Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας της Ενημέρωσης iPhone v1.0.1
Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας της Ενημέρωσης iPhone v1.0.1, η οποία μπορεί να ληφθεί και να εγκατασταθεί μέσω του iTunes όπως περιγράφεται παρακάτω.
H Apple, για λόγους προστασίας των πελατών της, δεν αποκαλύπτει, δεν συζητά ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple.
Για περισσότερες πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, ανατρέξτε στο άρθρο «Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple».
Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE για την αναφορά σε συγκεκριμένες ευπάθειες, με στόχο την περαιτέρω πληροφόρηση.
Για να ενημερωθείτε σχετικά με άλλες Ενημερώσεις ασφάλειας, ανατρέξτε στο άρθρο «Ενημερώσεις ασφάλειας Apple».
Ενημέρωση iPhone v1.0.1
Safari
CVE-ID: CVE-2007-2400
Διατίθεται για: iPhone v1.0
Αποτέλεσμα: Η μετάβαση σε έναν κακόβουλο ιστότοπο μπορεί να επιτρέψει τη δημιουργία διατοποθεσιακών σκριπτ.
Περιγραφή: Το μοντέλο ασφάλειας του Safari εμποδίζει τη JavaScript σε απομακρυσμένες ιστοσελίδες να τροποποιεί σελίδες εκτός του τομέα της. Μια συνθήκη ανταγωνισμού στην ενημέρωση των σελίδων σε συνδυασμό με ανακατεύθυνση HTTP μπορεί να επιτρέψει στην JavaScript από μία σελίδα να τροποποιήσει μια σελίδα ανακατεύθυνσης. Αυτό θα μπορούσε να επιτρέψει την ανάγνωση ή την αυθαίρετη τροποποίηση των cookie και των σελίδων. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω διόρθωσης του ελέγχου πρόσβασης στις ιδιότητες παραθύρου. Ευχαριστούμε τους Lawrence Lai, Stan Switzer και Ed Rowe της Adobe Systems, Inc. για την αναφορά αυτού του προβλήματος.
Safari
CVE-ID: CVE-2007-3944
Διατίθεται για: iPhone v1.0
Αποτέλεσμα: Η προβολή μιας κακόβουλης ιστοσελίδας μπορεί να έχει ως αποτέλεσμα την εκτέλεση αυθαίρετου κώδικα.
Περιγραφή: Υπάρχουν υπερχειλίσεις buffer σωρού στη βιβλιοθήκη Perl Compatible Regular Expressions (PCRE) που χρησιμοποιείται από τη μηχανή JavaScript στο Safari. Δελεάζοντας έναν χρήστη να επισκεφτεί μια κακόβουλη ιστοσελίδα, ένας εισβολέας μπορεί να προκαλέσει το πρόβλημα, το οποίο μπορεί να έχει ως αποτέλεσμα την εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω εκτέλεσης πρόσθετης επικύρωσης των τυπικών παραστάσεων JavaScript. Ευχαριστούμε τους Charlie Miller και Jake Honoroff της Independent Security Evaluators για την αναφορά αυτού του προβλήματος.
WebCore
CVE-ID: CVE-2007-2401
Διατίθεται για: iPhone v1.0
Αποτέλεσμα: Η μετάβαση σε έναν κακόβουλο ιστότοπο μπορεί να επιτρέψει τη δημιουργία διατοποθεσιακών αιτημάτων.
Περιγραφή: Υπάρχει ένα πρόβλημα εισαγωγής HTTP στο XMLHttpRequest κατά τη σειριοποίηση κεφαλίδων σε ένα αίτημα HTTP. Δελεάζοντας έναν χρήστη να επισκεφτεί μια κακόβουλη ιστοσελίδα, ένας εισβολέας θα μπορούσε να προκαλέσει ένα πρόβλημα δημιουργίας διατοποθεσιακών σκριπτ. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα με την εκτέλεση πρόσθετης επικύρωσης των παραμέτρων κεφαλίδας. Ευχαριστούμε τον Richard Moore της Westpoint Ltd. για την αναφορά αυτού του προβλήματος.
WebKit
CVE-ID: CVE-2007-3742
Διατίθεται για: iPhone v1.0
Αποτέλεσμα: Οι χαρακτήρες που μοιάζουν σε μια διεύθυνση URL μπορούν να χρησιμοποιηθούν για την πλαστογράφηση ενός ιστότοπου.
Περιγραφή: Η υποστήριξη International Domain Name (IDN) και οι γραμματοσειρές Unicode που είναι ενσωματωμένες στο Safari θα μπορούσαν να χρησιμοποιηθούν για τη δημιουργία μιας διεύθυνσης URL που περιέχει χαρακτήρες που μοιάζουν. Αυτή θα μπορούσε να χρησιμοποιηθεί από έναν κακόβουλο ιστότοπο για την ανακατεύθυνση του χρήση σε έναν πλαστογραφημένο ιστότοπο που εκ πρώτης όψεως δείχνει αυθεντικός. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω βελτιωμένου ελέγχου της εγκυρότητας των ονομάτων τομέα. Ευχαριστούμε τον Tomohito Yoshino της Business Architects Inc. για την αναφορά αυτού του προβλήματος.
WebKit
CVE-ID: CVE-2007-2399
Διατίθεται για: iPhone v1.0
Αποτέλεσμα: Η μετάβαση σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα.
Περιγραφή: Μια μη έγκυρη μετατροπή τύπου κατά την απόδοση συνόλων πλαισίων θα μπορούσε να έχει ως αποτέλεσμα την καταστροφή της μνήμης. Η μετάβαση σε μια κακόβουλη ιστοσελίδα μπορεί να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Ευχαριστούμε τον Rhys Kidd της Westnet για την αναφορά αυτού του προβλήματος.
Σημείωση εγκατάστασης
Αυτή η ενημέρωση είναι διαθέσιμη μόνο μέσω του iTunes και δεν θα εμφανίζεται στην εφαρμογή Ενημέρωση λογισμικού του υπολογιστή σας ή στον ιστότοπο Λήψεις της Υποστήριξης Apple. Βεβαιωθείτε ότι έχετε σύνδεση στο διαδίκτυο και ότι έχετε εγκαταστήσει την πιο πρόσφατη έκδοση του iTunes από το (www.apple.com/itunes).
Το iTunes ελέγχει αυτόματα τον διακομιστή ενημέρωσης της Apple σε εβδομαδιαία βάση. Όταν εντοπίζεται μια ενημέρωση, θα πραγματοποιείται λήψη. Όταν το iPhone είναι συνδεδεμένο, το iTunes θα εμφανίζει στον χρήστη την επιλογή να εγκαταστήσει την ενημέρωση. Συνιστούμε να εγκαταστήσετε την ενημέρωση αμέσως, αν είναι δυνατό. Αν επιλέξετε να μην γίνει εγκατάσταση, η επιλογή θα εμφανιστεί την επόμενη φορά που θα συνδέσετε το iPhone σας. Η διαδικασία αυτόματης ενημέρωσης μπορεί να διαρκέσει έως και μία εβδομάδα ανάλογα με την ημέρα κατά την οποία το iTunes ελέγχει για ενημερώσεις.
Μπορείτε να λάβετε χειροκίνητα την ενημέρωση μέσω του κουμπιού «Έλεγχος για ενημερώσεις» ή της επιλογής μενού στο iTunes. Αφού το κάνετε αυτό, η ενημέρωση μπορεί να εγκατασταθεί όταν το iPhone σας είναι συνδεδεμένο στον υπολογιστή σας.
Για να ελέγξετε αν το iPhone έχει ενημερωθεί:
Μεταβείτε στις Ρυθμίσεις στο iPhone.
Κάνε κλικ στην επιλογή «Γενικά».
Κάντε κλικ στην επιλογή «Πληροφορίες». Η έκδοση μετά την εγκατάσταση αυτής της ενημέρωσης θα είναι η «1.0.1 (1C25)».