Tietoja iOS 4.3:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan iOS 4.3:n turvallisuussisällöstä.

Tässä asiakirjassa kerrotaan iOS 4.3:n turvallisuussisällöstä. Päivityksen voi ladata ja asentaa iTunesin avulla.

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

iOS 4.3

  • CoreGraphics

    Saatavuus: iOS 3.0–4.2.1 (iPhone 3GS tai uudempi), iOS 3.1–4.2.1 (iPod touch, 3. sukupolvi tai uudempi) ja iOS 3.2–4.2.1 (iPad).

    Vaikutus: Useita haavoittuvuuksia FreeType-ohjelmassa.

    Kuvaus: FreeType-ohjelmassa oli useita haavoittuvuuksia, joista vakavin saattoi aiheuttaa mielivaltaisen koodin suorittamisen haitallisia fontteja käsiteltäessä. Nämä ongelmat on ratkaistu päivittämällä FreeType versioon 2.4.3. Lisätietoja on FreeTypen sivustossa osoitteessa http://www.freetype.org/.

    CVE-ID

    CVE-2010-3855

  • ImageIO

    Saatavuus: iOS 3.0–4.2.1 (iPhone 3GS tai uudempi), iOS 3.1–4.2.1 (iPod touch, 3. sukupolvi tai uudempi) ja iOS 3.2–4.2.1 (iPad).

    Vaikutus: Haitallisen TIFF-kuvan katsominen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: LibTIFF:n tavassa käsitellä JPEG-koodattuja TIFF-kuvia oli puskurin ylivuoto. Haitallisen TIFF-kuvan katsominen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    CVE-ID

    CVE-2011-0191: Apple

  • ImageIO

    Saatavuus: iOS 3.0–4.2.1 (iPhone 3GS tai uudempi), iOS 3.1–4.2.1 (iPod touch, 3. sukupolvi tai uudempi) ja iOS 3.2–4.2.1 (iPad).

    Vaikutus: Haitallisen TIFF-kuvan katsominen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: LibTIFF:n tavassa käsitellä CCITT Group 4 -koodattuja TIFF-kuvia oli puskurin ylivuoto. Haitallisen TIFF-kuvan katsominen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    CVE-ID

    CVE-2011-0192: Apple

  • libxml

    Saatavuus: iOS 3.0–4.2.1 (iPhone 3GS tai uudempi), iOS 3.1–4.2.1 (iPod touch, 3. sukupolvi tai uudempi) ja iOS 3.2–4.2.1 (iPad).

    Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: libxml:n tavassa käsitellä XPath-ilmaisuja oli double free -ongelma. Haitallisella verkkosivustolla käynti saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    CVE-ID

    CVE-2010-4494: NCNIPC:n Yang Dingning, Kiinan akatemian tutkijakoulut (Graduate University of Chinese Academy of Sciences)

  • Verkkoyhteydet

    Saatavuus: iOS 3.0–4.2.1 (iPhone 3GS tai uudempi), iOS 3.1–4.2.1 (iPod touch, 3. sukupolvi tai uudempi) ja iOS 3.2–4.2.1 (iPad).

    Vaikutus: Palvelin saattoi pystyä tunnistamaan laitteen samaksi eri yhteyksien aikana.

    Kuvaus: Laitteen valitsema IPv6-osoite sisälsi laitteen MAC-osoitteen, kun käytössä oli tilaton IP-osoitteiden autokonfigurointi (Stateless Address Autoconfiguration, SLAAC). IPv6:ta tukeva palvelin, johon laite otti yhteyden, saattoi käyttää osoitetta laitteen seuraamiseen eri yhteyksien aikana. Tässä päivityksessä toteutetaan RFC 3041:ssa kuvattu IPv6-laajennus lisäämällä väliaikainen sattumanvarainen osoite, jota käytetään lähteviin yhteyksiin.

  • Safari

    Saatavuus: iOS 3.0–4.2.1 (iPhone 3GS tai uudempi), iOS 3.1–4.2.1 (iPod touch, 3. sukupolvi tai uudempi) ja iOS 3.2–4.2.1 (iPad).

    Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa MobileSafarin sulkeutumisen sitä avattaessa.

    Kuvaus: Haitallisella verkkosivustolla saatettiin käyttää javascriptiä, joka sai toisen laitteessa olevan ohjelman toistuvasti käynnistymään sen URL-käsittelijän kautta. Siirtyminen tällaiselle verkkosivustolle MobileSafarilla aiheutti sen, että MobileSafari suljettiin ja kohdeohjelma avattiin. Tämä tapahtumaketju toistui aina kun MobileSafari avattiin. Tämä ongelma on ratkaistu palaamalla edelliselle sivulle, kun Safari avataan uudelleen sen jälkeen, kun toinen ohjelma avattiin sen URL-käsittelijän kautta.

    CVE-ID

    CVE-2011-0158: Ernst & Young LLP:n Nitesh Dhanjani

  • Safari

    Saatavuus: iOS 4.0–4.2.1 (iPhone 3GS tai uudempi), iOS 4.0–4.2.1 (iPod touch, 3. sukupolvi tai uudempi) ja iOS 4.2–4.2.1 (iPad).

    Vaikutus: Evästeiden tyhjentämisellä Safarin asetuksista ei ollut vaikutusta.

    Kuvaus: Kun Safari oli käynnissä, evästeiden tyhjentämisellä Safarin asetuksista ei joskus ollut vaikutusta. Tämä ongelma on ratkaistu evästeiden parannetulla käsittelyllä. Tämä ongelma ei koske iOS 4.0:aa vanhempia järjestelmiä.

    CVE-ID

    CVE-2011-0159: Google Inc:n Erik Wong

  • WebKit

    Saatavuus: iOS 3.0–4.2.1 (iPhone 3GS tai uudempi), iOS 3.1–4.2.1 (iPod touch, 3. sukupolvi tai uudempi) ja iOS 3.2–4.2.1 (iPad).

    Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitissä oli useita muistin vioittumiseen liittyviä ongelmia. Haitallisella verkkosivustolla käynti saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    CVE-ID

    CVE-2010-1792

    CVE-2010-1824: kuzzcc sekä TippingPointin Zero Day Initiativen parissa työskentelevä team509:n wushi

    CVE-2011-0111: Sergey Glazunov

    CVE-2011-0112: Google Inc:n Yuzo Fujishima

    CVE-2011-0113: Nokian Andreas Kling

    CVE-2011-0114: Google Chrome Security Teamin Chris Evans

    CVE-2011-0115: TippingPointin Zero Day Initiativen parissa työskentelevä J23 sekä Google Inc:n Emil A. Eklund.

    CVE-2011-0116: TippingPointin Zero Day Initiativen parissa työskentelevä nimetön tutkija

    CVE-2011-0117: Google Inc:n Abhishek Arya (Inferno)

    CVE-2011-0118: Google Inc:n Abhishek Arya (Inferno)

    CVE-2011-0119: Google Inc:n Abhishek Arya (Inferno)

    CVE-2011-0120: Google Inc:n Abhishek Arya (Inferno)

    CVE-2011-0121: Google Inc:n Abhishek Arya (Inferno)

    CVE-2011-0122: Slawomir Blazek

    CVE-2011-0123: Google Inc:n Abhishek Arya (Inferno)

    CVE-2011-0124: Google Inc:n Yuzo Fujishima

    CVE-2011-0125: Google Inc:n Abhishek Arya (Inferno)

    CVE-2011-0126: Google Inc:n Mihai Parparita

    CVE-2011-0127: Google Inc:n Abhishek Arya (Inferno)

    CVE-2011-0128: David Bloom

    CVE-2011-0129: Famlam

    CVE-2011-0130: Apple

    CVE-2011-0131: team509:n wushi

    CVE-2011-0132: TippingPointin Zero Day Initiativen parissa työskentelevä team509:n wushi

    CVE-2011-0133: TippingPointin Zero Day Initiativen parissa työskentelevä team509:n wushi

    CVE-2011-0134: Jan Tosovsky

    CVE-2011-0135: nimetön ilmoittaja

    CVE-2011-0136: Sergey Glazunov

    CVE-2011-0137: Sergey Glazunov

    CVE-2011-0138: kuzzcc

    CVE-2011-0140: Sergey Glazunov

    CVE-2011-0141: Matasano Securityn Chris Rohlf

    CVE-2011-0142: Google Inc:n Abhishek Arya (Inferno)

    CVE-2011-0143: Slawomir Blazek ja Sergey Glazunov

    CVE-2011-0144: Google Inc:n Emil A. Eklund

    CVE-2011-0145: Google Inc:n Abhishek Arya (Inferno)

    CVE-2011-0146: Google Inc:n Abhishek Arya (Inferno)

    CVE-2011-0147: Dirk Schulze

    CVE-2011-0148: Google Inc:n Michal Zalewski

    CVE-2011-0149: TippingPointin Zero Day Initiativen parissa työskentelevä team509:n wushi sekä Google Chrome Security Teamin SkyLined

    CVE-2011-0150: safariadblock.comin Michael Gundlach

    CVE-2011-0151: Google Inc:n Abhishek Arya (Inferno)

    CVE-2011-0152: Google Chrome Security Teamin SkyLined

    CVE-2011-0153: Google Inc:n Abhishek Arya (Inferno)

    CVE-2011-0154: TippingPointin Zero Day Initiativen parissa työskentelevä nimetön tutkija

    CVE-2011-0155: OUSPG:n Aki Helin

    CVE-2011-0156: Google Inc:n Abhishek Arya (Inferno)

    CVE-2011-0157: Mozillan Benoit Jacob

    CVE-2011-0168: Sergey Glazunov

  • WebKit

    Saatavuus: iOS 3.0–4.2.1 (iPhone 3GS tai uudempi), iOS 3.1–4.2.1 (iPod touch, 3. sukupolvi tai uudempi) ja iOS 3.2–4.2.1 (iPad).

    Vaikutus: HTTP Basic Authentication -tunnistetiedot saatettiin tahattomasti paljastaa toiselle sivustolle.

    Kuvaus: Jos sivusto käytti HTTP Basic Authentication -todentamista ja uudelleenohjasi toiselle sivustolle, todentamistunnistetiedot saatettiin lähettää toiselle sivustolle. Tämä ongelma on korjattu parannetulla tunnistetietojen käsittelyllä.

    CVE-ID

    CVE-2011-0160: Twelve Hundred Groupin McIntosh Cooey, Harald Hanche-Olsen, CERTin parissa työskentelevä 1111 Internet LLC:n Chuck Hohn sekä Braintreen Paul Hinze

  • WebKit

    Saatavuus: iOS 3.0–4.2.1 (iPhone 3GS tai uudempi), iOS 3.1–4.2.1 (iPod touch, 3. sukupolvi tai uudempi) ja iOS 3.2–4.2.1 (iPad).

    Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa sivustojenvälisiä style-määrityksiä.

    Kuvaus: WebKitin tavassa käsitellä Attr.style-seuraajaa oli eri alkuperään liittyvä ongelma. Haitallisella verkkosivustolla käynnin seurauksena sivusto saattoi pystyä lisäämään CSS:ää muihin dokumentteihin. Tämä ongelma on ratkaistu poistamalla Attr.style-seuraaja.

    CVE-ID

    CVE-2011-0161: Apple

  • WebKit

    Saatavuus: iOS 3.0–4.2.1 (iPhone 3GS tai uudempi), iOS 3.1–4.2.1 (iPod touch, 3. sukupolvi tai uudempi) ja iOS 3.2–4.2.1 (iPad).

    Vaikutus: Haitallinen verkkosivusto saattoi pystyä estämään muita sivustoja pyytämästä tiettyjä resursseja.

    Kuvaus: WebKitin tavassa käsitellä välimuistissa olevia resursseja oli välimuistin vääristämiseen liittyvä ongelma. Haitallinen verkkosivusto saattoi pystyä estämään muita sivustoja pyytämästä tiettyjä resursseja. Tämä ongelma on korjattu parannetulla tyypin tarkastuksella.

    CVE-ID

    CVE-2011-0163: Apple

  • Wi-Fi

    Saatavuus: iOS 3.0–4.2.1 (iPhone 3GS tai uudempi), iOS 3.1–4.2.1 (iPod touch, 3. sukupolvi tai uudempi) ja iOS 3.2–4.2.1 (iPad).

    Vaikutus: Kun Wi-Fi-yhteys oli muodostettu, samassa verkossa oleva hyökkääjä saattoi pystyä aiheuttamaan laitteen nollaamisen.

    Kuvaus: Wi-Fi-kehysten käsittelyssä oli rajojen tarkistusongelma. Kun Wi-Fi-yhteys oli muodostettu, samassa verkossa oleva hyökkääjä saattoi pystyä aiheuttamaan laitteen nollaamisen.

    CVE-ID

    CVE-2011-0162: ePlus Technology Inc:n Scott Boyd

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: