Πληροφορίες για το περιεχόμενο ασφάλειας της Ενημέρωσης λογισμικού iOS 4.3.2

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας της Ενημέρωσης λογισμικού iOS 4.3.2.

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας της Ενημέρωσης λογισμικού iOS 4.3.2, το οποίο μπορείτε να κατεβάσετε και να εγκαταστήσετε χρησιμοποιώντας το iTunes.

Για την προστασία των πελατών μας, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει θέματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple.

Για πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, ανατρέξτε στο άρθρο Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple.

Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE, για την αναφορά σε συγκεκριμένες ευπάθειες για περαιτέρω πληροφόρηση.

Για να ενημερωθείτε σχετικά με άλλες ενημερώσεις ασφάλειας, ανατρέξτε στο άρθρο Ενημερώσεις ασφάλειας Apple.

Ενημέρωση λογισμικού iOS 4.3.2

  • Πολιτική αξιοπιστίας πιστοποιητικού

    Διατίθεται για: iOS 3.0 έως 4.3.1 για iPhone 3GS και νεότερα μοντέλα, iOS 3.1 έως 4.3.1 για iPod touch (3ης γενιάς) και νεότερα μοντέλα και iOS 3.2 έως 4.3.1 για iPad

    Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση δικτύου ενδέχεται να μπορεί να υποκλέψει τα διαπιστευτήρια ενός χρήστη ή άλλες ευαίσθητες πληροφορίες

    Περιγραφή: Αρκετά κακόβουλα πιστοποιητικά SSL εκδόθηκαν από μια αρχή εγγραφής που σχετίζεται με την Comodo. Αυτό ενδέχεται να επιτρέψει σε έναν εισβολέα που έχει τη δυνατότητα μεσολάβησης να ανακατευθύνει συνδέσεις και να υποκλέπτει διαπιστευτήρια χρηστών ή άλλες ευαίσθητες πληροφορίες. Αυτό το ζήτημα αντιμετωπίζεται προσθέτοντας τα κακόβουλα πιστοποιητικά σε μαύρη λίστα.

    Σημείωση: Για συστήματα Mac OS X, αυτό το ζήτημα αντιμετωπίζεται με την ενημέρωση ασφάλειας 2011-002. Για συστήματα Windows, το Safari βασίζεται στη βιβλιοθήκη πιστοποιητικών του λειτουργικού συστήματος του υπολογιστή υπηρεσίας προκειμένου να επιβεβαιώσει αν ένα πιστοποιητικό διακομιστή SSL είναι αξιόπιστο. Η εφαρμογή της ενημέρωσης που περιγράφεται στο άρθρο 2524375 της Γνωσιακής βάσης της Microsoft, θα έχει ως αποτέλεσμα το Safari να αντιμετωπίζει αυτά τα πιστοποιητικά ως μη αξιόπιστα. Αυτό το άρθρο είναι διαθέσιμο στη διεύθυνση http://support.microsoft.com/kb/2524375

  • libxslt

    Διατίθεται για: iOS 3.0 έως 4.3.1 για iPhone 3GS και νεότερα μοντέλα, iOS 3.1 έως 4.3.1 για iPod touch (3ης γενιάς) και νεότερα μοντέλα και iOS 3.2 έως 4.3.1 για iPad

    Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να αποκαλύψει τη διεύθυνση στο σωρό

    Αποτέλεσμα: Η υλοποίηση libxslt της συνάρτησης του XPath generate-id(), αποκάλυψε τη διεύθυνση ενός buffer σωρού. Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να αποκαλύψει διευθύνσεις στο σωρό, διευκολύνοντας την παράκαμψη της προστασίας τυχαίας διάταξης του χώρου διευθύνσεων. Αυτό το ζήτημα αντιμετωπίζεται με τη δημιουργία ενός αναγνωριστικού που βασίζεται στη διαφορά μεταξύ των διευθύνσεων των δύο buffer σωρού.

    Αναγνωριστικό CVE

    CVE-2011-0195 : Chris Evans της Ομάδας ασφάλειας του Google Chrome

  • QuickLook

    Διατίθεται για: iOS 3.0 έως 4.3.1 για iPhone 3GS και νεότερα μοντέλα, iOS 3.1 έως 4.3.1 για iPod touch (3ης γενιάς) και νεότερα μοντέλα και iOS 3.2 έως 4.3.1 για iPad

    Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου του Microsoft Office ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε αυθαίρετη εκτέλεση κώδικα

    Περιγραφή: Υπήρχε ένα θέμα αλλοίωσης μνήμης στον τρόπο με τον οποίο το QuickLook χειριζόταν αρχεία του Microsoft Office. Η προβολή ενός κακόβουλου αρχείου του Microsoft Office ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε αυθαίρετη εκτέλεση κώδικα.

    Αναγνωριστικό CVE

    CVE-2011-1417 : Charlie Miller και Dion Blazakis σε συνεργασία με το πρόγραμμα Zero Day Initiative της TippingPoint

  • WebKit

    Διατίθεται για: iOS 3.0 έως 4.3.1 για iPhone 3GS και νεότερα μοντέλα, iOS 3.1 έως 4.3.1 για iPod touch (3ης γενιάς) και νεότερα μοντέλα και iOS 3.2 έως 4.3.1 για iPad

    Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε αυθαίρετη εκτέλεση κώδικα

    Περιγραφή: Υπήρχε υπερχείλιση ακεραίων στο χειρισμό των συνόλων κόμβων. Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε αυθαίρετη εκτέλεση κώδικα.

    Αναγνωριστικό CVE

    CVE-2011-1290 : Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp Weinmann και ένας ανώνυμος ερευνητής σε συνεργασία με το πρόγραμμα Zero Day Initiative της TippingPoint

  • WebKit

    Διατίθεται για: iOS 3.0 έως 4.3.1 για iPhone 3GS και νεότερα μοντέλα, iOS 3.1 έως 4.3.1 για iPod touch (3ης γενιάς) και νεότερα μοντέλα και iOS 3.2 έως 4.3.1 για iPad

    Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε αυθαίρετη εκτέλεση κώδικα

    Περιγραφή: Υπήρχε ένα ζήτημα χρήσης ύστερα από αποδέσμευση με το χειρισμό των κόμβων κειμένου. Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε αυθαίρετη εκτέλεση κώδικα.

    Αναγνωριστικό CVE

    CVE-2011-1344 : Vupen Security σε συνεργασία με το πρόγραμμα Zero Day Initiative της TippingPoint και Martin Barbella

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Υπάρχουν κίνδυνοι στη χρήση του Διαδικτύου. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες. Οι επωνυμίες άλλων εταιρειών και προϊόντων ενδέχεται να είναι εμπορικά σήματα των αντίστοιχων κατόχων τους.

Published Date: