Teave iOS 4.3 turbesisu kohta
Selles dokumendis kirjeldatakse operatsioonisüsteemi iOS 4.3 turbesisu.
Selles dokumendis kirjeldatakse operatsioonisüsteemi iOS 4.3 turbesisu, mille saab alla laadida ja installida iTunesi abil.
Oma klientide kaitsmiseks Apple ei avalda, võta arutlusele ega kinnita turbeprobleeme enne, kui on tehtud põhjalik kontroll ja saadaval on kõik võimalikud paigad või väljalasked. Lisateavet Apple'i tooteturvalisuse kohta vt veebisaidilt Apple'i tooteturvalisus.
Lisateavet Apple'i tooteturvalisuse PGP-koodi kohta vt jaotisest „Apple'i tooteturvalisuse PGP-koodi kasutamine”.
Kui võimalik, kasutatakse haavatavustele viitamiseks lisateabena CVE ID-sid.
Teavet muude turbevärskenduste kohta vt jaotisest „Apple'i turbevärskendused”.
iOS 4.3
CoreGraphics
Saadaval järgmistele operatsioonisüsteemidele: iOS 3.0 kuni 4.2.1 telefonile iPhone 3GS ja uuemale, iOS 3.1 kuni 4.2.1 iPod touchile (3. põlvkond) ja uuemale, iOS 3.2 kuni 4.2.1 iPadile.
Toime: mitu turbeauku·FreeType'is.
Kirjeldus: FreeType'is ilmnes mitu turbeauku, millest kõige tõsisem võib pahatahtliku sisuga fondi töötlemisel viia juhusliku koodikäivituseni. Need probleemid saab lahendada FreeType'i värskendamisega versioonile 2.4.3. Lisateavet leiate FreeType'i veebisaidilt http://www.freetype.org/.
CVE-ID
CVE-2010-3855
ImageIO
Saadaval järgmistele operatsioonisüsteemidele: iOS 3.0 kuni 4.2.1 telefonile iPhone 3GS ja uuemale, iOS 3.1 kuni 4.2.1 iPod touchile (3. põlvkond) ja uuemale, iOS 3.2 kuni 4.2.1 iPadile.
Toime: pahatahtliku sisuga TIFF-pildi kuvamine võib põhjustada rakenduse ootamatu sulgumise või juhusliku koodikäivituse.
Kirjeldus: libTIFF-is JPEG-kodeeringuga TIFF-piltide ohjamisel·esines puhvri ülevool. Pahatahtliku sisuga TIFF-pildi kuvamine võib põhjustada rakenduse ootamatu sulgumise või juhusliku koodikäivituse.
CVE-ID
CVE-2011-0191: Apple
ImageIO
Saadaval järgmistele operatsioonisüsteemidele: iOS 3.0 kuni 4.2.1 telefonile iPhone 3GS ja uuemale, iOS 3.1 kuni 4.2.1 iPod touchile (3. põlvkond) ja uuemale, iOS 3.2 kuni 4.2.1 iPadile.
Toime: pahatahtliku sisuga TIFF-pildi kuvamine võib põhjustada rakenduse ootamatu sulgumise või juhusliku koodikäivituse.
Kirjeldus: libTIFF-is CCITT Group 4 kodeeringuga TIFF-piltide ohjamisel·esines puhvri ülevool. Pahatahtliku sisuga TIFF-pildi kuvamine võib põhjustada rakenduse ootamatu sulgumise või juhusliku koodikäivituse.
CVE-ID
CVE-2011-0192: Apple
libxml
Saadaval järgmistele operatsioonisüsteemidele: iOS 3.0 kuni 4.2.1 telefonile iPhone 3GS ja uuemale, iOS 3.1 kuni 4.2.1 iPod touchile (3. põlvkond) ja uuemale, iOS 3.2 kuni 4.2.1 iPadile.
Toime: pahatahtliku sisuga veebisaidi külastamine võib viia rakenduse töö ootamatu katkemiseni või juhusliku koodikäivituseni.
Kirjeldus: libxml-is XPathi avaldiste ohjamisel·esines topeltvabastuse (nn double-free) probleem. Pahatahtliku sisuga veebisaidi külastamine võib viia rakenduse töö ootamatu katkemiseni või juhusliku koodikäivituseni.
CVE-ID
CVE-2010-4494: Yang Dingning ettevõttest NCNIPC, Hiina Teaduste Akadeemia kõrgkoolist (Graduate University of Chinese Academy of Sciences)
Võrgundus
Saadaval järgmistele operatsioonisüsteemidele: iOS 3.0 kuni 4.2.1 telefonile iPhone 3GS ja uuemale, iOS 3.1 kuni 4.2.1 iPod touchile (3. põlvkond) ja uuemale, iOS 3.2 kuni 4.2.1 iPadile.
Toime: server võib olla võimeline tuvastada ühenduste kaudu seadmeid.
Kirjeldus: seadme valitud IPv6 aadress sisaldab seadme MAC-aadressi, kui kasutatakse olekuvaba aadressi automaatseadistust (SLAAC). IPv6 toega server, millega seade ühendust võttis, võib aadressi abil seadet ühenduste kaudu jälgida. See värskendus juurutab IPv6 laienduse, mida kirjeldatakse RFC 3041-s, lisades väljaminevate ühenduste puhul·kasutatava ajutise juhusliku aadressi.
Safari
Saadaval järgmistele operatsioonisüsteemidele: iOS 3.0 kuni 4.2.1 telefonile iPhone 3GS ja uuemale, iOS 3.1 kuni 4.2.1 iPod touchile (3. põlvkond) ja uuemale, iOS 3.2 kuni 4.2.1 iPadile.
Toime: pahatahtliku sisuga veebisaidi kuvamine võib põhjustada MobileSafari sulgumise käivitumisel.
Kirjeldus: pahatahtliku sisuga veebisait võib sisaldada javascripti, mis põhjustab mõne muu seadmes oleva rakenduse korduva käivitumise oma URL-i ohjuri kaudu. Selle veebisaidi külastamine MobileSafariga põhjustab MobileSafari sulgumise ja sihtrakenduse käivitumise. See käitusjada jätkub iga kord, kui MobileSafari avatakse. Probleemi saab lahendada eelmisele lehele naasmisega, kui pärast teise rakenduse käivitumist URL-i ohjuri kaudu Safari uuesti avatakse.
CVE-ID
CVE-2011-0158: Nitesh Dhanjani ettevõttest Ernst & Young LLP
Safari
Saadaval järgmistele operatsioonisüsteemidele: iOS 4.0 kuni 4.2.1 telefonile iPhone 3GS ja uuemale, iOS 4.0 kuni 4.2.1 iPod touchile (3. põlvkond) ja uuemale, iOS 4.2 kuni 4.2.1 iPadile.
Toime: küpsiste kustutamine Safari seadetes ei pruugi toimida.
Kirjeldus: mõnel juhul ei toimi küpsiste kustutamine Safari seadetest, kui Safari töötab. Probleemi saab lahendada küpsiste põhjalikuma ohjamise kaudu. See probleem ei mõjuta iOS 4.0-st varasemaid süsteeme.
CVE-ID
CVE-2011-0159: Erik Wong ettevõttest Google Inc.
WebKit
Saadaval järgmistele operatsioonisüsteemidele: iOS 3.0 kuni 4.2.1 telefonile iPhone 3GS ja uuemale, iOS 3.1 kuni 4.2.1 iPod touchile (3. põlvkond) ja uuemale, iOS 3.2 kuni 4.2.1 iPadile.
Toime: pahatahtliku sisuga veebisaidi külastamine võib viia rakenduse töö ootamatu katkemiseni või juhusliku koodikäivituseni.
Kirjeldus: WebKitis esineb mitu mälurikkumisprobleemi. Pahatahtliku sisuga veebisaidi külastamine võib viia rakenduse töö ootamatu katkemiseni või juhusliku koodikäivituseni.
CVE-ID
CVE-2010-1792
CVE-2010-1824: kuzzcc ja wushi TippingPointi algatusega Zero Day Initiative koostööd tegevast team509-st
CVE-2011-0111: Sergey Glazunov
CVE-2011-0112: Yuzo Fujishima ettevõttest·Google, Inc.
CVE-2011-0113: Andreas Kling Nokiast
CVE-2011-0114: Chris Evans Google Chrome'i turbemeeskonnast
CVE-2011-0115: TippingPointi algatusega Zero Day Initiative koostööd tegev J23 ja Emil A. Eklund ettevõttest·Google, Inc.
CVE-2011-0116: TippingPointi algatusega Zero Day Initiative koostööd tegev anonüümne teadlane
CVE-2011-0117: Abhishek Arya (Inferno) ettevõttest·Google, Inc.
CVE-2011-0118: Abhishek Arya (Inferno) ettevõttest·Google, Inc.
CVE-2011-0119: Abhishek Arya (Inferno) ettevõttest·Google, Inc.
CVE-2011-0120: Abhishek Arya (Inferno) ettevõttest·Google, Inc.
CVE-2011-0121: Abhishek Arya (Inferno) ettevõttest·Google, Inc.
CVE-2011-0122: Slawomir Blazek
CVE-2011-0123: Abhishek Arya (Inferno) ettevõttest·Google, Inc.
CVE-2011-0124: Yuzo Fujishima ettevõttest·Google, Inc.
CVE-2011-0125: Abhishek Arya (Inferno) ettevõttest·Google, Inc.
CVE-2011-0126: Mihai Parparita ettevõttest·Google, Inc.
CVE-2011-0127: Abhishek Arya (Inferno) ettevõttest·Google, Inc.
CVE-2011-0128: David Bloom
CVE-2011-0129: Famlam
CVE-2011-0130: Apple
CVE-2011-0131: wushi team509-st
CVE-2011-0132: wushi TippingPointi algatusega Zero Day Initiative koostööd tegevast team509-st
CVE-2011-0133: wushi TippingPointi algatusega Zero Day Initiative koostööd tegevast team509-st
CVE-2011-0134: Jan Tosovsky
CVE-2011-0135: anonüümne raporteerija
CVE-2011-0136: Sergey Glazunov
CVE-2011-0137: Sergey Glazunov
CVE-2011-0138: kuzzcc
CVE-2011-0140: Sergei Glazunov
CVE-2011-0141: Chris Rohlf ettevõttest·Matasano Security
CVE-2011-0142: Abhishek Arya (Inferno) ettevõttest·Google, Inc.
CVE-2011-0143: Slawomir Blazek ja·Sergei Glazunov
CVE-2011-0144: Emil A. Eklund ettevõttest·Google, Inc.
CVE-2011-0145: Abhishek Arya (Inferno) ettevõttest·Google, Inc.
CVE-2011-0146: Abhishek Arya (Inferno) ettevõttest·Google, Inc.
CVE-2011-0147: Dirk Schulze
CVE-2011-0148: Michal Zalewski ettevõttest·Google, Inc.
CVE-2011-0149: wushi TippingPointi algatusega Zero Day Initiative koostööd tegevast team509-st ja SkyLined Google Chrome'i turbemeeskonnast
CVE-2011-0150: Michael Gundlach safariadblock.com-ist
CVE-2011-0151: Abhishek Arya (Inferno) ettevõttest·Google, Inc.
CVE-2011-0152: Skyline Google Chrome'i turbemeeskonnast
CVE-2011-0153: Abhishek Arya (Inferno) ettevõttest·Google, Inc.
CVE-2011-0154: TippingPointi algatusega Zero Day Initiative koostööd tegev anonüümne teadlane
CVE-2011-0155: Aki Helin OUSPG-st
CVE-2011-0156: Abhishek Arya (Inferno) ettevõttest·Google, Inc.
CVE-2011-0157: Benoit Jacob Mozillast
CVE-2011-0168: Sergey Glazunov
WebKit
Saadaval järgmistele operatsioonisüsteemidele: iOS 3.0 kuni 4.2.1 telefonile iPhone 3GS ja uuemale, iOS 3.1 kuni 4.2.1 iPod touchile (3. põlvkond) ja uuemale, iOS 3.2 kuni 4.2.1 iPadile.
Toime: HTTP baasautentimise mandaadid võidakse tahtmatult teisele saidile avaldada.
Kirjeldus: kui sait kasutab HTTP baasautentimist ja suunab edasi teisele saidile, võidakse autentimismandaadid sellele saidile saata. Probleemi saab lahendada mandaatide·põhjalikuma ohjamise kaudu.
CVE-ID
CVE-2011-0160: McIntosh Cooey ettevõttest·Twelve Hundred Group, Harald Hanche-Olsen, Chuck Hohn ettevõttest·1111 Internet LLC, kes teeb koostööd CERT-iga, ja Paul Hinze Braintreest
WebKit
Saadaval järgmistele operatsioonisüsteemidele: iOS 3.0 kuni 4.2.1 telefonile iPhone 3GS ja uuemale, iOS 3.1 kuni 4.2.1 iPod touchile (3. põlvkond) ja uuemale, iOS 3.2 kuni 4.2.1 iPadile.
Toime: pahatahtliku sisuga veebisaidi külastamine võib viia saitidevaheliste stiilideklaratsioonideni.
Kirjeldus: WebKitis juurdepääsumeetodi Attr.style ohjamisel esines mitme päritoluga probleem. Pahatahtliku sisuga veebisaidi külastamisel võib sait sisestada CSS-i muudesse·dokumentidesse. Probleemi saab lahendada·juurdepääsumeetodi Attr.style eemaldamisega.
CVE-ID
CVE-2011-0161: Apple
WebKit
Saadaval järgmistele operatsioonisüsteemidele: iOS 3.0 kuni 4.2.1 telefonile iPhone 3GS ja uuemale, iOS 3.1 kuni 4.2.1 iPod touchile (3. põlvkond) ja uuemale, iOS 3.2 kuni 4.2.1 iPadile.
Toime: pahatahtliku sisuga veebisait võib takistada teistel saitidel teatud ressursside taotlemist.
Kirjeldus: WebKitis vahemäluressursside ohjamisel esines vahemälu mürgitamise probleem. Pahatahtliku sisuga veebisait võib takistada teistel saitidel teatud ressursside taotlemist. Probleemi saab lahendada põhjalikuma tüübikontrolliga.
CVE-ID
CVE-2011-0163: Apple
WiFi
Saadaval järgmistele operatsioonisüsteemidele: iOS 3.0 kuni 4.2.1 telefonile iPhone 3GS ja uuemale, iOS 3.1 kuni 4.2.1 iPod touchile (3. põlvkond) ja uuemale, iOS 3.2 kuni 4.2.1 iPadile.
Toime: WiFi-ühenduse korral võib samas võrgus olev ründaja olla võimeline põhjustama seadme lähtestumise.
Kirjeldus: WiFi-raamide ohjamisel esines piiride kontrollimise probleem. WiFi-ühenduse korral võib samas võrgus olev ründaja olla võimeline põhjustama seadme lähtestumise.
CVE-ID
CVE-2011-0162: Scott Boyd ettevõttest·ePlus Technology, Inc.
Teavet toodete kohta, mida Apple pole tootnud, või sõltumatuid veebisaite, mida Apple ei kontrolli või pole testinud, pakutakse ilma soovituse või heakskiiduta. Apple ei võta kolmanda osapoole veebisaitide või toodete valiku, toimivuse või kasutamise eest mingit vastutust. Apple ei anna kolmanda osapoole veebisaidi täpsuse või usaldusväärsuse kohta mingeid tagatisi. Lisateabe saamiseks võtke ühendust pakkujaga.