Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας της ενημέρωσης του iPhone 1.1.1

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας της ενημέρωσης του iPhone v1.1.1.

H Apple, για λόγους προστασίας των πελατών της, δεν αποκαλύπτει, δεν συζητά ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple.

Για περισσότερες πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, ανατρέξτε στο άρθρο «Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple».

Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE για την αναφορά σε συγκεκριμένες ευπάθειες, με στόχο την περαιτέρω πληροφόρηση.

Για να μάθετε σχετικά με άλλες ενημερώσεις ασφάλειας, ανατρέξτε στο άρθρο «ενημερώσεις ασφάλειας Apple».

Ενημέρωση του iPhone v1.1.1

Bluetooth

CVE-ID: CVE-2007-3753

Αποτέλεσμα: Ένας εισβολέας εντός εμβέλειας Bluetooth ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό εφαρμογής ή αυθαίρετη εκτέλεση κώδικα.

Περιγραφή: Υπάρχει ένα πρόβλημα επαλήθευσης εισαγωγής στον διακομιστή Bluetooth του iPhone. Με την αποστολή πακέτων κακόβουλου πρωτοκόλλου εντοπισμού υπηρεσιών (SDP) σε ένα iPhone με ενεργοποιημένο Bluetooth, ένας εισβολέας μπορεί να προκαλέσει το πρόβλημα, το οποίο μπορεί να οδηγήσει σε απρόσμενο τερματισμό εφαρμογής ή αυθαίρετη εκτέλεση κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα με την εκτέλεση επιπλέον διαδικασιών επαλήθευσης στα πακέτα SDP. Ευχαριστούμε τους Kevin Mahaffey και John Hering της Flexilis Mobile Security για την αναφορά αυτού του προβλήματος.

Mail

CVE-ID: CVE-2007-3754

Αποτέλεσμα: Ο έλεγχος των email σε μη αξιόπιστα δίκτυα μπορεί να οδηγήσει σε αποκάλυψη πληροφοριών μέσω μιας επίθεσης εισβολέα με δυνατότητα μεσολάβησης.

Περιγραφή: Όταν το Mail έχει διαμορφωθεί να χρησιμοποιεί SSL για εισερχόμενες και εξερχόμενες συνδέσεις, δεν προειδοποιεί τον χρήστη όταν η ταυτότητα του διακομιστή αλληλογραφίας έχει αλλάξει ή δεν είναι αξιόπιστη. Ένας εισβολέας που μπορεί να υποκλέψει τη σύνδεση ενδέχεται να μπορεί να μιμηθεί τον διακομιστή αλληλογραφίας και να αποκτήσει τα διαπιστευτήρια email του χρήστη ή άλλες ευαίσθητες πληροφορίες. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα προειδοποιώντας σωστά όταν αλλάζει η ταυτότητα του απομακρυσμένου διακομιστή αλληλογραφίας.

Mail

CVE-ID: CVE-2007-3755

Αποτέλεσμα: Η ακολούθηση μιας σύνδεσης τηλεφώνου («τηλ.:») στο Mail καλεί έναν αριθμό τηλεφώνου χωρίς επιβεβαίωση.

Περιγραφή: Το Mail υποστηρίζει συνδέσεις τηλεφώνου («τηλ.:») για την κλήση αριθμών τηλεφώνου. Δελεάζοντας έναν χρήστη να ακολουθήσει μια σύνδεση τηλεφώνου σε ένα μήνυμα αλληλογραφίας, ένας εισβολέας μπορεί να προκαλέσει την πραγματοποίηση κλήσης από το iPhone χωρίς επιβεβαίωση από τον χρήστη. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα παρέχοντας ένα παράθυρο επιβεβαίωσης πριν πραγματοποιηθεί κλήση ενός αριθμού τηλεφώνου μέσω μιας σύνδεσης τηλεφώνου στο Mail. Ευχαριστούμε τον Andi Baritchi της McAfee για την αναφορά αυτού του προβλήματος.

Safari

CVE-ID: CVE-2007-3756

Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να οδηγήσει στην αποκάλυψη περιεχομένου URL.

Περιγραφή: Ένα πρόβλημα σχεδίασης στο Safari επιτρέπει σε μια ιστοσελίδα να διαβάσει τη διεύθυνση URL που προβάλλεται εκείνη τη στιγμή στο γονικό της παράθυρο. Δελεάζοντας έναν χρήστη να επισκεφτεί μια κακόβουλη ιστοσελίδα, ένας εισβολέας ενδέχεται να μπορεί να αποκτήσει τη διεύθυνση URL μιας μη συσχετισμένης σελίδας. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω βελτιωμένου ελέγχου ασφάλειας μεταξύ τομέων. Ευχαριστούμε τον Michal Zalewski της Google Inc. και τη Secunia Research για την αναφορά αυτού του προβλήματος.

Safari

CVE-ID: CVE-2007-3757

Αποτέλεσμα: Η επίσκεψη σε κακόβουλο ιστότοπο μπορεί να έχει ως αποτέλεσμα την πραγματοποίηση ανεπιθύμητων κλήσεων ή κλήσεων σε διαφορετικό αριθμό από τον αναμενόμενο.

Περιγραφή: Το Safari υποστηρίζει συνδέσεις τηλεφώνου («τηλ.:») για την κλήση αριθμών τηλεφώνου. Όταν επιλέγεται μια σύνδεση τηλεφώνου, το Safari θα επιβεβαιώσει ότι πρέπει να γίνει κλήση του αριθμού. Μια κακόβουλη σύνδεση τηλεφώνου μπορεί να προκαλέσει την εμφάνιση ενός διαφορετικού αριθμού κατά την επιβεβαίωση από αυτόν που θα κληθεί στην πραγματικότητα. Η έξοδος από το Safari κατά τη διαδικασία επιβεβαίωσης ενδέχεται να προκαλέσει ακούσια επιβεβαίωση. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα εμφανίζοντας σωστά τον αριθμό που θα κληθεί και απαιτώντας επιβεβαίωση για τις συνδέσεις τηλεφώνου. Ευχαριστούμε τους Billy Hoffman και Bryan Sullivan των HP Security Labs (πρώην SPI Labs) και τον Eduardo Tang για την αναφορά αυτού του προβλήματος.

Safari

CVE-ID: CVE-2007-3758

Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο μπορεί να οδηγήσει σε εκτέλεση σεναρίου μεταξύ ιστότοπων.

Περιγραφή: Μια ευπάθεια εκτέλεσης σεναρίου μεταξύ ιστότοπων υπάρχει στο Safari, η οποία επιτρέπει σε κακόβουλους ιστότοπους να ορίζουν τις ιδιότητες παραθύρων JavaScript των ιστότοπων που εξυπηρετούνται από διαφορετικό τομέα. Δελεάζοντας έναν χρήστη να επισκεφτεί έναν κακόβουλο ιστότοπο, ένας εισβολέας μπορεί να προκαλέσει το πρόβλημα, με αποτέλεσμα να αποκτήσει ή να ρυθμίσει την κατάσταση του παραθύρου και την τοποθεσία των σελίδων που εξυπηρετούνται από άλλους ιστότοπους. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα παρέχοντας βελτιωμένο έλεγχο πρόσβασης σε αυτές τις ιδιότητες. Ευχαριστούμε τον Michal Zalewski της Google Inc. για την αναφορά αυτού του προβλήματος.

Safari

CVE-ID: CVE-2007-3759

Αποτέλεσμα: Η απενεργοποίηση της JavaScript δεν τίθεται σε ισχύ μέχρι να επανεκκινηθεί το Safari.

Περιγραφή: Το Safari μπορεί να διαμορφωθεί έτσι ώστε να ενεργοποιεί ή να απενεργοποιεί την JavaScript. Αυτή η προτίμηση δεν τίθεται σε ισχύ μέχρι την επόμενη επανεκκίνηση του Safari. Αυτό συμβαίνει συνήθως όταν γίνεται επανεκκίνηση του iPhone. Αυτό μπορεί να παραπλανήσει τους χρήστες και να τους κάνει να πιστεύουν ότι η JavaScript είναι απενεργοποιημένη όταν δεν είναι. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα εφαρμόζοντας τη νέα προτίμηση πριν από τη φόρτωση νέων ιστοσελίδων.

Safari

CVE-ID: CVE-2007-3760

Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να έχει ως αποτέλεσμα την εκτέλεση σεναρίων μεταξύ ιστότοπων.

Περιγραφή: Ένα πρόβλημα εκτέλεσης σεναρίων μεταξύ ιστότοπων στο Safari επιτρέπει σε έναν κακόβουλο ιστότοπο να παρακάμψει την πολιτική ίδιας προέλευσης χρησιμοποιώντας ετικέτες «frame». Δελεάζοντας έναν χρήστη να επισκεφτεί μια κακόβουλη ιστοσελίδα, ένας εισβολέας μπορεί να προκαλέσει το πρόβλημα, το οποίο μπορεί να οδηγήσει στην εκτέλεση JavaScript στο πλαίσιο ενός άλλου ιστότοπου. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα αποκλείοντας τη JavaScript ως πηγή «iframe» και περιορίζοντας την πρόσβαση της JavaScript στις ετικέτες πλαισίου σε αυτή του ιστότοπου από τον οποίο προήλθε. Ευχαριστούμε τον Michal Zalewski της Google Inc. και τη Secunia Research για την αναφορά αυτού του προβλήματος.

Safari

CVE-ID: CVE-2007-3761

Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να έχει ως αποτέλεσμα την εκτέλεση σεναρίων μεταξύ ιστότοπων.

Περιγραφή: Ένα πρόβλημα εκτέλεσης σεναρίων μεταξύ ιστότοπων στο Safari επιτρέπει τη συσχέτιση συμβάντων JavaScript με το λανθασμένο πλαίσιο. Δελεάζοντας έναν χρήστη να επισκεφτεί μια κακόβουλη ιστοσελίδα, ένας εισβολέας μπορεί να προκαλέσει την εκτέλεση της JavaScript στο πλαίσιο ενός άλλου ιστότοπου. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα συσχετίζοντας τα συμβάντα JavaScript με το σωστό πλαίσιο πηγής.

Safari

CVE-ID: CVE-2007-4671

Αποτέλεσμα: Η JavaScript σε ιστότοπους ενδέχεται να αποκτήσει πρόσβαση ή να τροποποιήσει το περιεχόμενο των εγγράφων που εξυπηρετείται μέσω HTTPS.

Περιγραφή: Ένα πρόβλημα στο Safari επιτρέπει σε περιεχόμενο που εξυπηρετείται μέσω HTTP να τροποποιεί ή να αποκτά πρόσβαση σε περιεχόμενο που εξυπηρετείται μέσω HTTPS στον ίδιο τομέα. Δελεάζοντας έναν χρήστη να επισκεφτεί μια κακόβουλη ιστοσελίδα, ένας εισβολέας μπορεί να προκαλέσει την εκτέλεση JavaScript στο πλαίσιο των ιστοσελίδων HTTPS σε αυτόν τον τομέα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα περιορίζοντας την πρόσβαση μεταξύ της JavaScript που εκτελείται σε πλαίσια HTTP και HTTPS. Ευχαριστούμε στον Keigo Yamazaki της LAC Co., Ltd. (Little Earth Corporation Co., Ltd.) για την αναφορά αυτού του προβλήματος.

Σημείωση εγκατάστασης:

Αυτή η ενημέρωση είναι διαθέσιμη μόνο μέσω του iTunes και δεν θα εμφανιστεί στην εφαρμογή Ενημέρωση λογισμικού του υπολογιστή σας ή στον ιστότοπο Λήψεις Apple. Βεβαιωθείτε ότι έχετε σύνδεση στο διαδίκτυο και ότι έχετε εγκαταστήσει την πιο πρόσφατη έκδοση του iTunes από τη διεύθυνση www.apple.com/itunes.

Το iTunes θα ελέγχει αυτόματα τον διακομιστή ενημέρωσης της Apple σε εβδομαδιαία βάση. Όταν εντοπίζεται μια ενημέρωση, θα πραγματοποιείται λήψη. Όταν το iPhone είναι συνδεδεμένο στον υπολογιστή, το iTunes θα εμφανίζει στον χρήστη την επιλογή να εγκαταστήσει την ενημέρωση. Συνιστούμε να εφαρμόζετε την ενημέρωση άμεσα, αν είναι δυνατόν. Αν επιλέξετε «Να μην γίνει εγκατάσταση», η επιλογή θα εμφανιστεί την επόμενη φορά που θα συνδέσετε το iPhone.

Η διαδικασία αυτόματης ενημέρωσης μπορεί να διαρκέσει έως και μία εβδομάδα ανάλογα με την ημέρα κατά την οποία το iTunes ελέγχει για ενημερώσεις. Μπορείτε να λάβετε χειροκίνητα την ενημέρωση μέσω του κουμπιού «Έλεγχος για ενημερώσεις» στο iTunes. Μετά από αυτήν την ενέργεια, η ενημέρωση μπορεί να εφαρμοστεί όταν το iPhone είναι συνδεδεμένο στον υπολογιστή σας.

Για να ελέγξετε αν το iPhone έχει ενημερωθεί:

  1. Μεταβείτε στις Ρυθμίσεις

  2. Κάνε κλικ στην επιλογή «Γενικά»

  3. Κάντε κλικ στην επιλογή «Πληροφορίες». Η έκδοση μετά την εφαρμογή αυτής της ενημέρωσης θα είναι «1.1.1 (3A109a)».

Ημερομηνία δημοσίευσης: