Tietoja iOS 6:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan iOS 6:n turvallisuussisällöstä.

iOS 6:n voi ladata ja asentaa iTunesin avulla.

Tässä asiakirjassa käsitellään iOS 6:n turvallisuussisältöä.

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

iOS 6

  • CFNetwork

    Saatavilla seuraaviin: iPhone 3GS ja uudemmat, iPod touch (4. sukupolvi) ja uudemmat, iPad 2 ja uudemmat

    Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa luottamuksellisten tietojen paljastumisen.

    Kuvaus: CFNetworkin tavassa käsitellä väärin muotoiltuja URL-osoitteita oli ongelma. CFNetwork saattoi lähettää pyyntöjä virheelliselle isäntänimelle, mikä aiheutti arkaluontoisten tietojen paljastumisen. Ongelma on ratkaistu parantamalla URL-osoitteiden käsittelyä.

    CVE-ID

    CVE-2012-3724: Facebookin Erling Ellingsen

  • CoreGraphics

    Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Useita haavoittuvuuksia FreeType-ohjelmassa.

    Kuvaus: FreeType-ohjelmassa oli useita haavoittuvuuksia, joista vakavin saattoi aiheuttaa mielivaltaisen koodin suorittamisen haitallisia fontteja käsiteltäessä. Ongelmat on ratkaistu päivittämällä FreeType versioon 2.4.9. Lisätietoja on FreeTypen verkkosivustossa osoitteessa http://www.freetype.org/.

    CVE-ID

    CVE-2012-1126

    CVE-2012-1127

    CVE-2012-1128

    CVE-2012-1129

    CVE-2012-1130

    CVE-2012-1131

    CVE-2012-1132

    CVE-2012-1133

    CVE-2012-1134

    CVE-2012-1135

    CVE-2012-1136

    CVE-2012-1137

    CVE-2012-1138

    CVE-2012-1139

    CVE-2012-1140

    CVE-2012-1141

    CVE-2012-1142

    CVE-2012-1143

    CVE-2012-1144

  • CoreMedia

    Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisen elokuvatiedoston katsominen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: Sorenson-koodattujen elokuvatiedostojen käsittelyssä oli alustamattomaan muistiin liittyvä ongelma. Ongelma on ratkaistu parantamalla muistin alustamista.

    CVE-ID

    CVE-2012-3722: CERT/CC:n Will Dormann

  • DHCP

    Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallinen Wi-Fi-verkko saattoi pystyä selvittämään verkot, joita laitteesta oli aiemmin käytetty.

    Kuvaus: Kun laite liitettiin Wi-Fi-verkkoon, iOS saattoi lähettää aiemmin käytettyjen verkkojen MAC-osoitteet DNAv4-protokollan mukaisesti. Ongelma on ratkaistu poistamalla DNAv4 käytöstä salaamattomissa Wi-Fi-verkoissa.

    CVE-ID

    CVE-2012-3725: Immunity Inc:n Mark Wuergler.

  • ImageIO

    Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisen TIFF-tiedoston katsominen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: libtiffin tavassa käsitellä ThunderScan-koodattuja TIFF-kuvia oli puskurin ylivuoto. Ongelma on ratkaistu päivittämällä libtiff versioon 3.9.5.

    CVE-ID

    CVE-2011-1167

  • ImageIO

    Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisen PNG-kuvan katsominen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: libpng:n tavassa käsitellä PNG-kuvia oli useita muistin vioittumiseen liittyviä ongelmia. Nämä ongelmat on ratkaistu parantamalla PNG-kuvien tarkistamista.

    CVE-ID

    CVE-2011-3026: Jüri Aedla

    CVE-2011-3048

    CVE-2011-3328

  • ImageIO

    Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisen JPEG-kuvan katsominen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: ImageIO:n tavassa käsitellä JPEG-kuvia oli double free -ongelma. Ongelma on ratkaistu parantamalla muistin hallintaa.

    CVE-ID

    CVE-2012-3726: PKJE Consultingin Phil

  • ImageIO

    Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisen TIFF-kuvan katsominen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: libTIFF:n tavassa käsitellä TIFF-kuvia oli kokonaisluvun ylivuoto-ongelma. Ongelma on ratkaistu parantamalla TIFF-kuvien tarkistamista.

    CVE-ID

    CVE-2012-1173: HP:n Zero Day Initiativen parissa työskentelevä Alexander Gavrun

  • Maakohtaiset Unicode-komponentit

    Saatavilla seuraaviin: iPhone 3GS ja uudemmat, iPod touch (4. sukupolvi) ja uudemmat sekä iPad 2 ja uudemmat

    Vaikutus: ICU:ta käyttävät ohjelmat saattoivat olla alttiita ohjelman odottamattomalle sulkeutumiselle tai mielivaltaisen koodin suorittamiselle.

    Kuvaus: ICU-lokaalitunnisteiden käsittelyssä oli pinopuskurin ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2011-4599

  • IPSec

    Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisen racoon-määrittelytiedoston lataaminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: racoon-määrittelytiedostojen käsittelyssä oli puskurin ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2012-3727: iOS Jailbreak Dream Team

  • Kernel

    Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: kernelin tavassa käsitellä pakettisuodatin-ioctl:iä oli virheellinen osoittimen epäviittausongelma. Tämän vuoksi hyökkääjä saattoi pystyä muokkaamaan kernel-muistia. Ongelma on ratkaistu parantamalla virheiden käsittelyä.

    CVE-ID

    CVE-2012-3728: iOS Jailbreak Dream Team

  • Kernel

    Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Paikallinen käyttäjä voi pystyä päättelemään kernel-muistin asettelun.

    Kuvaus: Berkeley Packet Filter -kääntäjässä oli alustamattomaan muistiin liittyvä ongelma, mikä johti muistin sisällön paljastumiseen. Ongelma on ratkaistu parantamalla muistin alustamista.

    CVE-ID

    CVE-2012-3729: Dan Rosenberg

  • libxml

    Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisen verkkosivuston selaaminen voi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: libxml:ssä oli useita haavoittuvuuksia, joista vakavimmat saattoivat aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Ongelmat on ratkaistu ottamalla käyttöön asianmukaiset upstream-korjaukset.

    CVE-ID

    CVE-2011-1944: Google Chrome Security Teamin Chris Evans

    CVE-2011-2821: NCNIPC:n Yang Dingning, Kiinan akatemian tutkijakoulut (Graduate University of Chinese Academy of Sciences)

    CVE-2011-2834: NCNIPC:n Yang Dingning, Kiinan akatemian tutkijakoulut (Graduate University of Chinese Academy of Sciences)

    CVE-2011-3919: Jüri Aedla

  • Mail

    Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Mail saattoi esittää väärän liitteen viestissä.

    Kuvaus: Mailin tavassa käsitellä liitteitä oli logiikkaongelma. Jos seuraavassa sähköpostiviestin liitteessä käytettiin samaa sisältötunnusta kuin aiemmassa, aiempi liite näytettiin. Tämä koski myös tilanteita, joissa viestit olivat eri lähettäjiltä. Tämä saattoi mahdollistaa jotkin huijaus- ja tietojenkalasteluhyökkäykset. Ongelma on ratkaistu parantamalla liitteiden käsittelyä.

    CVE-ID

    CVE-2012-3730: salesforce.comin tuoteturvallisuustiimin Angelo Prado

  • Mail

    Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Sähköpostin liitetiedostoja saatettiin voida lukea ilman käyttäjän pääsykoodia.

    Kuvaus: Mailin tavassa käyttää tietojen suojausta sähköpostiviestien liitetiedostoissa oli logiikkaongelma. Ongelma on ratkaistu asettamalla sähköpostiviestien liitetiedostojen tietosuojausluokka asianmukaisesti.

    CVE-ID

    CVE-2012-3731: Travelers Insurancen Stephen Prairie ja AirWatchin Erich Stuntebeck

  • Mail

    Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Hyökkääjä saattoi pystyä väärentämään S/MIME-allekirjoitetun viestin lähettäjän.

    Kuvaus: S/MIME-allekirjoitetuissa viesteissä näkyi ei-luotettu Lähettäjä-osoite viestin allekirjoittajan identiteettiin liittyvän nimen sijaan. Ongelma on ratkaistu näyttämällä viestin allekirjoittajan identiteettiin liittyvä osoite, kun se on saatavilla.

    CVE-ID

    CVE-2012-3732: nimetön tutkija

  • Viestit

    Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Käyttäjä saattoi tahattomasti paljastaa sähköpostiosoitteensa olemassaolon.

    Kuvaus: Kun käyttäjällä oli useita iMessageen liittyviä sähköpostiosoitteita, viestiin vastaaminen saattoi johtaa siihen, että vastaus lähetettiin toisesta sähköpostiosoitteesta. Tämä saattoi paljastaa käyttäjän tiliin liittyvän toisen sähköpostiosoitteen. Ongelma on ratkaistu siten, että viestiin vastataan aina siitä sähköpostiosoitteesta, johon alkuperäinen viesti lähetettiin.

    CVE-ID

    CVE-2012-3733: Gnomesoft LLC:n Rodney S. Foley

  • Office Viewer

    Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Salaamatonta dokumenttidataa saatettiin kirjoittaa tilapäistiedostoon.

    Kuvaus: Microsoft Office -tiedostojen katselun tuessa oli tietojen paljastumiseen liittyvä ongelma. Katseltaessa dokumenttia Office Viewer kirjoitti kutsuvan prosessin tilapäishakemistoon dokumentin, joka sisälsi tarkastellusta dokumentista peräisin olevaa dataa. Tämä saattoi johtaa tietojen paljastumiseen ohjelmassa, joka käyttää tietojen suojausta tai muuta salausta käyttäjän tiedostojen suojaamiseen. Ongelma on ratkaistu välttämällä tilapäistiedostojen luomista katseltaessa Office-dokumentteja.

    CVE-ID

    CVE-2012-3734: Open Systems Technologiesin Salvatore Cataudella

  • OpenGL

    Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: OS X:n Open GL -toteutusta käyttävät ohjelmat saattoivat olla haavoittuvaisia ohjelman odottamattomalle sulkeutumiselle tai mielivaltaisen koodin suorittamiselle.

    Kuvaus: GLSL-käännöksen käsittelyssä oli useita muistin vioittumiseen liittyviä ongelmia. Ongelmat on ratkaistu parantamalla GLSL-varjostinten tarkistamista.

    CVE-ID

    CVE-2011-3457: Google Chrome Security Teamin Chris Evans ja Red Hat Security Response Teamin Marc Schoenefeld

  • Pääsykoodi

    Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Henkilö, jolla oli fyysinen pääsy laitteeseen, saattoi nähdä hetken aikaa viimeksi käytetyn muun valmistajan ohjelman lukitussa laitteessa.

    Kuvaus: Sammuta-liukusäätimen näyttämisessä lukitulla näytöllä oli logiikkaongelma. Ongelma on ratkaistu parantamalla lukituksen tilan hallintaa.

    CVE-ID

    CVE-2012-3735: Chris Lawrence DBB

  • Pääsykoodi

    Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Henkilö, jolla oli fyysinen pääsy laitteeseen, saattoi pystyä ohittamaan näytön lukituksen.

    Kuvaus: FaceTime-puheluiden lopettamisessa lukitulta näytöltä oli logiikkaongelma. Ongelma on ratkaistu parantamalla lukituksen tilan hallintaa.

    CVE-ID

    CVE-2012-3736: 2Secure AB:n Ian Vitek

  • Pääsykoodi

    Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Kaikkiin kuviin saattoi päästä lukitulta näytöltä.

    Kuvaus: Lukitulta näytöltä otettujen kuvien katselussa oli suunnitteluvirhe. Pääsykoodin lukitus kysyi laitteen lukitsemisaikaa ja vertasi sitä kuvan ottamishetkeen määrittääkseen, mihin kuviin sallitaan pääsy. Hyökkääjä saattoi päästä kuviin, jotka otettiin ennen laitteen lukitsemista, väärentämällä senhetkisen kellonajan. Ongelma on ratkaistu nimenomaisesti pitämällä kirjaa kuvista, jotka otettiin laitteen ollessa lukittuna.

    CVE-ID

    CVE-2012-3737: BlueWax Inc:n Ade Barkah

  • Pääsykoodi

    Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Henkilö, jolla oli fyysinen pääsy lukittuun laitteeseen, pystyi suorittamaan FaceTime-puheluita.

    Kuvaus: Hätävalitsinnäytöllä oli logiikkaongelma, jonka vuoksi lukitulla laitteella voitiin soittaa FaceTime-puheluita äänivalinnalla. Samalla myös käyttäjän yhteystiedot saattoivat paljastua yhteystietoehdotusten myötä. Ongelma on ratkaistu poistamalla äänivalinta käytöstä hätävalitsin näytöllä.

    CVE-ID

    CVE-2012-3738: BlueWax Inc:n Ade Barkah

  • Pääsykoodi

    Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Henkilö, jolla oli fyysinen pääsy laitteeseen, saattoi pystyä ohittamaan näytön lukituksen.

    Kuvaus: Kameran käyttäminen lukitulta näytöltä saattoi joissain tapauksissa häiritä automaattista lukitustoimintoa, jolloin henkilö, jolla oli fyysinen pääsy laitteeseen, saattoi ohittaa pääsykoodinäytön. Ongelma on ratkaistu parantamalla lukituksen tilan hallintaa.

    CVE-ID

    CVE-2012-3739: Austrian Federal Computing Centren (BRZ) Sebastian Spanninger

  • Pääsykoodi

    Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Henkilö, jolla oli fyysinen pääsy laitteeseen, saattoi pystyä ohittamaan näytön lukituksen.

    Kuvaus: Näytön lukituksen käsittelyssä oli tilan hallintaan liittyvä ongelma. Ongelma on ratkaistu parantamalla lukituksen tilan hallintaa.

    CVE-ID

    CVE-2012-3740: 2Secure AB:n Ian Vitek

  • Rajoitukset

    Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Käyttäjä saattoi pystyä tekemään ostoksia antamatta Apple ID -kirjautumistietoja.

    Kuvaus: Kun rajoitukset oli poistettu käytöstä, iOS ei välttämättä pyytänyt käyttäjän salasanaa ostotapahtuman aikana. Ongelma on ratkaistu vahvistamalla ostosten valtuutusten toimeenpanoa.

    CVE-ID

    CVE-2012-3741: Redwood High Schoolin Kevin Makens

  • Safari

    Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Verkkosivustot pystyivät käyttämään otsikoissaan merkkejä, jotka muistuttivat lukkokuvaketta.

    Kuvaus: Verkkosivustot pystyivät luomaan lukkokuvakkeen sivun otsikkoon käyttämällä Unicode-merkkiä. Kuvake muistutti kuvaketta, jota käytetään merkkinä suojatusta yhteydestä, ja se olisi voinut saada käyttäjän uskomaan, että suojattu yhteys on muodostettu. Ongelma on ratkaistu poistamalla tällaiset merkit sivujen otsikoista.

    CVE-ID

    CVE-2012-3742: Lepidumin Boku Kihara

  • Safari

    Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Salasanat saatettiin täyttää automaattisesti, vaikka sivustolla olisi määritetty, että automaattisen täydennyksen pitää olla pois käytöstä.

    Kuvaus: Salasanan syöttöelementit, joissa automaattisen täydennyksen määritys oli asetettu pois päältä, täydennettiin automaattisesti. Ongelma on ratkaistu parantamalla automaattisen täydennyksen määritteen käsittelyä.

    CVE-ID

    CVE-2012-0680: Moodlen Dan Poltawski

  • Järjestelmälokit

    Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Eristetyt ohjelmat saattoivat saada haltuunsa järjestelmälokien sisältöä.

    Kuvaus: Eristetyillä ohjelmilla oli lukuoikeudet /var/log-hakemistoon, joten ne saattoivat saada haltuunsa järjestelmälokien sisältämiä arkaluontoisia tietoja. Ongelma on ratkaistu epäämällä eristetyiltä ohjelmilta pääsy /var/log-hakemistoon.

    CVE-ID

    CVE-2012-3743

  • Puhelinliikenne

    Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Tekstiviesti saattoi näyttää mielivaltaisen lähettäjän lähettämältä.

    Kuvaus: Viestit-ohjelmassa näkyi tekstiviestin paluuosoite lähettäjänä. Paluuosoitteet saattoivat olla väärennettyjä. Ongelma on ratkaistu näyttämällä aina alkuperäinen osoite paluuosoitteen sijaan.

    CVE-ID

    CVE-2012-3744: pod2g

  • Puhelinliikenne

    Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Tekstiviesti saattoi häiritä mobiiliyhteyttä.

    Kuvaus: Tekstiviestin käyttäjätieto-otsakkeiden käsittelyssä oli off-by-one-puskurin ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2012-3745: pod2g

  • UIKit

    Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Hyökkääjä, joka sai pääsyn laitteen tiedostojärjestelmään, saattoi pystyä lukemaan tiedostoja, jotka näytettiin UIWebViewissä.

    Kuvaus: UIWebViewiä käyttävät ohjelmat saattoivat jättää salaamattomia tiedostoja tiedostojärjestelmään, kun pääsykoodi oli otettu käyttöön. Ongelma on ratkaistu parantamalla tietosuojauksen käyttöä.

    CVE-ID

    CVE-2012-3746: Boxin Ben Smith

  • WebKit

    Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisella verkkosivustolla käynti saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: WebKitissä oli useita muistin vioittumiseen liittyviä ongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2011-3016: miaubiz

    CVE-2011-3021: Arthur Gerkis

    CVE-2011-3027: miaubiz

    CVE-2011-3032: Arthur Gerkis

    CVE-2011-3034: Arthur Gerkis

    CVE-2011-3035: iDefense VCP:n parissa työskentelevä team509:n wushi sekä Arthur Gerkis

    CVE-2011-3036: miaubiz

    CVE-2011-3037: miaubiz

    CVE-2011-3038: miaubiz

    CVE-2011-3039: miaubiz

    CVE-2011-3040: miaubiz

    CVE-2011-3041: miaubiz

    CVE-2011-3042: miaubiz

    CVE-2011-3043: miaubiz

    CVE-2011-3044: Arthur Gerkis

    CVE-2011-3050: miaubiz

    CVE-2011-3053: miaubiz

    CVE-2011-3059: Arthur Gerkis

    CVE-2011-3060: miaubiz

    CVE-2011-3064: OUSPG:n Atte Kettunen

    CVE-2011-3068: miaubiz

    CVE-2011-3069: miaubiz

    CVE-2011-3071: HP:n Zero Day Initiativen parissa työskentelevä pa_kt

    CVE-2011-3073: Arthur Gerkis

    CVE-2011-3074: Slawomir Blazek

    CVE-2011-3075: miaubiz

    CVE-2011-3076: miaubiz

    CVE-2011-3078: Google Chrome Security Teamin Martin Barbella

    CVE-2011-3081: miaubiz

    CVE-2011-3086: Arthur Gerkis

    CVE-2011-3089: Google Chrome Security Teamin Skylined sekä miaubiz

    CVE-2011-3090: Arthur Gerkis

    CVE-2011-3105: miaubiz

    CVE-2011-3913: Arthur Gerkis

    CVE-2011-3924: Arthur Gerkis

    CVE-2011-3926: Arthur Gerkis

    CVE-2011-3958: miaubiz

    CVE-2011-3966: OUSPG:n Aki Helin

    CVE-2011-3968: Arthur Gerkis

    CVE-2011-3969: Arthur Gerkis

    CVE-2011-3971: Arthur Gerkis

    CVE-2012-0682: Applen tuoteturvallisuus

    CVE-2012-0683: Mozillan Dave Mandelin

    CVE-2012-1520: Google Chrome Security Teamin Martin Barbella AddressSanitizerin avulla sekä iDefense VCP:n parissa työskentelevä spa-s3c.blogspot.comin Jose A. Vazquez

    CVE-2012-1521: Google Chrome Security Teamin Skylined sekä iDefense VCP:n parissa työskentelevä spa-s3c.blogspot.comin Jose A. Vazquez

    CVE-2012-2818: miaubiz

    CVE-2012-3589: Mozillan Dave Mandelin

    CVE-2012-3590: Applen tuoteturvallisuus

    CVE-2012-3591: Applen tuoteturvallisuus

    CVE-2012-3592: Applen tuoteturvallisuus

    CVE-2012-3593: Applen tuoteturvallisuus

    CVE-2012-3594: miaubiz

    CVE-2012-3595: Google Chrome Securityn Martin Barbella

    CVE-2012-3596: Google Chrome Security Teamin Skylined

    CVE-2012-3597: Google Chrome Security Teamin Abhishek Arya (Inferno)

    CVE-2012-3598: Applen tuoteturvallisuus

    CVE-2012-3599: Google Chrome Security Teamin Abhishek Arya (Inferno)

    CVE-2012-3600: Chromium-kehitysyhteisön David Levin

    CVE-2012-3601: Google Chrome Security Teamin Martin Barbella AddressSanitizerin avulla

    CVE-2012-3602: miaubiz

    CVE-2012-3603: Applen tuoteturvallisuus

    CVE-2012-3604: Google Chrome Security Teamin Skylined

    CVE-2012-3605: Google Chrome Security Teamin Chris Neckar

    CVE-2012-3608: Google Chrome Security Teamin Skylined

    CVE-2012-3609: Google Chrome Security Teamin Skylined

    CVE-2012-3610: Google Chrome Security Teamin Skylined

    CVE-2012-3611: Applen tuoteturvallisuus

    CVE-2012-3612: Google Chrome Security Teamin Skylined

    CVE-2012-3613: Google Chrome Security Teamin Abhishek Arya (Inferno)

    CVE-2012-3614: Research In Motion Inc:n Yong Li

    CVE-2012-3615: Chromium-kehitysyhteisön Stephen Chenney

    CVE-2012-3617: Applen tuoteturvallisuus

    CVE-2012-3618: Google Chrome Security Teamin Abhishek Arya (Inferno)

    CVE-2012-3620: Google Chrome Security Teamin Abhishek Arya (Inferno)

    CVE-2012-3624: Google Chrome Security Teamin Skylined

    CVE-2012-3625: Google Chrome Security Teamin Skylined

    CVE-2012-3626: Applen tuoteturvallisuus

    CVE-2012-3627: Google Chrome Security Teamin Skylined ja Abhishek Arya (Inferno)

    CVE-2012-3628: Applen tuoteturvallisuus

    CVE-2012-3629: Google Chrome Security Teamin Abhishek Arya (Inferno)

    CVE-2012-3630: Google Chrome Security Teamin Abhishek Arya (Inferno)

    CVE-2012-3631: Google Chrome Security Teamin Abhishek Arya (Inferno)

    CVE-2012-3633: Google Chrome Security Teamin Martin Barbella AddressSanitizerin avulla

    CVE-2012-3634: Google Chrome Security Teamin Martin Barbella AddressSanitizerin avulla

    CVE-2012-3635: Google Chrome Security Teamin Martin Barbella AddressSanitizerin avulla

    CVE-2012-3636: Google Chrome Security Teamin Martin Barbella AddressSanitizerin avulla

    CVE-2012-3637: Google Chrome Security Teamin Martin Barbella AddressSanitizerin avulla

    CVE-2012-3638: Google Chrome Security Teamin Martin Barbella AddressSanitizerin avulla

    CVE-2012-3639: Google Chrome Security Teamin Martin Barbella AddressSanitizerin avulla

    CVE-2012-3640: miaubiz

    CVE-2012-3641: Slawomir Blazek

    CVE-2012-3642: miaubiz

    CVE-2012-3644: miaubiz

    CVE-2012-3645: Google Chrome Security Teamin Martin Barbella AddressSanitizerin avulla

    CVE-2012-3646: Chromium-kehitysyhteisön Julien Chaffraix sekä Google Chrome Security Teamin Martin Barbella AddressSanitizerin avulla

    CVE-2012-3647: Google Chrome Security Teamin Skylined

    CVE-2012-3648: Google Chrome Security Teamin Abhishek Arya (Inferno)

    CVE-2012-3651: Google Chrome Security Teamin Abhishek Arya (Inferno) ja Martin Barbella

    CVE-2012-3652: Google Chrome Security Teamin Martin Barbella

    CVE-2012-3653: Google Chrome Security Teamin Martin Barbella AddressSanitizerin avulla

    CVE-2012-3655: Google Chrome Security Teamin Skylined

    CVE-2012-3656: Google Chrome Security Teamin Abhishek Arya (Inferno)

    CVE-2012-3658: Apple

    CVE-2012-3659: netfuzzer.blogspot.comin Mario Gomes sekä Google Chrome Security Teamin Abhishek Arya (Inferno)

    CVE-2012-3660: Google Chrome Security Teamin Abhishek Arya (Inferno)

    CVE-2012-3661: Applen tuoteturvallisuus

    CVE-2012-3663: Google Chrome Security Teamin Skylined

    CVE-2012-3664: Chromium-kehitysyhteisön Thomas Sepez

    CVE-2012-3665: Google Chrome Security Teamin Martin Barbella AddressSanitizerin avulla

    CVE-2012-3666: Apple

    CVE-2012-3667: propaneapp.comin Trevor Squires

    CVE-2012-3668: Applen tuoteturvallisuus

    CVE-2012-3669: Applen tuoteturvallisuus

    CVE-2012-3670: Google Chrome Security Teamin Abhishek Arya (Inferno) sekä Arthur Gerkis

    CVE-2012-3671: Google Chrome Security Teamin Skylined ja Martin Barbella

    CVE-2012-3672: Google Chrome Security Teamin Abhishek Arya (Inferno)

    CVE-2012-3673: Google Chrome Security Teamin Abhishek Arya (Inferno)

    CVE-2012-3674: Google Chrome Security Teamin Skylined

    CVE-2012-3676: Chromium-kehitysyhteisön Julien Chaffraix

    CVE-2012-3677: Apple

    CVE-2012-3678: Applen tuoteturvallisuus

    CVE-2012-3679: Mozillan Chris Leary

    CVE-2012-3680: Google Chrome Security Teamin Skylined

    CVE-2012-3681: Apple

    CVE-2012-3682: Google Chrome Security Teamin Adam Barth

    CVE-2012-3683: iDefense VCP:n parissa työskentelevä team509:n wushi

    CVE-2012-3684: kuzzcc

    CVE-2012-3686: Torch Mobilen (Peking) Robin Cao

    CVE-2012-3703: Applen tuoteturvallisuus

    CVE-2012-3704: Google Chrome Security Teamin Skylined

    CVE-2012-3706: Applen tuoteturvallisuus

    CVE-2012-3708: Apple

    CVE-2012-3710: Googlen James Robinson

    CVE-2012-3747: Cuen David Bloom

  • WebKit

    Saatavuus: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. sukupolvi tai uudempi), iPad ja iPad 2.

    Vaikutus: Haitallisen sivuston selaaminen saattoi aiheuttaa tietojen paljastumisen sivustojen välillä.

    Kuvaus: CSS-ominaisuusarvojen käsittelyssä oli eri alkuperään liittyvä ongelma. Ongelma on ratkaistu parantamalla alkuperän seurantaa.

    CVE-ID

    CVE-2012-3691: Apple

  • WebKit

    Saatavuus: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. sukupolvi tai uudempi), iPad ja iPad 2.

    Vaikutus: Haitallinen verkkosivusto saattoi pystyä korvaamaan iframen sisällön toisella sivustolla.

    Kuvaus: iframejen käsittelyssä ponnahdusikkunoissa oli eri alkuperään liittyvä ongelma. Ongelma on ratkaistu parantamalla alkuperän seurantaa.

    CVE-ID

    CVE-2011-3067: Sergey Glazunov

  • WebKit

    Saatavuus: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. sukupolvi tai uudempi), iPad ja iPad 2.

    Vaikutus: Haitallisen sivuston selaaminen saattoi aiheuttaa tietojen paljastumisen sivustojen välillä.

    Kuvaus: iframejen ja fragmenttien tunnisteiden käsittelyssä oli eri alkuperään liittyvä ongelma. Ongelma on ratkaistu parantamalla alkuperän seurantaa.

    CVE-ID

    CVE-2012-2815: Stanfordin yliopiston Security Laboratoryn Elie Bursztein, Baptiste Gourdin, Gustav Rydstedt ja Dan Boneh

  • WebKit

    Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: URL-osoitteessa olevia samannäköisiä merkkejä voitiin käyttää sivuston naamiointiin.

    Kuvaus: Safarin kansainvälisten IDN-domain-nimien tukea ja Safariin upotettuja Unicode-fontteja voitiin käyttää samannäköisiä merkkejä sisältävän URL-osoitteen luomiseen. Haitallinen sivusto pystyi käyttämään tällaista URL-osoitetta käyttäjän ohjaamiseen väärennettyyn sivustoon, joka näytti oikealta domainilta. Ongelma on ratkaistu täydentämällä WebKitin tunnettujen samannäköisten merkkien luetteloa. Samannäköiset merkit muunnetaan osoiterivillä Punycode-muotoon.

    CVE-ID

    CVE-2012-3693: Symantecin Matt Cooley

  • WebKit

    Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisen sivuston selaaminen saattoi aiheuttaa sivustojenvälisen komentosarjahyökkäyksen.

    Kuvaus: URL-osoitteiden käsittelyssä oli kanonisointiongelma. Tämä saattoi johtaa komentosarjojen suorittamiseen sivustojen välillä sivustoissa, joissa käytettiin location.href-ominaisuutta. Ongelma on ratkaistu parantamalla URL-osoitteiden kanonisointia.

    CVE-ID

    CVE-2012-3695: Masato Kinugawa

  • WebKit

    Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisen sivuston selaaminen saattoi aiheuttaa HTTP-pyynnön jakamisen.

    Kuvaus: WebSocketsin käsittelyssä oli HTTP-otsakkeen lisäysongelma. Ongelma on ratkaistu parantamalla WebSockets URI -puhdistamista.

    CVE-ID

    CVE-2012-3696: BlackBerry Security Incident Response Teamin David Belcher

  • WebKit

    Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallinen sivusto saattoi pystyä väärentämään osoiterivin arvon.

    Kuvaus: Istuntohistorian käsittelyssä oli tilan hallintaan liittyvä ongelma. Navigointi senhetkisellä sivulla olleeseen fragmenttiin saattoi saada Safarin näyttämään virheellisiä tietoja URL-osoiterivillä. Ongelma on ratkaistu parantamalla istunnon tilan seurantaa.

    CVE-ID

    CVE-2011-2845: Jordi Chancel

  • WebKit

    Saatavuus: iPhone 3GS tai uudempi, iPod touch (4. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisen sivuston selaaminen saattoi aiheuttaa muistin sisällön paljastumisen.

    Kuvaus: SVG-kuvien käsittelyssä oli alustamattoman muistin käyttöongelma. Ongelma on korjattu parantamalla muistin alustamista.

    CVE-ID

    CVE-2012-3650: Apple


FaceTime ei ole saatavilla kaikissa maissa tai kaikilla alueilla.

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: