Selles dokumendis kirjeldatakse operatsioonisüsteemi iOS 4.3 turbesisu, mille saab alla laadida ja installida iTunesi abil.
Oma klientide kaitsmiseks Apple ei avalda, võta arutlusele ega kinnita turbeprobleeme enne, kui on tehtud põhjalik kontroll ja saadaval on kõik võimalikud paigad või väljalasked. Lisateavet Apple'i tooteturvalisuse kohta vt veebisaidilt Apple'i tooteturvalisus.
Lisateavet Apple'i tooteturvalisuse PGP-koodi kohta vt jaotisest „Apple'i tooteturvalisuse PGP-koodi kasutamine”.
Kui võimalik, kasutatakse haavatavustele viitamiseks lisateabena CVE ID-sid.
Teavet muude turbevärskenduste kohta vt jaotisest „Apple'i turbevärskendused”.
iOS 4.3
- 

- 

CoreGraphics

Saadaval järgmistele operatsioonisüsteemidele: iOS 3.0 kuni 4.2.1 telefonile iPhone 3GS ja uuemale, iOS 3.1 kuni 4.2.1 iPod touchile (3. põlvkond) ja uuemale, iOS 3.2 kuni 4.2.1 iPadile.

Toime: mitu turbeauku·FreeType'is.

Kirjeldus: FreeType'is ilmnes mitu turbeauku, millest kõige tõsisem võib pahatahtliku sisuga fondi töötlemisel viia juhusliku koodikäivituseni. Need probleemid saab lahendada FreeType'i värskendamisega versioonile 2.4.3. Lisateavet leiate FreeType'i veebisaidilt http://www.freetype.org/.

CVE-ID

CVE-2010-3855

 

- 

- 

ImageIO

Saadaval järgmistele operatsioonisüsteemidele: iOS 3.0 kuni 4.2.1 telefonile iPhone 3GS ja uuemale, iOS 3.1 kuni 4.2.1 iPod touchile (3. põlvkond) ja uuemale, iOS 3.2 kuni 4.2.1 iPadile.

Toime: pahatahtliku sisuga TIFF-pildi kuvamine võib põhjustada rakenduse ootamatu sulgumise või juhusliku koodikäivituse.

Kirjeldus: libTIFF-is JPEG-kodeeringuga TIFF-piltide ohjamisel·esines puhvri ülevool. Pahatahtliku sisuga TIFF-pildi kuvamine võib põhjustada rakenduse ootamatu sulgumise või juhusliku koodikäivituse.

CVE-ID

CVE-2011-0191: Apple

 

- 

- 

ImageIO

Saadaval järgmistele operatsioonisüsteemidele: iOS 3.0 kuni 4.2.1 telefonile iPhone 3GS ja uuemale, iOS 3.1 kuni 4.2.1 iPod touchile (3. põlvkond) ja uuemale, iOS 3.2 kuni 4.2.1 iPadile.

Toime: pahatahtliku sisuga TIFF-pildi kuvamine võib põhjustada rakenduse ootamatu sulgumise või juhusliku koodikäivituse.

Kirjeldus: libTIFF-is CCITT Group 4 kodeeringuga TIFF-piltide ohjamisel·esines puhvri ülevool. Pahatahtliku sisuga TIFF-pildi kuvamine võib põhjustada rakenduse ootamatu sulgumise või juhusliku koodikäivituse.

CVE-ID

CVE-2011-0192: Apple

 

- 

- 

libxml

Saadaval järgmistele operatsioonisüsteemidele: iOS 3.0 kuni 4.2.1 telefonile iPhone 3GS ja uuemale, iOS 3.1 kuni 4.2.1 iPod touchile (3. põlvkond) ja uuemale, iOS 3.2 kuni 4.2.1 iPadile.

Toime: pahatahtliku sisuga veebisaidi külastamine võib viia rakenduse töö ootamatu katkemiseni või juhusliku koodikäivituseni.

Kirjeldus: libxml-is XPathi avaldiste ohjamisel·esines topeltvabastuse (nn double-free) probleem. Pahatahtliku sisuga veebisaidi külastamine võib viia rakenduse töö ootamatu katkemiseni või juhusliku koodikäivituseni.

CVE-ID

CVE-2010-4494: Yang Dingning ettevõttest NCNIPC, Hiina Teaduste Akadeemia kõrgkoolist (Graduate University of Chinese Academy of Sciences)

 

- 

- 

Võrgundus

Saadaval järgmistele operatsioonisüsteemidele: iOS 3.0 kuni 4.2.1 telefonile iPhone 3GS ja uuemale, iOS 3.1 kuni 4.2.1 iPod touchile (3. põlvkond) ja uuemale, iOS 3.2 kuni 4.2.1 iPadile.

Toime: server võib olla võimeline tuvastada ühenduste kaudu seadmeid.

Kirjeldus: seadme valitud IPv6 aadress sisaldab seadme MAC-aadressi, kui kasutatakse olekuvaba aadressi automaatseadistust (SLAAC). IPv6 toega server, millega seade ühendust võttis, võib aadressi abil seadet ühenduste kaudu jälgida. See värskendus juurutab IPv6 laienduse, mida kirjeldatakse RFC 3041-s, lisades väljaminevate ühenduste puhul·kasutatava ajutise juhusliku aadressi.

 

- 

- 

Safari

Saadaval järgmistele operatsioonisüsteemidele: iOS 3.0 kuni 4.2.1 telefonile iPhone 3GS ja uuemale, iOS 3.1 kuni 4.2.1 iPod touchile (3. põlvkond) ja uuemale, iOS 3.2 kuni 4.2.1 iPadile.

Toime: pahatahtliku sisuga veebisaidi kuvamine võib põhjustada MobileSafari sulgumise käivitumisel.

Kirjeldus: pahatahtliku sisuga veebisait võib sisaldada javascripti, mis põhjustab mõne muu seadmes oleva rakenduse korduva käivitumise oma URL-i ohjuri kaudu. Selle veebisaidi külastamine MobileSafariga põhjustab MobileSafari sulgumise ja sihtrakenduse käivitumise. See käitusjada jätkub iga kord, kui MobileSafari avatakse. Probleemi saab lahendada eelmisele lehele naasmisega, kui pärast teise rakenduse käivitumist URL-i ohjuri kaudu Safari uuesti avatakse.

CVE-ID

CVE-2011-0158: Nitesh Dhanjani ettevõttest Ernst & Young LLP

 

- 

- 

Safari

Saadaval järgmistele operatsioonisüsteemidele: iOS 4.0 kuni 4.2.1 telefonile iPhone 3GS ja uuemale, iOS 4.0 kuni 4.2.1 iPod touchile (3. põlvkond) ja uuemale, iOS 4.2 kuni 4.2.1 iPadile.

Toime: küpsiste kustutamine Safari seadetes ei pruugi toimida.

Kirjeldus: mõnel juhul ei toimi küpsiste kustutamine Safari seadetest, kui Safari töötab. Probleemi saab lahendada küpsiste põhjalikuma ohjamise kaudu. See probleem ei mõjuta iOS 4.0-st varasemaid süsteeme.

CVE-ID

CVE-2011-0159: Erik Wong ettevõttest Google Inc.

 

- 

- 

WebKit

Saadaval järgmistele operatsioonisüsteemidele: iOS 3.0 kuni 4.2.1 telefonile iPhone 3GS ja uuemale, iOS 3.1 kuni 4.2.1 iPod touchile (3. põlvkond) ja uuemale, iOS 3.2 kuni 4.2.1 iPadile.

Toime: pahatahtliku sisuga veebisaidi külastamine võib viia rakenduse töö ootamatu katkemiseni või juhusliku koodikäivituseni.

Kirjeldus: WebKitis esineb mitu mälurikkumisprobleemi. Pahatahtliku sisuga veebisaidi külastamine võib viia rakenduse töö ootamatu katkemiseni või juhusliku koodikäivituseni.

CVE-ID

CVE-2010-1792

CVE-2010-1824: kuzzcc ja wushi TippingPointi algatusega Zero Day Initiative koostööd tegevast team509-st

CVE-2011-0111: Sergey Glazunov

CVE-2011-0112: Yuzo Fujishima ettevõttest·Google, Inc.

CVE-2011-0113: Andreas Kling Nokiast

CVE-2011-0114: Chris Evans Google Chrome'i turbemeeskonnast

CVE-2011-0115: TippingPointi algatusega Zero Day Initiative koostööd tegev J23 ja Emil A. Eklund ettevõttest·Google, Inc.

CVE-2011-0116: TippingPointi algatusega Zero Day Initiative koostööd tegev anonüümne teadlane

CVE-2011-0117: Abhishek Arya (Inferno) ettevõttest·Google, Inc.

CVE-2011-0118: Abhishek Arya (Inferno) ettevõttest·Google, Inc.

CVE-2011-0119: Abhishek Arya (Inferno) ettevõttest·Google, Inc.

CVE-2011-0120: Abhishek Arya (Inferno) ettevõttest·Google, Inc.

CVE-2011-0121: Abhishek Arya (Inferno) ettevõttest·Google, Inc.

CVE-2011-0122: Slawomir Blazek

CVE-2011-0123: Abhishek Arya (Inferno) ettevõttest·Google, Inc.

CVE-2011-0124: Yuzo Fujishima ettevõttest·Google, Inc.

CVE-2011-0125: Abhishek Arya (Inferno) ettevõttest·Google, Inc.

CVE-2011-0126: Mihai Parparita ettevõttest·Google, Inc.

CVE-2011-0127: Abhishek Arya (Inferno) ettevõttest·Google, Inc.

CVE-2011-0128: David Bloom

CVE-2011-0129: Famlam

CVE-2011-0130: Apple

CVE-2011-0131: wushi team509-st

CVE-2011-0132: wushi TippingPointi algatusega Zero Day Initiative koostööd tegevast team509-st

CVE-2011-0133: wushi TippingPointi algatusega Zero Day Initiative koostööd tegevast team509-st

CVE-2011-0134: Jan Tosovsky

CVE-2011-0135: anonüümne raporteerija

CVE-2011-0136: Sergey Glazunov

CVE-2011-0137: Sergey Glazunov

CVE-2011-0138: kuzzcc

CVE-2011-0140: Sergei Glazunov

CVE-2011-0141: Chris Rohlf ettevõttest·Matasano Security

CVE-2011-0142: Abhishek Arya (Inferno) ettevõttest·Google, Inc.

CVE-2011-0143: Slawomir Blazek ja·Sergei Glazunov

CVE-2011-0144: Emil A. Eklund ettevõttest·Google, Inc.

CVE-2011-0145: Abhishek Arya (Inferno) ettevõttest·Google, Inc.

CVE-2011-0146: Abhishek Arya (Inferno) ettevõttest·Google, Inc.

CVE-2011-0147: Dirk Schulze

CVE-2011-0148: Michal Zalewski ettevõttest·Google, Inc.

CVE-2011-0149: wushi TippingPointi algatusega Zero Day Initiative koostööd tegevast team509-st ja SkyLined Google Chrome'i turbemeeskonnast

CVE-2011-0150: Michael Gundlach safariadblock.com-ist

CVE-2011-0151: Abhishek Arya (Inferno) ettevõttest·Google, Inc.

CVE-2011-0152: Skyline Google Chrome'i turbemeeskonnast

CVE-2011-0153: Abhishek Arya (Inferno) ettevõttest·Google, Inc.

CVE-2011-0154: TippingPointi algatusega Zero Day Initiative koostööd tegev anonüümne teadlane

CVE-2011-0155: Aki Helin OUSPG-st

CVE-2011-0156: Abhishek Arya (Inferno) ettevõttest·Google, Inc.

CVE-2011-0157: Benoit Jacob Mozillast

CVE-2011-0168: Sergey Glazunov

 

- 

- 

WebKit

Saadaval järgmistele operatsioonisüsteemidele: iOS 3.0 kuni 4.2.1 telefonile iPhone 3GS ja uuemale, iOS 3.1 kuni 4.2.1 iPod touchile (3. põlvkond) ja uuemale, iOS 3.2 kuni 4.2.1 iPadile.

Toime: HTTP baasautentimise mandaadid võidakse tahtmatult teisele saidile avaldada.

Kirjeldus: kui sait kasutab HTTP baasautentimist ja suunab edasi teisele saidile, võidakse autentimismandaadid sellele saidile saata. Probleemi saab lahendada mandaatide·põhjalikuma ohjamise kaudu.

CVE-ID

CVE-2011-0160: McIntosh Cooey ettevõttest·Twelve Hundred Group, Harald Hanche-Olsen, Chuck Hohn ettevõttest·1111 Internet LLC, kes teeb koostööd CERT-iga, ja Paul Hinze Braintreest

 

- 

- 

WebKit

Saadaval järgmistele operatsioonisüsteemidele: iOS 3.0 kuni 4.2.1 telefonile iPhone 3GS ja uuemale, iOS 3.1 kuni 4.2.1 iPod touchile (3. põlvkond) ja uuemale, iOS 3.2 kuni 4.2.1 iPadile.

Toime: pahatahtliku sisuga veebisaidi külastamine võib viia saitidevaheliste stiilideklaratsioonideni.

Kirjeldus: WebKitis juurdepääsumeetodi Attr.style ohjamisel esines mitme päritoluga probleem. Pahatahtliku sisuga veebisaidi külastamisel võib sait sisestada CSS-i muudesse·dokumentidesse. Probleemi saab lahendada·juurdepääsumeetodi Attr.style eemaldamisega.

CVE-ID

CVE-2011-0161: Apple

 

- 

- 

WebKit

Saadaval järgmistele operatsioonisüsteemidele: iOS 3.0 kuni 4.2.1 telefonile iPhone 3GS ja uuemale, iOS 3.1 kuni 4.2.1 iPod touchile (3. põlvkond) ja uuemale, iOS 3.2 kuni 4.2.1 iPadile.

Toime: pahatahtliku sisuga veebisait võib takistada teistel saitidel teatud ressursside taotlemist.

Kirjeldus: WebKitis vahemäluressursside ohjamisel esines vahemälu mürgitamise probleem. Pahatahtliku sisuga veebisait võib takistada teistel saitidel teatud ressursside taotlemist. Probleemi saab lahendada põhjalikuma tüübikontrolliga.

CVE-ID

CVE-2011-0163: Apple

 

- 

- 

WiFi

Saadaval järgmistele operatsioonisüsteemidele: iOS 3.0 kuni 4.2.1 telefonile iPhone 3GS ja uuemale, iOS 3.1 kuni 4.2.1 iPod touchile (3. põlvkond) ja uuemale, iOS 3.2 kuni 4.2.1 iPadile.

Toime: WiFi-ühenduse korral võib samas võrgus olev ründaja olla võimeline põhjustama seadme lähtestumise.

Kirjeldus: WiFi-raamide ohjamisel esines piiride kontrollimise probleem. WiFi-ühenduse korral võib samas võrgus olev ründaja olla võimeline põhjustama seadme lähtestumise.

CVE-ID

CVE-2011-0162: Scott Boyd ettevõttest·ePlus Technology, Inc.