Πληροφορίες για το περιεχόμενο ασφάλειας της ενημέρωσης λογισμικού iOS 4.3.2

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας της ενημέρωσης λογισμικού iOS 4.3.2.

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας της ενημέρωσης λογισμικού iOS 4.3.2, το οποίο μπορείτε να κατεβάσετε και να εγκαταστήσετε χρησιμοποιώντας το iTunes.

H Apple, για λόγους προστασίας των πελατών της, δεν αποκαλύπτει, δεν συζητά ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple.

Για περισσότερες πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, ανατρέξτε στο άρθρο «Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple».

Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE για την αναφορά σε συγκεκριμένες ευπάθειες, με στόχο την περαιτέρω πληροφόρηση.

Για να ενημερωθείτε σχετικά με άλλες Ενημερώσεις ασφάλειας, ανατρέξτε στο άρθρο «Ενημερώσεις ασφάλειας Apple».

Ενημέρωση λογισμικού iOS 4.3.2

  • Certificate Trust Policy

    Διατίθεται για: iOS 3.0 έως 4.3.1 για iPhone 3GS και νεότερα μοντέλα, iOS 3.1 έως 4.3.1 για iPod touch (3ης γενιάς) και νεότερα μοντέλα, iOS 3.2 έως 4.3.1 για iPad

    Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση δικτύου ενδέχεται να υποκλέψει διαπιστευτήρια χρηστών ή άλλες ευαίσθητες πληροφορίες

    Περιγραφή: Έχουν εκδοθεί αρκετά δόλια πιστοποιητικά SSL από μια συνεργαζόμενη με την Comodo αρχή εγγραφής. Αυτό ενδέχεται να επιτρέψει σε έναν εισβολέα που έχει τη δυνατότητα μεσολάβησης να ανακατευθύνει συνδέσεις και να υποκλέπτει διαπιστευτήρια χρηστών ή άλλες ευαίσθητες πληροφορίες. Αυτό το πρόβλημα αντιμετωπίζεται με την καταχώριση στη μαύρη λίστα των δόλιων πιστοποιητικών.

    Σημείωση: Για τα συστήματα Mac OS X, αυτό το πρόβλημα αντιμετωπίζεται με την ενημέρωση ασφάλειας 2011-002. Για τα συστήματα Windows, το Safari βασίζεται στον χώρο αποθήκευσης πιστοποιητικών του λειτουργικού συστήματος υπολογιστή υπηρεσίας για να προσδιορίσει αν ένα πιστοποιητικό διακομιστή SSL είναι αξιόπιστο. Η εφαρμογή της ενημέρωσης που περιγράφεται στο άρθρο 2524375 της γνωσιακής βάσης της Microsoft θα έχει ως αποτέλεσμα το Safari να θεωρεί ως μη αξιόπιστα αυτά τα πιστοποιητικά. Αυτό το άρθρο διατίθεται στη διεύθυνση http://support.microsoft.com/kb/2524375

  • libxslt

    Διατίθεται για: iOS 3.0 έως 4.3.1 για iPhone 3GS και νεότερα μοντέλα, iOS 3.1 έως 4.3.1 για iPod touch (3ης γενιάς) και νεότερα μοντέλα, iOS 3.2 έως 4.3.1 για iPad

    Αποτέλεσμα: Η μετάβαση σε κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε αποκάλυψη διευθύνσεων στον σωρό

    Περιγραφή: Η υλοποίηση της συνάρτησης generate-id() Xpath στη βιβλιοθήκη libxslt αποκάλυψε τη διεύθυνση ενός buffer σωρού. Η μετάβαση σε έναν κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε αποκάλυψη διευθύνσεων σε σωρό, το οποίο μπορεί να βοηθήσει στην παράκαμψη της προστασίας τυχαιοποίησης διάταξης του χώρου διευθύνσεων. Αυτό το πρόβλημα αντιμετωπίζεται με τη δημιουργία ενός ID που βασίζεται στη διαφορά ανάμεσα στις διευθύνσεις των δύο buffer σωρού.

    CVE-ID

    CVE-2011-0195: Chris Evans από τη Google Chrome Security Team

  • QuickLook

    Διατίθεται για: iOS 3.0 έως 4.3.1 για iPhone 3GS και νεότερα μοντέλα, iOS 3.1 έως 4.3.1 για iPod touch (3ης γενιάς) και νεότερα μοντέλα, iOS 3.2 έως 4.3.1 για iPad

    Αποτέλεσμα: Η προβολή κακόβουλου αρχείου του Microsoft Office ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπήρχε ένα πρόβλημα αλλοίωσης μνήμης στον χειρισμό αρχείων του Microsoft Office από το QuickLook. Η προβολή ενός κακόβουλου αρχείου του Microsoft Office ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα.

    CVE-ID

    CVE-2011-1417: Charlie Miller και Dion Blazakis σε συνεργασία με το πρόγραμμα Zero Day Initiative της TippingPoint

  • WebKit

    Διατίθεται για: iOS 3.0 έως 4.3.1 για iPhone 3GS και νεότερα μοντέλα, iOS 3.1 έως 4.3.1 για iPod touch (3ης γενιάς) και νεότερα μοντέλα, iOS 3.2 έως 4.3.1 για iPad

    Αποτέλεσμα: Η μετάβαση σε κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπήρχε ένα πρόβλημα υπερχείλισης ακεραίων στον χειρισμό συνόλων κόμβων. Η μετάβαση σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα.

    CVE-ID

    CVE-2011-1290: Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp Weinmann και ένας ανώνυμος ερευνητής σε συνεργασία με το πρόγραμμα Zero Day Initiative της TippingPoint

  • WebKit

    Διατίθεται για: iOS 3.0 έως 4.3.1 για iPhone 3GS και νεότερα μοντέλα, iOS 3.1 έως 4.3.1 για iPod touch (3ης γενιάς) και νεότερα μοντέλα, iOS 3.2 έως 4.3.1 για iPad

    Αποτέλεσμα: Η μετάβαση σε κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπήρχε ένα πρόβλημα σφάλματος τύπου «use-after-free» στον χειρισμό κόμβων κειμένου. Η μετάβαση σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα.

    CVE-ID

    CVE-2011-1344: Vupen Security σε συνεργασία με το πρόγραμμα Zero Day Initiative της TippingPoint και Martin Barbella

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.

Ημερομηνία δημοσίευσης: