Αυτό το άρθρο έχει αρχειοθετηθεί και δεν ενημερώνεται πλέον από την Apple.

Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του iOS 2.2 και του iOS για iPod touch 2.2

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του iOS 2.2 και του iOS για iPod touch 2.2.

H Apple, για λόγους προστασίας των πελατών της, δεν αποκαλύπτει, δεν συζητά ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple.

Για περισσότερες πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, ανατρέξτε στο άρθρο «Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple».

Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE για την αναφορά σε συγκεκριμένες ευπάθειες, με στόχο την περαιτέρω πληροφόρηση.

Για να μάθετε σχετικά με άλλες ενημερώσεις ασφάλειας, ανατρέξτε στην ενότητα «Ενημερώσεις ασφάλειας Apple».

iOS 2.2 και iOS για iPod touch 2.2

  • CoreGraphics

    CVE-ID: CVE-2008-2321

    Διατίθεται για: iOS 1.0 έως 2.1, iOS για iPod touch 1.1 έως 2.1

    Αποτέλεσμα: Η επίσκεψη σε κακόβουλο ιστότοπο ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχουν προβλήματα αλλοίωσης μνήμης στο CoreGraphics στην επεξεργασία ορισμάτων. Η μεταβίβαση μη αξιόπιστης εισόδου στο CoreGraphics μέσω μιας εφαρμογής, όπως ενός προγράμματος περιήγησης, ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω βελτιωμένου ελέγχου ορίων. Ευχαριστούμε τον Michal Zalewski της Google για την αναφορά αυτού του προβλήματος.

  • ImageIO

    CVE-ID: CVE-2008-2327

    Διατίθεται για: iOS 1.0 έως 2.1, iOS για iPod touch 1.1 έως 2.1

    Αποτέλεσμα: Η προβολή κακόβουλης εικόνας TIFF ενδέχεται να έχει ως αποτέλεσμα τον μη αναμενόμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχουν πολλά προβλήματα πρόσβασης σε μη αρχικοποιημένη μνήμη στον χειρισμό εικόνων TIFF με κωδικοποίηση LZW από το libTIFF. Η προβολή κακόβουλης εικόνας TIFF ενδέχεται να έχει ως αποτέλεσμα τον μη αναμενόμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω της σωστής αρχικοποίησης μνήμης και της πρόσθετης επικύρωσης εικόνων TIFF.

  • ImageIO

    CVE-ID: CVE-2008-1586

    Διατίθεται για: iOS 1.0 έως 2.1, iOS για iPod touch 1.1 έως 2.1

    Αποτέλεσμα: Η προβολή κακόβουλης εικόνας TIFF ενδέχεται να έχει ως αποτέλεσμα τη μη αναμενόμενη επαναφορά συσκευής

    Περιγραφή: Υπάρχει πρόβλημα εξάντλησης μνήμης στον χειρισμό εικόνων TIFF. Η προβολή κακόβουλης εικόνας TIFF ενδέχεται να έχει ως αποτέλεσμα τη μη αναμενόμενη επαναφορά συσκευής. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα περιορίζοντας την ποσότητα μνήμης που εκχωρείται για το άνοιγμα μιας εικόνας TIFF. Ευχαριστούμε τον Sergio 'shadown' Alvarez της Recurity Labs GmbH για την αναφορά αυτού του προβλήματος.

  • Networking

    CVE-ID: CVE-2008-4227

    Διατίθεται για: iOS 1.0 έως 2.1, iOS για iPod touch 1.1 έως 2.1

    Αποτέλεσμα: Το επίπεδο κρυπτογράφησης για τις συνδέσεις PPTP VPN μπορεί να είναι κατώτερο από το αναμενόμενο

    Περιγραφή: Το επίπεδο κρυπτογράφησης για τις συνδέσεις PPTP VPN ενδέχεται να επιστρέψει σε μια προηγούμενη κατώτερη ρύθμιση. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα με τη σωστή ρύθμιση των προτιμήσεων κρυπτογράφησης. Ευχαριστούμε τον Stephen Butler του University of Illinois of Urbana-Champaign για την αναφορά αυτού του προβλήματος.

  • Office Viewer

    CVE-ID: CVE-2008-4211

    Διατίθεται για: iOS 1.0 έως 2.1, iOS για iPod touch 1.1 έως 2.1

    Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου Microsoft Excel ενδέχεται να οδηγήσει σε μη αναμενόμενο τερματισμό της εφαρμογής ή στην εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Ένα πρόβλημα τύπου «signedness» στον χειρισμό από το Office Viewer των στηλών στα αρχεία Microsoft Excel ενδέχεται να οδηγήσει σε πρόσβαση εκτός ορίων της μνήμης. Η προβολή ενός κακόβουλου αρχείου Microsoft Excel ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε αυθαίρετη εκτέλεση κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα εξασφαλίζοντας ότι οι επηρεαζόμενες τιμές δεικτών δεν είναι αρνητικές. Ευχαριστίες: Apple.

  • Passcode Lock

    CVE-ID: CVE-2008-4228

    Διατίθεται για: iOS 1.0 έως 2.1, iOS για iPod touch 1.1 έως 2.1

    Αποτέλεσμα: Οι κλήσεις έκτακτης ανάγκης δεν περιορίζονται μόνο σε αριθμούς έκτακτης ανάγκης

    Περιγραφή: Το iPhone παρέχει τη δυνατότητα κλήσης έκτακτης ανάγκης όταν είναι κλειδωμένο. Προς το παρόν, μπορεί να πραγματοποιηθεί μια κλήση έκτακτης ανάγκης σε οποιονδήποτε αριθμό. Ένα άτομο με φυσική πρόσβαση σε ένα iPhone ενδέχεται να εκμεταλλευτεί αυτήν τη δυνατότητα για να πραγματοποιήσει αυθαίρετες κλήσεις για τις οποίες χρεώνεται ο κάτοχος του iPhone. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα περιορίζοντας τις κλήσεις έκτακτης ανάγκης σε ένα περιορισμένο σύνολο αριθμών τηλεφώνου.

  • Passcode Lock

    CVE-ID: CVE-2008-4229

    Διατίθεται για: iOS 1.0 έως 2.1, iOS για iPod touch 1.1 έως 2.1

    Αποτέλεσμα: Η επαναφορά μιας συσκευής από ένα εφεδρικό αντίγραφο ενδέχεται να μην ενεργοποιήσει πάλι το Κλείδωμα με κωδικό

    Περιγραφή: Η δυνατότητα «Κλείδωμα με κωδικό» έχει σχεδιαστεί για να αποτρέπει την εκκίνηση εφαρμογών εκτός εάν εισαχθεί ο σωστός κωδικός. Μια συνθήκη ανταγωνισμού στον χειρισμό των ρυθμίσεων συσκευής ενδέχεται να προκαλέσει την αφαίρεση του Κλειδώματος με κωδικό όταν η συσκευή επαναφέρεται από ένα εφεδρικό αντίγραφο. Αυτό μπορεί να επιτρέψει σε ένα άτομο με φυσική πρόσβαση στη συσκευή να εκκινεί εφαρμογές χωρίς τον κωδικό. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα βελτιώνοντας τη δυνατότητα του συστήματος να αναγνωρίζει προτιμήσεις που λείπουν. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα πριν από τις εκδόσεις iOS 2.0 ή iOS για iPod touch 2.0. Ευχαριστούμε τον Nolen Scaife για την αναφορά αυτού του προβλήματος.

  • Passcode Lock

    CVE-ID: CVE-2008-4230

    Διατίθεται για: iOS 1.0 έως 2.1, iOS για iPod touch 1.1 έως 2.1

    Αποτέλεσμα: Τα μηνύματα SMS ενδέχεται να αποκαλυφθούν πριν από την εισαγωγή του κωδικού

    Περιγραφή: Εάν ένα μήνυμα SMS ληφθεί ενώ είναι ορατή η οθόνη επείγουσας κλήσης, εμφανίζεται ολόκληρο το μήνυμα SMS, ακόμα και αν η προτίμηση «Εμφάνιση προεπισκόπησης SMS» είχε οριστεί σε «ΟΧΙ». Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα, σε αυτήν την περίπτωση, εμφανίζοντας μόνο μια γνωστοποίηση ότι ελήφθη ένα μήνυμα SMS και όχι το περιεχόμενό του.

  • Safari

    CVE-ID: CVE-2008-4231

    Διατίθεται για: iOS 1.0 έως 2.1, iOS για iPod touch 1.1 έως 2.1

    Αποτέλεσμα: Η επίσκεψη σε κακόβουλο ιστότοπο ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχει πρόβλημα αλλοίωσης μνήμης στον χειρισμό στοιχείων πίνακα HTML. Η μετάβαση σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω βελτιωμένου χειρισμού των στοιχείων πίνακα HTML. Ευχαριστούμε τον Haifei Li της ομάδας Fortinet's FortiGuard Global Security Research Team για την αναφορά αυτού του προβλήματος.

  • Safari

    CVE-ID: CVE-2008-4232

    Διατίθεται για: iOS 1.0 έως 2.1, iOS για iPod touch 1.1 έως 2.1

    Αποτέλεσμα: Οι ιστότοποι με ενσωματωμένα στοιχεία iframe ενδέχεται να είναι ευάλωτοι σε πλαστογράφηση του περιβάλλοντος χρήστη

    Περιγραφή: Το Safari επιτρέπει σε ένα στοιχείο iframe να εμφανίζει περιεχόμενο εκτός των ορίων του, το οποίο μπορεί να οδηγήσει σε πλαστογράφηση του περιβάλλοντος χρήστη. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μην επιτρέποντας σε στοιχεία iframe να εμφανίζουν περιεχόμενο εκτός των ορίων τους. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα πριν από τις εκδόσεις iOS 2.0 ή iOS για iPod touch 2.0. Ευχαριστούμε τον John Resig της Mozilla Corporation για την αναφορά αυτού του προβλήματος.

  • CVE-ID: CVE-2008-4233 Διατίθεται για: iOS 1.0 έως 2.1, iOS για iPod touch 1.1 έως 2.1 Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να εκκινήσει μια τηλεφωνική κλήση χωρίς την αλληλεπίδραση του χρήστη. Περιγραφή: Εάν γίνει εκκίνηση μιας εφαρμογής μέσω του Safari ενώ εμφανίζεται ένα πλαίσιο διαλόγου έγκρισης κλήσης, η κλήση θα πραγματοποιηθεί. Αυτό μπορεί να επιτρέψει σε έναν κακόβουλο ιστότοπο να εκκινήσει μια τηλεφωνική κλήση χωρίς την αλληλεπίδραση του χρήστη. Επιπλέον, υπό ορισμένες συνθήκες, ενδέχεται ένας κακόβουλος ιστότοπος να μπορεί να αποκλείσει τη δυνατότητα του χρήστη για ακύρωση κλήσεων για σύντομο χρονικό διάστημα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα ακυρώνοντας κατάλληλα το πλαίσιο διαλόγου έγκρισης κλήσης του Safari, όταν γίνεται εκκίνηση μιας εφαρμογής μέσω του Safari. Ευχαριστούμε τον Collin Mulliner της Fraunhofer SIT για την αναφορά αυτού του προβλήματος.

    Safari

  • Webkit

    CVE-ID: CVE-2008-3644

    Διατίθεται για: iOS 1.0 έως 2.1, iOS για iPod touch 1.1 έως 2.1

    Αποτέλεσμα: Ενδέχεται να αποκαλυφθούν ευαίσθητες πληροφορίες σε ένα άτομο με φυσική πρόσβαση σε μια ξεκλείδωτη συσκευή

    Περιγραφή: Η απενεργοποίηση της αυτόματης συμπλήρωσης σε ένα πεδίο φόρμας ενδέχεται να μην αποτρέπει την αποθήκευση των δεδομένων στο πεδίο στη μνήμη cache σελίδων του προγράμματος περιήγησης. Αυτό μπορεί να οδηγήσει στην αποκάλυψη ευαίσθητων πληροφοριών σε ένα άτομο με φυσική πρόσβαση σε μια ξεκλείδωτη συσκευή. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα με τη σωστή εκκαθάριση των δεδομένων φόρμας. Ευχαριστούμε έναν ανώνυμο ερευνητή για την αναφορά αυτού του προβλήματος.

Σημαντικό: Οι πληροφορίες σχετικά με προϊόντα που δεν κατασκευάζονται από την Apple παρέχονται μόνο για ενημερωτικούς σκοπούς και δεν αποτελούν σύσταση ή έγκριση της Apple. Επικοινωνήστε με τον προμηθευτή για πρόσθετες πληροφορίες.

Ημερομηνία δημοσίευσης: