Πληροφορίες για το περιεχόμενο ασφαλείας της ενημέρωσης λογισμικού iOS 5.1

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας της ενημέρωσης λογισμικού iOS 5.1.

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας της ενημέρωσης λογισμικού iOS 5.1 που μπορείτε να κατεβάσετε και να εγκαταστήσετε μέσω iTunes.

Για την προστασία των πελατών μας, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει θέματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple.

Για πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, διαβάστε το άρθρο "Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple".

Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE, για την αναφορά σε συγκεκριμένες ευπάθειες για περαιτέρω πληροφόρηση.

Για να ενημερωθείτε σχετικά με άλλες ενημερώσεις ασφάλειας, διαβάστε το άρθρο "Ενημερώσεις ασφάλειας Apple".

Ενημέρωση Λογισμικού iOS 5.1

  • CFNetwork

    Διαθέσιμο για: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3ης γενιάς) και νεότερα μοντέλα, iPad, iPad 2

    Επίδραση: Η επίσκεψη σε έναν ιστότοπο με κακόβουλο σχεδιασμό ενδέχεται να επιτρέψει την αποκάλυψη ευαίσθητων πληροφοριών

    Περιγραφή: Υπήρχε ένα θέμα με τη διαχείριση των διευθύνσεων URL που δεν είχαν σωστή μορφή από το CFNetwork. Κατά την πρόσβαση σε μια διεύθυνση URL που είχε σχεδιαστεί με κακόβουλο σκοπό, το CFNetwork μπορούσε να στείλει μη αναμενόμενες κεφαλίδες αιτημάτων.

    Αναγνωριστικό CVE

    CVE-2012-0641 : Erling Ellingsen από το Facebook

  • HFS

    Διαθέσιμο για: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3ης γενιάς) και νεότερα μοντέλα, iPad, iPad 2

    Επίδραση: Το μοντάρισμα ενός ειδώλου δίσκου με κακόβουλο σχεδιασμό μπορούσε να προκαλέσει τον τερματισμό λειτουργίας της συσκευής ή την αυθαίρετη εκτέλεση κώδικα

    Περιγραφή: Υπήρχε ένα σφάλμα υποχείλισης ακεραίου με τη διαχείριση των αρχείων καταλόγου του HFS.

    Αναγνωριστικό CVE

    CVE-2012-0642 : pod2g

  • Πυρήνας

    Διαθέσιμο για: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3ης γενιάς) και νεότερα μοντέλα, iPad, iPad 2

    Επίδραση: Ένα κακόβουλο πρόγραμμα θα μπορούσε να παρακάμψει τους περιορισμούς του sandbox

    Περιγραφή: Υπήρχε ένα σφάλμα λογικής στη διαχείριση κλήσεων συστήματος εντοπισμού σφαλμάτων. Αυτό ενδέχεται να επιτρέψει σε ένα κακόβουλο πρόγραμμα να αποκτήσει δικαιώματα εκτέλεσης κώδικα σε άλλα προγράμματα με τα ίδια δικαιώματα χρηστών.

    Αναγνωριστικό CVE

    CVE-2012-0643 : 2012 iOS Jailbreak Dream Team

  • libresolv

    Διαθέσιμο για: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3ης γενιάς) και νεότερα μοντέλα, iPad, iPad 2

    Επίδραση: Οι εφαρμογές που χρησιμοποιούν τη βιβλιοθήκη libresolv ενδέχεται να είναι εκτεθειμένες σε απρόσμενη διακοπή λειτουργίας ή σε αυθαίρετη εκτέλεση κώδικα

    Περιγραφή: Υπήρχε μια υποχείλιση ακεραίου στη διαχείριση των εγγραφών πόρων DNS, η οποία μπορεί να προκαλέσει αλλοίωση της μνήμης σωρού.

    Αναγνωριστικό CVE

    CVE-2011-3453 : Ilja van Sprundel από IOActive

  • Κλείδωμα συνθηματικού

    Διαθέσιμο για: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3ης γενιάς) και νεότερα μοντέλα, iPad, iPad 2

    Αποτέλεσμα: Άτομο με φυσική πρόσβαση στη συσκευή μπορεί να παρακάμψει το κλείδωμα οθόνης

    Περιγραφή: Υπήρχε ένα θέμα συναγωνισμού στη διαχείριση των κινήσεων ολίσθησης για κλήση. Αυτό μπορεί να επιτρέψει ένα άτομο με φυσική πρόσβαση στη συσκευή να παρακάμψει την οθόνη κλειδώματος συνθηματικού.

    Αναγνωριστικό CVE

    CVE-2012-0644 : Roland Kohler από το Γερμανικό Υπουργείο Οικονομικών και Τεχνολογίας

  • Safari

    Διαθέσιμο για: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3ης γενιάς) και νεότερα μοντέλα, iPad, iPad 2

    Επίδραση: Οι επισκέψεις σε ιστοσελίδες ενδέχεται να καταγράφονται στο ιστορικό του προγράμματος περιήγησης, ακόμη και αν είναι ενεργή η Ιδιωτική περιήγηση

    Περιγραφή: Η Ιδιωτική περιήγηση του Safari είναι σχεδιασμένη ώστε να μην επιτρέπει την καταγραφή μιας περιόδου λειτουργίας περιήγησης. Οι σελίδες που επισκέπτεται ο χρήστης ως αποτέλεσμα της χρήσης των μεθόδων JavaScript pushState ή replaceState από τον ιστότοπο, καταγράφονταν στο ιστορικό του προγράμματος περιήγησης, ακόμη και αν ήταν ενεργοποιημένη η λειτουργία Ιδιωτικής περιήγησης. Αυτό το θέμα επιλύεται με την μη καταγραφή αυτών των επισκέψεων όταν η Ιδιωτική περιήγηση είναι ενεργή.

    Αναγνωριστικό CVE

    CVE-2012-0585 : Eric Melville από American Express

  • Siri

    Διαθέσιμο για: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3ης γενιάς) και νεότερα μοντέλα, iPad, iPad 2

    Επίδραση: Ένας εισβολέας με φυσική πρόσβαση σε ένα κλειδωμένο τηλέφωνο μπορούσε να αποκτήσει πρόσβαση στο πρώτο μήνυμα email

    Περιγραφή: Υπήρχε ένα ζήτημα σχεδιασμού με τους περιορισμούς οθόνης κλειδώματος του Siri. Αν η Siri ήταν ενεργοποιημένη για χρήση στην οθόνη κλειδώματος και η εφαρμογή Mail ήταν ανοικτή με ένα μήνυμα επιλεγμένο πίσω από την οθόνη κλειδώματος, ήταν δυνατή η αποστολή αυτού του μηνύματος σε έναν οποιοδήποτε παραλήπτη με μια φωνητική εντολή. Αυτό το θέμα αντιμετωπίζεται με την απενεργοποίηση της προώθησης ενεργών μηνυμάτων από την οθόνη κλειδώματος.

    Αναγνωριστικό CVE

    CVE-2012-0645

  • VPN

    Διαθέσιμο για: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3ης γενιάς) και νεότερα μοντέλα, iPad, iPad 2

    Επίδραση: Ένα αρχείο διαμόρφωσης συστήματος που έχει σχεδιαστεί για κακόβουλη παρέμβαση, ενδέχεται να επιτρέψει την αυθαίρετη εκτέλεση κώδικα με δικαιώματα συστήματος

    Περιγραφή: Υπήρχε μια ευπάθεια συμβολοσειράς μορφής κατά τη διαχείριση κακόβουλων αρχείων διαμόρφωσης.

    Αναγνωριστικό CVE

    CVE-2012-0646 : pod2g

  • WebKit

    Διαθέσιμο για: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3ης γενιάς) και νεότερα μοντέλα, iPad, iPad 2

    Επίδραση: Η επίσκεψη σε έναν ιστότοπο με κακόβουλο σχεδιασμό ενδέχεται να επιτρέψει την αποκάλυψη των cookie

    Περιγραφή: Υπήρχε ένα θέμα πολλαπλής προέλευσης στο WebKit, το οποίο ενδέχεται να επιτρέψει την αποκάλυψη των cookie σε κάποια άλλη προέλευση.

    Αναγνωριστικό CVE

    CVE-2011-3887 : Sergey Glazunov

  • WebKit

    Διαθέσιμο για: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3ης γενιάς) και νεότερα μοντέλα, iPad, iPad 2

    Επίδραση: Η επίσκεψη σε έναν ιστότοπο με κακόβουλο σχεδιασμό και η μεταφορά περιεχομένου σύροντας με το ποντίκι ενδέχεται να επιτρέψει μια επίθεση με δέσμες ενεργειών από πολλαπλούς ιστότοπους

    Περιγραφή: Υπήρχε ένα θέμα πολλαπλής προέλευσης στο WebKit, το οποίο ενδέχεται να επιτρέψει την μεταφορά και την απόθεση περιεχομένου με ποντίκι σε διάφορες προελεύσεις.

    Αναγνωριστικό CVE

    CVE-2012-0590 : Adam Barth από την Ομάδα ασφαλείας του Google Chrome

  • WebKit

    Διαθέσιμο για: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3ης γενιάς) και νεότερα μοντέλα, iPad, iPad 2

    Αποτέλεσμα: Η επίσκεψη σε κακόβουλους ιστότοπους μπορεί να επιτρέψει μια διατοποθεσιακή επίθεση μέσω σεναρίου

    Περιγραφή: Στο WebKit υπήρχαν πολλά ζητήματα πολλαπλής προέλευσης.

    Αναγνωριστικό CVE

    CVE-2011-3881 : Sergey Glazunov

    CVE-2012-0586 : Sergey Glazunov

    CVE-2012-0587 : Sergey Glazunov

    CVE-2012-0588 : Jochen Eisinger από την Ομάδα του Google Chrome

    CVE-2012-0589 : Alan Austin από το polyvore.com

  • WebKit

    Διαθέσιμο για: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3ης γενιάς) και νεότερα μοντέλα, iPad, iPad 2

    Αποτέλεσμα: Η επίσκεψη σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα

    Περιγραφή: Στο WebKit υπήρχαν ζητήματα αλλοίωσης της μνήμης.

    Αναγνωριστικό CVE

    CVE-2011-2825 : wushi από την team509 σε συνεργασία με το πρόγραμμα Zero Day Inintiative της TippingPoint

    CVE-2011-2833 : Apple

    CVE-2011-2846 : Arthur Gerkis, miaubiz

    CVE-2011-2847 : miaubiz, Abhishek Arya (Inferno) από την Ομάδα ασφαλείας του Google Chrome με χρήση του AddressSanitizer

    CVE-2011-2854 : Abhishek Arya (Inferno) από την Ομάδα ασφαλείας του Google Chrome με χρήση του AddressSanitizer

    CVE-2011-2855 : Arthur Gerkis, wushi της team509 σε συνεργασία με το πρόγραμμα αναφοράς ευπαθειών του iDefense

    CVE-2011-2857 : miaubiz

    CVE-2011-2860 : Abhishek Arya (Inferno) από την Ομάδα ασφαλείας του Google Chrome με χρήση του AddressSanitizer

    CVE-2011-2867 : Dirk Schulze

    CVE-2011-2868 : Abhishek Arya (Inferno) από την Ομάδα ασφαλείας του Google Chrome με χρήση του AddressSanitizer

    CVE-2011-2869 : Cris Neckar από την ομάδα ασφαλείας του Google Chrome με χρήση του AddressSanitizer

    CVE-2011-2870 : Abhishek Arya (Inferno) από την Ομάδα ασφαλείας του Google Chrome με χρήση του AddressSanitizer

    CVE-2011-2871 : Abhishek Arya (Inferno) από την Ομάδα ασφαλείας του Google Chrome με χρήση του AddressSanitizer

    CVE-2011-2872 : Abhishek Arya (Inferno) και Cris Neckar από την Ομάδα ασφαλείας του Google Chrome με χρήση του AddressSanitizer

    CVE-2011-2873 : Abhishek Arya (Inferno) από την Ομάδα ασφαλείας του Google Chrome με χρήση του AddressSanitizer

    CVE-2011-2877 : miaubiz

    CVE-2011-3885 : miaubiz

    CVE-2011-3888 : miaubiz

    CVE-2011-3897 : pa_kt σε συνεργασία με το πρόγραμμα Zero Day Initiative της TippingPoint

    CVE-2011-3908 : Aki Helin από το OUSPG

    CVE-2011-3909 : Ομάδα ασφαλείας του Google Chrome (scarybeasts) και Chu

    CVE-2011-3928 : wushi από την team509 σε συνεργασία με το πρόγραμμα Zero Day Inintiative της TippingPoint

    CVE-2012-0591 : miaubiz και Martin Barbella

    CVE-2012-0592 : Alexander Gavrun σε συνεργασία με το πρόγραμμα Zero Day Initiative της TippingPoint

    CVE-2012-0593 : Lei Zhang από την κοινότητα ανάπτυξης του Chromium

    CVE-2012-0594 : Adam Klein από την κοινότητα ανάπτυξης του Chromium

    CVE-2012-0595 : Apple

    CVE-2012-0596 : Abhishek Arya (Inferno) από την Ομάδα ασφαλείας του Google Chrome με χρήση του AddressSanitizer

    CVE-2012-0597 : miaubiz

    CVE-2012-0598 : Sergey Glazunov

    CVE-2012-0599 : Dmytro Gorbunov από το SaveSources.com

    CVE-2012-0600 : Marshall Greenblatt, Dharani Govindan από το Google Chrome, miaubiz, Aki Helin από το OUSPG, Apple

    CVE-2012-0601 : Apple

    CVE-2012-0602 : Apple

    CVE-2012-0603 : Apple

    CVE-2012-0604 : Apple

    CVE-2012-0605 : Apple

    CVE-2012-0606 : Apple

    CVE-2012-0607 : Apple

    CVE-2012-0608 : Abhishek Arya (Inferno) από την Ομάδα ασφαλείας του Google Chrome με χρήση του AddressSanitizer

    CVE-2012-0609 : Abhishek Arya (Inferno) από την Ομάδα ασφαλείας του Google Chrome με χρήση του AddressSanitizer

    CVE-2012-0610 : miaubiz, Martin Barbella με χρήση του AddressSanitizer

    CVE-2012-0611 : Martin Barbella με χρήση του AddressSanitizer

    CVE-2012-0612 : Abhishek Arya (Inferno) από την Ομάδα ασφαλείας του Google Chrome με χρήση του AddressSanitizer

    CVE-2012-0613 : Abhishek Arya (Inferno) από την Ομάδα ασφαλείας του Google Chrome με χρήση του AddressSanitizer

    CVE-2012-0614 : miaubiz, Martin Barbella με χρήση του AddressSanitizer

    CVE-2012-0615 : Martin Barbella με χρήση του AddressSanitizer

    CVE-2012-0616 : miaubiz

    CVE-2012-0617 : Martin Barbella με χρήση του AddressSanitizer

    CVE-2012-0618 : Abhishek Arya (Inferno) από την Ομάδα ασφαλείας του Google Chrome με χρήση του AddressSanitizer

    CVE-2012-0619 : Abhishek Arya (Inferno) από την Ομάδα ασφαλείας του Google Chrome με χρήση του AddressSanitizer

    CVE-2012-0620 : Abhishek Arya (Inferno) από την Ομάδα ασφαλείας του Google Chrome με χρήση του AddressSanitizer

    CVE-2012-0621 : Martin Barbella με χρήση του AddressSanitizer

    CVE-2012-0622 : Dave Levin και Abhishek Arya από την Ομάδα ασφαλείας του Google Chrome

    CVE-2012-0623 : Abhishek Arya (Inferno) από την Ομάδα ασφαλείας του Google Chrome με χρήση του AddressSanitizer

    CVE-2012-0624 : Martin Barbella με χρήση του AddressSanitizer

    CVE-2012-0625 : Martin Barbella

    CVE-2012-0626 : Abhishek Arya (Inferno) από την Ομάδα ασφαλείας του Google Chrome με χρήση του AddressSanitizer

    CVE-2012-0627 : Apple

    CVE-2012-0628 : Slawomir Blazek, miaubiz, Abhishek Arya (Inferno) από την Ομάδα ασφαλείας του Google Chrome με χρήση του AddressSanitizer

    CVE-2012-0629 : Abhishek Arya (Inferno) της Ομάδας ασφαλείας του Google Chrome

    CVE-2012-0630 : Sergio Villar Senin από την Igalia

    CVE-2012-0631 : Abhishek Arya (Inferno) της Ομάδας ασφαλείας του Google Chrome

    CVE-2012-0632 : Cris Neckar από την ομάδα ασφαλείας του Google Chrome με χρήση του AddressSanitizer

    CVE-2012-0633 : Apple

    CVE-2012-0635 : Julien Chaffraix από την κοινότητα ανάπτυξης του Chromium, Martin Barbella με χρήση του AddressSanitizer

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.

Ημερομηνία δημοσίευσης: