Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας της ενημέρωσης λογισμικού iOS 5.1 που μπορείτε να κατεβάσετε και να εγκαταστήσετε μέσω iTunes.
Για την προστασία των πελατών μας, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει θέματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple.
Για πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, διαβάστε το άρθρο "Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple".
Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE, για την αναφορά σε συγκεκριμένες ευπάθειες για περαιτέρω πληροφόρηση.
Για να ενημερωθείτε σχετικά με άλλες ενημερώσεις ασφάλειας, διαβάστε το άρθρο "Ενημερώσεις ασφάλειας Apple".
Ενημέρωση Λογισμικού iOS 5.1
- 

- 

CFNetwork

Διαθέσιμο για: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3ης γενιάς) και νεότερα μοντέλα, iPad, iPad 2

Επίδραση: Η επίσκεψη σε έναν ιστότοπο με κακόβουλο σχεδιασμό ενδέχεται να επιτρέψει την αποκάλυψη ευαίσθητων πληροφοριών

Περιγραφή: Υπήρχε ένα θέμα με τη διαχείριση των διευθύνσεων URL που δεν είχαν σωστή μορφή από το CFNetwork. Κατά την πρόσβαση σε μια διεύθυνση URL που είχε σχεδιαστεί με κακόβουλο σκοπό, το CFNetwork μπορούσε να στείλει μη αναμενόμενες κεφαλίδες αιτημάτων.

Αναγνωριστικό CVE

CVE-2012-0641 : Erling Ellingsen από το Facebook

 

- 

- 

HFS

Διαθέσιμο για: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3ης γενιάς) και νεότερα μοντέλα, iPad, iPad 2

Επίδραση: Το μοντάρισμα ενός ειδώλου δίσκου με κακόβουλο σχεδιασμό μπορούσε να προκαλέσει τον τερματισμό λειτουργίας της συσκευής ή την αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Υπήρχε ένα σφάλμα υποχείλισης ακεραίου με τη διαχείριση των αρχείων καταλόγου του HFS.

Αναγνωριστικό CVE

CVE-2012-0642 : pod2g

 

- 

- 

Πυρήνας

Διαθέσιμο για: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3ης γενιάς) και νεότερα μοντέλα, iPad, iPad 2

Επίδραση: Ένα κακόβουλο πρόγραμμα θα μπορούσε να παρακάμψει τους περιορισμούς του sandbox

Περιγραφή: Υπήρχε ένα σφάλμα λογικής στη διαχείριση κλήσεων συστήματος εντοπισμού σφαλμάτων. Αυτό ενδέχεται να επιτρέψει σε ένα κακόβουλο πρόγραμμα να αποκτήσει δικαιώματα εκτέλεσης κώδικα σε άλλα προγράμματα με τα ίδια δικαιώματα χρηστών.

Αναγνωριστικό CVE

CVE-2012-0643 : 2012 iOS Jailbreak Dream Team

 

- 

- 

libresolv

Διαθέσιμο για: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3ης γενιάς) και νεότερα μοντέλα, iPad, iPad 2

Επίδραση: Οι εφαρμογές που χρησιμοποιούν τη βιβλιοθήκη libresolv ενδέχεται να είναι εκτεθειμένες σε απρόσμενη διακοπή λειτουργίας ή σε αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Υπήρχε μια υποχείλιση ακεραίου στη διαχείριση των εγγραφών πόρων DNS, η οποία μπορεί να προκαλέσει αλλοίωση της μνήμης σωρού.

Αναγνωριστικό CVE

CVE-2011-3453 : Ilja van Sprundel από IOActive

 

- 

- 

Κλείδωμα συνθηματικού

Διαθέσιμο για: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3ης γενιάς) και νεότερα μοντέλα, iPad, iPad 2

Αποτέλεσμα: Άτομο με φυσική πρόσβαση στη συσκευή μπορεί να παρακάμψει το κλείδωμα οθόνης

Περιγραφή: Υπήρχε ένα θέμα συναγωνισμού στη διαχείριση των κινήσεων ολίσθησης για κλήση. Αυτό μπορεί να επιτρέψει ένα άτομο με φυσική πρόσβαση στη συσκευή να παρακάμψει την οθόνη κλειδώματος συνθηματικού.

Αναγνωριστικό CVE

CVE-2012-0644 : Roland Kohler από το Γερμανικό Υπουργείο Οικονομικών και Τεχνολογίας

 

- 

- 

Safari

Διαθέσιμο για: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3ης γενιάς) και νεότερα μοντέλα, iPad, iPad 2

Επίδραση: Οι επισκέψεις σε ιστοσελίδες ενδέχεται να καταγράφονται στο ιστορικό του προγράμματος περιήγησης, ακόμη και αν είναι ενεργή η Ιδιωτική περιήγηση

Περιγραφή: Η Ιδιωτική περιήγηση του Safari είναι σχεδιασμένη ώστε να μην επιτρέπει την καταγραφή μιας περιόδου λειτουργίας περιήγησης. Οι σελίδες που επισκέπτεται ο χρήστης ως αποτέλεσμα της χρήσης των μεθόδων JavaScript pushState ή replaceState από τον ιστότοπο, καταγράφονταν στο ιστορικό του προγράμματος περιήγησης, ακόμη και αν ήταν ενεργοποιημένη η λειτουργία Ιδιωτικής περιήγησης. Αυτό το θέμα επιλύεται με την μη καταγραφή αυτών των επισκέψεων όταν η Ιδιωτική περιήγηση είναι ενεργή.

Αναγνωριστικό CVE

CVE-2012-0585 : Eric Melville από American Express

 

- 

- 

Siri

Διαθέσιμο για: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3ης γενιάς) και νεότερα μοντέλα, iPad, iPad 2

Επίδραση: Ένας εισβολέας με φυσική πρόσβαση σε ένα κλειδωμένο τηλέφωνο μπορούσε να αποκτήσει πρόσβαση στο πρώτο μήνυμα email

Περιγραφή: Υπήρχε ένα ζήτημα σχεδιασμού με τους περιορισμούς οθόνης κλειδώματος του Siri. Αν η Siri ήταν ενεργοποιημένη για χρήση στην οθόνη κλειδώματος και η εφαρμογή Mail ήταν ανοικτή με ένα μήνυμα επιλεγμένο πίσω από την οθόνη κλειδώματος, ήταν δυνατή η αποστολή αυτού του μηνύματος σε έναν οποιοδήποτε παραλήπτη με μια φωνητική εντολή. Αυτό το θέμα αντιμετωπίζεται με την απενεργοποίηση της προώθησης ενεργών μηνυμάτων από την οθόνη κλειδώματος.

Αναγνωριστικό CVE

CVE-2012-0645

 

- 

- 

VPN

Διαθέσιμο για: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3ης γενιάς) και νεότερα μοντέλα, iPad, iPad 2

Επίδραση: Ένα αρχείο διαμόρφωσης συστήματος που έχει σχεδιαστεί για κακόβουλη παρέμβαση, ενδέχεται να επιτρέψει την αυθαίρετη εκτέλεση κώδικα με δικαιώματα συστήματος

Περιγραφή: Υπήρχε μια ευπάθεια συμβολοσειράς μορφής κατά τη διαχείριση κακόβουλων αρχείων διαμόρφωσης.

Αναγνωριστικό CVE

CVE-2012-0646 : pod2g

 

- 

- 

WebKit

Διαθέσιμο για: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3ης γενιάς) και νεότερα μοντέλα, iPad, iPad 2

Επίδραση: Η επίσκεψη σε έναν ιστότοπο με κακόβουλο σχεδιασμό ενδέχεται να επιτρέψει την αποκάλυψη των cookie

Περιγραφή: Υπήρχε ένα θέμα πολλαπλής προέλευσης στο WebKit, το οποίο ενδέχεται να επιτρέψει την αποκάλυψη των cookie σε κάποια άλλη προέλευση.

Αναγνωριστικό CVE

CVE-2011-3887 : Sergey Glazunov

 

- 

- 

WebKit

Διαθέσιμο για: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3ης γενιάς) και νεότερα μοντέλα, iPad, iPad 2

Επίδραση: Η επίσκεψη σε έναν ιστότοπο με κακόβουλο σχεδιασμό και η μεταφορά περιεχομένου σύροντας με το ποντίκι ενδέχεται να επιτρέψει μια επίθεση με δέσμες ενεργειών από πολλαπλούς ιστότοπους

Περιγραφή: Υπήρχε ένα θέμα πολλαπλής προέλευσης στο WebKit, το οποίο ενδέχεται να επιτρέψει την μεταφορά και την απόθεση περιεχομένου με ποντίκι σε διάφορες προελεύσεις.

Αναγνωριστικό CVE

CVE-2012-0590 : Adam Barth από την Ομάδα ασφαλείας του Google Chrome

 

- 

- 

WebKit

Διαθέσιμο για: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3ης γενιάς) και νεότερα μοντέλα, iPad, iPad 2

Αποτέλεσμα: Η επίσκεψη σε κακόβουλους ιστότοπους μπορεί να επιτρέψει μια διατοποθεσιακή επίθεση μέσω σεναρίου

Περιγραφή: Στο WebKit υπήρχαν πολλά ζητήματα πολλαπλής προέλευσης.

Αναγνωριστικό CVE

CVE-2011-3881 : Sergey Glazunov

CVE-2012-0586 : Sergey Glazunov

CVE-2012-0587 : Sergey Glazunov

CVE-2012-0588 : Jochen Eisinger από την Ομάδα του Google Chrome

CVE-2012-0589 : Alan Austin από το polyvore.com

 

- 

- 

WebKit

Διαθέσιμο για: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3ης γενιάς) και νεότερα μοντέλα, iPad, iPad 2

Αποτέλεσμα: Η επίσκεψη σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Στο WebKit υπήρχαν ζητήματα αλλοίωσης της μνήμης.

Αναγνωριστικό CVE

CVE-2011-2825 : wushi από την team509 σε συνεργασία με το πρόγραμμα Zero Day Inintiative της TippingPoint

CVE-2011-2833 : Apple

CVE-2011-2846 : Arthur Gerkis, miaubiz

CVE-2011-2847 : miaubiz, Abhishek Arya (Inferno) από την Ομάδα ασφαλείας του Google Chrome με χρήση του AddressSanitizer

CVE-2011-2854 : Abhishek Arya (Inferno) από την Ομάδα ασφαλείας του Google Chrome με χρήση του AddressSanitizer

CVE-2011-2855 : Arthur Gerkis, wushi της team509 σε συνεργασία με το πρόγραμμα αναφοράς ευπαθειών του iDefense

CVE-2011-2857 : miaubiz

CVE-2011-2860 : Abhishek Arya (Inferno) από την Ομάδα ασφαλείας του Google Chrome με χρήση του AddressSanitizer

CVE-2011-2867 : Dirk Schulze

CVE-2011-2868 : Abhishek Arya (Inferno) από την Ομάδα ασφαλείας του Google Chrome με χρήση του AddressSanitizer

CVE-2011-2869 : Cris Neckar από την ομάδα ασφαλείας του Google Chrome με χρήση του AddressSanitizer

CVE-2011-2870 : Abhishek Arya (Inferno) από την Ομάδα ασφαλείας του Google Chrome με χρήση του AddressSanitizer

CVE-2011-2871 : Abhishek Arya (Inferno) από την Ομάδα ασφαλείας του Google Chrome με χρήση του AddressSanitizer

CVE-2011-2872 : Abhishek Arya (Inferno) και Cris Neckar από την Ομάδα ασφαλείας του Google Chrome με χρήση του AddressSanitizer

CVE-2011-2873 : Abhishek Arya (Inferno) από την Ομάδα ασφαλείας του Google Chrome με χρήση του AddressSanitizer

CVE-2011-2877 : miaubiz

CVE-2011-3885 : miaubiz

CVE-2011-3888 : miaubiz

CVE-2011-3897 : pa_kt σε συνεργασία με το πρόγραμμα Zero Day Initiative της TippingPoint

CVE-2011-3908 : Aki Helin από το OUSPG

CVE-2011-3909 : Ομάδα ασφαλείας του Google Chrome (scarybeasts) και Chu

CVE-2011-3928 : wushi από την team509 σε συνεργασία με το πρόγραμμα Zero Day Inintiative της TippingPoint

CVE-2012-0591 : miaubiz και Martin Barbella

CVE-2012-0592 : Alexander Gavrun σε συνεργασία με το πρόγραμμα Zero Day Initiative της TippingPoint

CVE-2012-0593 : Lei Zhang από την κοινότητα ανάπτυξης του Chromium

CVE-2012-0594 : Adam Klein από την κοινότητα ανάπτυξης του Chromium

CVE-2012-0595 : Apple

CVE-2012-0596 : Abhishek Arya (Inferno) από την Ομάδα ασφαλείας του Google Chrome με χρήση του AddressSanitizer

CVE-2012-0597 : miaubiz

CVE-2012-0598 : Sergey Glazunov

CVE-2012-0599 : Dmytro Gorbunov από το SaveSources.com

CVE-2012-0600 : Marshall Greenblatt, Dharani Govindan από το Google Chrome, miaubiz, Aki Helin από το OUSPG, Apple

CVE-2012-0601 : Apple

CVE-2012-0602 : Apple

CVE-2012-0603 : Apple

CVE-2012-0604 : Apple

CVE-2012-0605 : Apple

CVE-2012-0606 : Apple

CVE-2012-0607 : Apple

CVE-2012-0608 : Abhishek Arya (Inferno) από την Ομάδα ασφαλείας του Google Chrome με χρήση του AddressSanitizer

CVE-2012-0609 : Abhishek Arya (Inferno) από την Ομάδα ασφαλείας του Google Chrome με χρήση του AddressSanitizer

CVE-2012-0610 : miaubiz, Martin Barbella με χρήση του AddressSanitizer

CVE-2012-0611 : Martin Barbella με χρήση του AddressSanitizer

CVE-2012-0612 : Abhishek Arya (Inferno) από την Ομάδα ασφαλείας του Google Chrome με χρήση του AddressSanitizer

CVE-2012-0613 : Abhishek Arya (Inferno) από την Ομάδα ασφαλείας του Google Chrome με χρήση του AddressSanitizer

CVE-2012-0614 : miaubiz, Martin Barbella με χρήση του AddressSanitizer

CVE-2012-0615 : Martin Barbella με χρήση του AddressSanitizer

CVE-2012-0616 : miaubiz

CVE-2012-0617 : Martin Barbella με χρήση του AddressSanitizer

CVE-2012-0618 : Abhishek Arya (Inferno) από την Ομάδα ασφαλείας του Google Chrome με χρήση του AddressSanitizer

CVE-2012-0619 : Abhishek Arya (Inferno) από την Ομάδα ασφαλείας του Google Chrome με χρήση του AddressSanitizer

CVE-2012-0620 : Abhishek Arya (Inferno) από την Ομάδα ασφαλείας του Google Chrome με χρήση του AddressSanitizer

CVE-2012-0621 : Martin Barbella με χρήση του AddressSanitizer

CVE-2012-0622 : Dave Levin και Abhishek Arya από την Ομάδα ασφαλείας του Google Chrome

CVE-2012-0623 : Abhishek Arya (Inferno) από την Ομάδα ασφαλείας του Google Chrome με χρήση του AddressSanitizer

CVE-2012-0624 : Martin Barbella με χρήση του AddressSanitizer

CVE-2012-0625 : Martin Barbella

CVE-2012-0626 : Abhishek Arya (Inferno) από την Ομάδα ασφαλείας του Google Chrome με χρήση του AddressSanitizer

CVE-2012-0627 : Apple

CVE-2012-0628 : Slawomir Blazek, miaubiz, Abhishek Arya (Inferno) από την Ομάδα ασφαλείας του Google Chrome με χρήση του AddressSanitizer

CVE-2012-0629 : Abhishek Arya (Inferno) της Ομάδας ασφαλείας του Google Chrome

CVE-2012-0630 : Sergio Villar Senin από την Igalia

CVE-2012-0631 : Abhishek Arya (Inferno) της Ομάδας ασφαλείας του Google Chrome

CVE-2012-0632 : Cris Neckar από την ομάδα ασφαλείας του Google Chrome με χρήση του AddressSanitizer

CVE-2012-0633 : Apple

CVE-2012-0635 : Julien Chaffraix από την κοινότητα ανάπτυξης του Chromium, Martin Barbella με χρήση του AddressSanitizer