Teave iOS 4.3 turbesisu kohta

Selles dokumendis kirjeldatakse operatsioonisüsteemi iOS 4.3 turbesisu.

Selles dokumendis kirjeldatakse operatsioonisüsteemi iOS 4.3 turbesisu, mille saab alla laadida ja installida iTunesi abil.

Oma klientide kaitsmiseks Apple ei avalda, võta arutlusele ega kinnita turbeprobleeme enne, kui on tehtud põhjalik kontroll ja saadaval on kõik võimalikud paigad või väljalasked. Lisateavet Apple'i tooteturvalisuse kohta vt veebisaidilt Apple'i tooteturvalisus.

Lisateavet Apple'i tooteturvalisuse PGP-koodi kohta vt jaotisest „Apple'i tooteturvalisuse PGP-koodi kasutamine”.

Kui võimalik, kasutatakse haavatavustele viitamiseks lisateabena CVE ID-sid.

Teavet muude turbevärskenduste kohta vt jaotisest „Apple'i turbevärskendused”.

iOS 4.3

  • CoreGraphics

    Saadaval järgmistele operatsioonisüsteemidele: iOS 3.0 kuni 4.2.1 telefonile iPhone 3GS ja uuemale, iOS 3.1 kuni 4.2.1 iPod touchile (3. põlvkond) ja uuemale, iOS 3.2 kuni 4.2.1 iPadile.

    Toime: mitu turbeauku·FreeType'is.

    Kirjeldus: FreeType'is ilmnes mitu turbeauku, millest kõige tõsisem võib pahatahtliku sisuga fondi töötlemisel viia juhusliku koodikäivituseni. Need probleemid saab lahendada FreeType'i värskendamisega versioonile 2.4.3. Lisateavet leiate FreeType'i veebisaidilt http://www.freetype.org/.

    CVE-ID

    CVE-2010-3855

  • ImageIO

    Saadaval järgmistele operatsioonisüsteemidele: iOS 3.0 kuni 4.2.1 telefonile iPhone 3GS ja uuemale, iOS 3.1 kuni 4.2.1 iPod touchile (3. põlvkond) ja uuemale, iOS 3.2 kuni 4.2.1 iPadile.

    Toime: pahatahtliku sisuga TIFF-pildi kuvamine võib põhjustada rakenduse ootamatu sulgumise või juhusliku koodikäivituse.

    Kirjeldus: libTIFF-is JPEG-kodeeringuga TIFF-piltide ohjamisel·esines puhvri ülevool. Pahatahtliku sisuga TIFF-pildi kuvamine võib põhjustada rakenduse ootamatu sulgumise või juhusliku koodikäivituse.

    CVE-ID

    CVE-2011-0191: Apple

  • ImageIO

    Saadaval järgmistele operatsioonisüsteemidele: iOS 3.0 kuni 4.2.1 telefonile iPhone 3GS ja uuemale, iOS 3.1 kuni 4.2.1 iPod touchile (3. põlvkond) ja uuemale, iOS 3.2 kuni 4.2.1 iPadile.

    Toime: pahatahtliku sisuga TIFF-pildi kuvamine võib põhjustada rakenduse ootamatu sulgumise või juhusliku koodikäivituse.

    Kirjeldus: libTIFF-is CCITT Group 4 kodeeringuga TIFF-piltide ohjamisel·esines puhvri ülevool. Pahatahtliku sisuga TIFF-pildi kuvamine võib põhjustada rakenduse ootamatu sulgumise või juhusliku koodikäivituse.

    CVE-ID

    CVE-2011-0192: Apple

  • libxml

    Saadaval järgmistele operatsioonisüsteemidele: iOS 3.0 kuni 4.2.1 telefonile iPhone 3GS ja uuemale, iOS 3.1 kuni 4.2.1 iPod touchile (3. põlvkond) ja uuemale, iOS 3.2 kuni 4.2.1 iPadile.

    Toime: pahatahtliku sisuga veebisaidi külastamine võib viia rakenduse töö ootamatu katkemiseni või juhusliku koodikäivituseni.

    Kirjeldus: libxml-is XPathi avaldiste ohjamisel·esines topeltvabastuse (nn double-free) probleem. Pahatahtliku sisuga veebisaidi külastamine võib viia rakenduse töö ootamatu katkemiseni või juhusliku koodikäivituseni.

    CVE-ID

    CVE-2010-4494: Yang Dingning ettevõttest NCNIPC, Hiina Teaduste Akadeemia kõrgkoolist (Graduate University of Chinese Academy of Sciences)

  • Võrgundus

    Saadaval järgmistele operatsioonisüsteemidele: iOS 3.0 kuni 4.2.1 telefonile iPhone 3GS ja uuemale, iOS 3.1 kuni 4.2.1 iPod touchile (3. põlvkond) ja uuemale, iOS 3.2 kuni 4.2.1 iPadile.

    Toime: server võib olla võimeline tuvastada ühenduste kaudu seadmeid.

    Kirjeldus: seadme valitud IPv6 aadress sisaldab seadme MAC-aadressi, kui kasutatakse olekuvaba aadressi automaatseadistust (SLAAC). IPv6 toega server, millega seade ühendust võttis, võib aadressi abil seadet ühenduste kaudu jälgida. See värskendus juurutab IPv6 laienduse, mida kirjeldatakse RFC 3041-s, lisades väljaminevate ühenduste puhul·kasutatava ajutise juhusliku aadressi.

  • Safari

    Saadaval järgmistele operatsioonisüsteemidele: iOS 3.0 kuni 4.2.1 telefonile iPhone 3GS ja uuemale, iOS 3.1 kuni 4.2.1 iPod touchile (3. põlvkond) ja uuemale, iOS 3.2 kuni 4.2.1 iPadile.

    Toime: pahatahtliku sisuga veebisaidi kuvamine võib põhjustada MobileSafari sulgumise käivitumisel.

    Kirjeldus: pahatahtliku sisuga veebisait võib sisaldada javascripti, mis põhjustab mõne muu seadmes oleva rakenduse korduva käivitumise oma URL-i ohjuri kaudu. Selle veebisaidi külastamine MobileSafariga põhjustab MobileSafari sulgumise ja sihtrakenduse käivitumise. See käitusjada jätkub iga kord, kui MobileSafari avatakse. Probleemi saab lahendada eelmisele lehele naasmisega, kui pärast teise rakenduse käivitumist URL-i ohjuri kaudu Safari uuesti avatakse.

    CVE-ID

    CVE-2011-0158: Nitesh Dhanjani ettevõttest Ernst & Young LLP

  • Safari

    Saadaval järgmistele operatsioonisüsteemidele: iOS 4.0 kuni 4.2.1 telefonile iPhone 3GS ja uuemale, iOS 4.0 kuni 4.2.1 iPod touchile (3. põlvkond) ja uuemale, iOS 4.2 kuni 4.2.1 iPadile.

    Toime: küpsiste kustutamine Safari seadetes ei pruugi toimida.

    Kirjeldus: mõnel juhul ei toimi küpsiste kustutamine Safari seadetest, kui Safari töötab. Probleemi saab lahendada küpsiste põhjalikuma ohjamise kaudu. See probleem ei mõjuta iOS 4.0-st varasemaid süsteeme.

    CVE-ID

    CVE-2011-0159: Erik Wong ettevõttest Google Inc.

  • WebKit

    Saadaval järgmistele operatsioonisüsteemidele: iOS 3.0 kuni 4.2.1 telefonile iPhone 3GS ja uuemale, iOS 3.1 kuni 4.2.1 iPod touchile (3. põlvkond) ja uuemale, iOS 3.2 kuni 4.2.1 iPadile.

    Toime: pahatahtliku sisuga veebisaidi külastamine võib viia rakenduse töö ootamatu katkemiseni või juhusliku koodikäivituseni.

    Kirjeldus: WebKitis esineb mitu mälurikkumisprobleemi. Pahatahtliku sisuga veebisaidi külastamine võib viia rakenduse töö ootamatu katkemiseni või juhusliku koodikäivituseni.

    CVE-ID

    CVE-2010-1792

    CVE-2010-1824: kuzzcc ja wushi TippingPointi algatusega Zero Day Initiative koostööd tegevast team509-st

    CVE-2011-0111: Sergey Glazunov

    CVE-2011-0112: Yuzo Fujishima ettevõttest·Google, Inc.

    CVE-2011-0113: Andreas Kling Nokiast

    CVE-2011-0114: Chris Evans Google Chrome'i turbemeeskonnast

    CVE-2011-0115: TippingPointi algatusega Zero Day Initiative koostööd tegev J23 ja Emil A. Eklund ettevõttest·Google, Inc.

    CVE-2011-0116: TippingPointi algatusega Zero Day Initiative koostööd tegev anonüümne teadlane

    CVE-2011-0117: Abhishek Arya (Inferno) ettevõttest·Google, Inc.

    CVE-2011-0118: Abhishek Arya (Inferno) ettevõttest·Google, Inc.

    CVE-2011-0119: Abhishek Arya (Inferno) ettevõttest·Google, Inc.

    CVE-2011-0120: Abhishek Arya (Inferno) ettevõttest·Google, Inc.

    CVE-2011-0121: Abhishek Arya (Inferno) ettevõttest·Google, Inc.

    CVE-2011-0122: Slawomir Blazek

    CVE-2011-0123: Abhishek Arya (Inferno) ettevõttest·Google, Inc.

    CVE-2011-0124: Yuzo Fujishima ettevõttest·Google, Inc.

    CVE-2011-0125: Abhishek Arya (Inferno) ettevõttest·Google, Inc.

    CVE-2011-0126: Mihai Parparita ettevõttest·Google, Inc.

    CVE-2011-0127: Abhishek Arya (Inferno) ettevõttest·Google, Inc.

    CVE-2011-0128: David Bloom

    CVE-2011-0129: Famlam

    CVE-2011-0130: Apple

    CVE-2011-0131: wushi team509-st

    CVE-2011-0132: wushi TippingPointi algatusega Zero Day Initiative koostööd tegevast team509-st

    CVE-2011-0133: wushi TippingPointi algatusega Zero Day Initiative koostööd tegevast team509-st

    CVE-2011-0134: Jan Tosovsky

    CVE-2011-0135: anonüümne raporteerija

    CVE-2011-0136: Sergey Glazunov

    CVE-2011-0137: Sergey Glazunov

    CVE-2011-0138: kuzzcc

    CVE-2011-0140: Sergei Glazunov

    CVE-2011-0141: Chris Rohlf ettevõttest·Matasano Security

    CVE-2011-0142: Abhishek Arya (Inferno) ettevõttest·Google, Inc.

    CVE-2011-0143: Slawomir Blazek ja·Sergei Glazunov

    CVE-2011-0144: Emil A. Eklund ettevõttest·Google, Inc.

    CVE-2011-0145: Abhishek Arya (Inferno) ettevõttest·Google, Inc.

    CVE-2011-0146: Abhishek Arya (Inferno) ettevõttest·Google, Inc.

    CVE-2011-0147: Dirk Schulze

    CVE-2011-0148: Michal Zalewski ettevõttest·Google, Inc.

    CVE-2011-0149: wushi TippingPointi algatusega Zero Day Initiative koostööd tegevast team509-st ja SkyLined Google Chrome'i turbemeeskonnast

    CVE-2011-0150: Michael Gundlach safariadblock.com-ist

    CVE-2011-0151: Abhishek Arya (Inferno) ettevõttest·Google, Inc.

    CVE-2011-0152: Skyline Google Chrome'i turbemeeskonnast

    CVE-2011-0153: Abhishek Arya (Inferno) ettevõttest·Google, Inc.

    CVE-2011-0154: TippingPointi algatusega Zero Day Initiative koostööd tegev anonüümne teadlane

    CVE-2011-0155: Aki Helin OUSPG-st

    CVE-2011-0156: Abhishek Arya (Inferno) ettevõttest·Google, Inc.

    CVE-2011-0157: Benoit Jacob Mozillast

    CVE-2011-0168: Sergey Glazunov

  • WebKit

    Saadaval järgmistele operatsioonisüsteemidele: iOS 3.0 kuni 4.2.1 telefonile iPhone 3GS ja uuemale, iOS 3.1 kuni 4.2.1 iPod touchile (3. põlvkond) ja uuemale, iOS 3.2 kuni 4.2.1 iPadile.

    Toime: HTTP baasautentimise mandaadid võidakse tahtmatult teisele saidile avaldada.

    Kirjeldus: kui sait kasutab HTTP baasautentimist ja suunab edasi teisele saidile, võidakse autentimismandaadid sellele saidile saata. Probleemi saab lahendada mandaatide·põhjalikuma ohjamise kaudu.

    CVE-ID

    CVE-2011-0160: McIntosh Cooey ettevõttest·Twelve Hundred Group, Harald Hanche-Olsen, Chuck Hohn ettevõttest·1111 Internet LLC, kes teeb koostööd CERT-iga, ja Paul Hinze Braintreest

  • WebKit

    Saadaval järgmistele operatsioonisüsteemidele: iOS 3.0 kuni 4.2.1 telefonile iPhone 3GS ja uuemale, iOS 3.1 kuni 4.2.1 iPod touchile (3. põlvkond) ja uuemale, iOS 3.2 kuni 4.2.1 iPadile.

    Toime: pahatahtliku sisuga veebisaidi külastamine võib viia saitidevaheliste stiilideklaratsioonideni.

    Kirjeldus: WebKitis juurdepääsumeetodi Attr.style ohjamisel esines mitme päritoluga probleem. Pahatahtliku sisuga veebisaidi külastamisel võib sait sisestada CSS-i muudesse·dokumentidesse. Probleemi saab lahendada·juurdepääsumeetodi Attr.style eemaldamisega.

    CVE-ID

    CVE-2011-0161: Apple

  • WebKit

    Saadaval järgmistele operatsioonisüsteemidele: iOS 3.0 kuni 4.2.1 telefonile iPhone 3GS ja uuemale, iOS 3.1 kuni 4.2.1 iPod touchile (3. põlvkond) ja uuemale, iOS 3.2 kuni 4.2.1 iPadile.

    Toime: pahatahtliku sisuga veebisait võib takistada teistel saitidel teatud ressursside taotlemist.

    Kirjeldus: WebKitis vahemäluressursside ohjamisel esines vahemälu mürgitamise probleem. Pahatahtliku sisuga veebisait võib takistada teistel saitidel teatud ressursside taotlemist. Probleemi saab lahendada põhjalikuma tüübikontrolliga.

    CVE-ID

    CVE-2011-0163: Apple

  • WiFi

    Saadaval järgmistele operatsioonisüsteemidele: iOS 3.0 kuni 4.2.1 telefonile iPhone 3GS ja uuemale, iOS 3.1 kuni 4.2.1 iPod touchile (3. põlvkond) ja uuemale, iOS 3.2 kuni 4.2.1 iPadile.

    Toime: WiFi-ühenduse korral võib samas võrgus olev ründaja olla võimeline põhjustama seadme lähtestumise.

    Kirjeldus: WiFi-raamide ohjamisel esines piiride kontrollimise probleem. WiFi-ühenduse korral võib samas võrgus olev ründaja olla võimeline põhjustama seadme lähtestumise.

    CVE-ID

    CVE-2011-0162: Scott Boyd ettevõttest·ePlus Technology, Inc.

Teavet toodete kohta, mis pole Apple'i toodang, või sõltumatute veebisaitide kohta, mida Apple pole kontrollinud ega testinud, edastatakse soovitusteta ja kontrolli tegemata. Apple ei võta mingit vastutust seoses kolmandate osapoolte veebisaitide või toodete valiku, toimimise või kasutamisega. Apple ei võta vastutust ühegi kolmanda osapoole veebisaidi täpsuse ega usaldusväärsuse osas. Riskid on Interneti kasutamise lahutamatu osa. Lisateabe saamiseks võtke ühendust tarnijaga.

Avaldamiskuupäev: