Πληροφορίες για το περιεχόμενο ασφάλειας της Ενημέρωσης λογισμικού iOS 5.0.1

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του iOS 5.0.1.

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του iOS 5.0.1, το οποίο μπορείτε να κατεβάσετε και να εγκαταστήσετε χρησιμοποιώντας το iTunes.

Για την προστασία των πελατών μας, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει θέματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple.

Για πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, ανατρέξτε στο άρθρο Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple.

Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE, για την αναφορά σε συγκεκριμένες ευπάθειες για περαιτέρω πληροφόρηση.

Για να ενημερωθείτε σχετικά με άλλες ενημερώσεις ασφάλειας, ανατρέξτε στο άρθρο Ενημερώσεις ασφάλειας Apple.

Ενημέρωση λογισμικού iOS 5.0.1

  • CFNetwork

    Διατίθεται για: iOS 3.0 έως 5.0 για iPhone 3GS, iPhone 4 και iPhone 4s, iOS 3.1 έως 5.0 για iPod touch (3ης γενιάς) και νεότερα μοντέλα, iOS 3.2 έως 5.0 για iPad και iOS 4.3 έως 5.0 για iPad 2

    Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να οδηγήσει στην αποκάλυψη ευαίσθητων πληροφοριών

    Περιγραφή: Υπήρχε ένα ζήτημα στον τρόπο με τον οποίο το CFNetwork χειριζόταν τις κακόβουλες διευθύνσεις URL. Κατά την πρόσβαση σε ένα κακόβουλο HTTP ή HTTPS URL, το CFNetwork μπορούσε μπορεί να μεταβεί σε λάθος διακομιστή.

    Αναγνωριστικό CVE

    CVE-2011-3246 : Erling Ellingsen του Facebook

  • CoreGraphics

    Διατίθεται για: iOS 3.0 έως 5.0 για iPhone 3GS, iPhone 4 και iPhone 4s, iOS 3.1 έως 5.0 για iPod touch (3ης γενιάς) και νεότερα μοντέλα, iOS 3.2 έως 5.0 για iPad και iOS 4.3 έως 5.0 για iPad 2

    Αποτέλεσμα: Η προβολή ενός εγγράφου που περιέχει μια κακόβουλη γραμματοσειρά ενδέχεται να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα

    Περιγραφή: Υπήρχαν πολλά ζητήματα αλλοίωσης μνήμης στο FreeType, εκ των οποίων, το σημαντικότερο μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα κατά την επεξεργασία μιας κακόβουλης γραμματοσειράς.

    Αναγνωριστικό CVE

    CVE-2011-3439 : Apple

  • Ασφάλεια δεδομένων

    Διατίθεται για: iOS 3.0 έως 5.0 για iPhone 3GS, iPhone 4 και iPhone 4s, iOS 3.1 έως 5.0 για iPod touch (3ης γενιάς) και νεότερα μοντέλα, iOS 3.2 έως 5.0 για iPad και iOS 4.3 έως 5.0 για iPad 2

    Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση δικτύου ενδέχεται να μπορεί να υποκλέψει τα διαπιστευτήρια ενός χρήστη ή άλλες ευαίσθητες πληροφορίες

    Περιγραφή: Δύο αρχές έκδοσης πιστοποιητικών από τη λίστα αξιόπιστων πιστοποιητικών ρίζας, προχώρησαν στην ανεξάρτητη έκδοση ενδιάμεσων πιστοποιητικών για την DigiCert Malaysia. Η DigiCert Malaysia έχει εκδώσει πιστοποιητικά με αδύναμα κλειδιά τα οποία αδυνατεί να ανακαλέσει. Ένας εισβολέας με προνομιακή θέση δικτύου θα μπορούσε να υποκλέψει τα διαπιστευτήρια χρήστη ή άλλες ευαίσθητες πληροφορίες που προορίζονται για έναν ιστότοπο με ένα πιστοποιητικό που έχει εκδοθεί από την DigiCert Malaysia. Αυτό το ζήτημα αντιμετωπίζεται από τη διαμόρφωση των προεπιλεγμένων ρυθμίσεων αξιοπιστίας συστήματος ώστε τα πιστοποιητικά της DigiCert Malaysia να μην είναι πλέον αξιόπιστα.Θα θέλαμε να ευχαριστήσουμε τον Bruce Morton της Entrust, Inc. για την αναφορά αυτού του ζητήματος.

  • Πυρήνας

    Διατίθεται για: iOS 3.0 έως 5.0 για iPhone 3GS, iPhone 4 και iPhone 4s, iOS 3.1 έως 5.0 για iPod touch (3ης γενιάς) και νεότερα μοντέλα, iOS 3.2 έως 5.0 για iPad και iOS 4.3 έως 5.0 για iPad 2

    Αποτέλεσμα: Μια εφαρμογή μπορεί να εκτελέσει κώδικα χωρίς υπογραφή

    Περιγραφή: Υπήρχε ένα σφάλμα λογικής στον τρόπο με τον οποίο οι κλήσεις συστήματος mmap έλεγχαν τους έγκυρους συνδυασμούς σημαιών. Αυτό το ζήτημα ενδέχεται να οδηγήσει σε παράκαμψη των ελέγχων υπογραφής κώδικα.Αυτό το ζήτημα δεν επηρεάζει συσκευές που εκτελούν iOS με έκδοση παλαιότερη του 4.3.

    Αναγνωριστικό CVE

    CVE-2011-3442 : Charlie Miller της Accuvant Labs

  • libinfo

    Διατίθεται για: iOS 3.0 έως 5.0 για iPhone 3GS, iPhone 4 και iPhone 4s, iOS 3.1 έως 5.0 για iPod touch (3ης γενιάς) και νεότερα μοντέλα, iOS 3.2 έως 5.0 για iPad και iOS 4.3 έως 5.0 για iPad 2

    Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να οδηγήσει στην αποκάλυψη ευαίσθητων πληροφοριών

    Περιγραφή: Υπήρχε ένα ζήτημα στον τρόπο με τον οποίο το libinfo χειριζόταν τις αναζητήσεις ονόματος DNS. Κατά την επίλυση ενός κακόβουλου ονόματος υπολογιστή υπηρεσίας, το libinfo μπορούσε να εμφανίσει ένα λάθος αποτέλεσμα.

    Αναγνωριστικό CVE

    CVE-2011-3441 : Erling Ellingsen του Facebook, Per Johansson του Blocket AB

  • Κλείδωμα κωδικού πρόσβασης

    Διατίθεται για: iOS 4.3 έως 5.0 για iPad 2

    Αποτέλεσμα: Ένα άτομο με φυσική πρόσβαση σε ένα κλειδωμένο iPad 2, ενδέχεται να μπορέσει να αποκτήσει πρόσβαση σε κάποια δεδομένα του χρήστη

    Περιγραφή: Όταν ανοίγει ένα Smart Cover ενώ το iPad 2 πραγματοποιεί επιβεβαίωση απενεργοποίησης σε λειτουργία κλειδώματος, το iPad δεν απαιτεί συνθηματικό. Με αυτόν τον τρόπο επιτρέπεται ορισμένη πρόσβαση στο iPad, αλλά τα δεδομένα που προστατεύονται από την Προστασία δεδομένων δεν είναι προσβάσιμα και η εκτέλεση εφαρμογών δεν είναι δυνατή.

    Αναγνωριστικό CVE

    CVE-2011-3440

 

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Υπάρχουν κίνδυνοι στη χρήση του Διαδικτύου. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες. Οι επωνυμίες άλλων εταιρειών και προϊόντων ενδέχεται να είναι εμπορικά σήματα των αντίστοιχων κατόχων τους.

Published Date: