se správou stavu. Při přechodu na fragment aktuální stránky můžou být na panelu adresy URL prohlížeče Safari zobrazeny nesprávné informace. Problém byl vyřešen vylepšeným sledováním stavu relace.

    CVE-ID

    CVE-2011-2845 : Jordi Chancel

  • WebKit

    K dispozici pro: iPhone 3GS a novější, iPod touch (4. generace) a novější, iPad 2 a novější

    Dopad: Návštěva škodlivého webu může vést k úniku informací z obsahu paměti.

    Popis: Při manipulaci s obrázky SVG docházelo k problému s neinicializovaným přístupem k paměti. Problém byl vyřešen vylepšenou inicializací paměti.

    CVE-ID

    CVE-2012-3650: Apple


FaceTime není k dispozici ve všech zemích a regionech.

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. S používáním internetu jsou neodmyslitelně spojena rizika. Další informace získáte od výrobce. Názvy jiných společností a produktů mohou být ochrannými známkami příslušných vlastníků.

Datum zveřejnění: