מידע על תוכן האבטחה הכלול ב-iOS 3.1.3 וב-iOS 3.1.3 עבור iPod touch

מסמך זה מתאר את תוכן האבטחה הכלול ב-iOS 3.1.3 וב-iOS 3.1.3 עבור iPod touch.

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד לביצוע חקירה מלאה בנושא ולהפצת מהדורות או רכיבי Patch חיוניים. למידע נוסף בנושא אבטחת מוצר של Apple, עיינו באתר האינטרנט אבטחת מוצר של Apple.

למידע על מפתח PGP לאבטחת מוצר של Apple, עיינו בנושא "כיצד להשתמש במפתח PGP לאבטחת מוצר של Apple".

היכן שניתן, מזהי CVE משמשים כסימוכין לפגיעויות לצורך קבלת מידע נוסף.

כדי ללמוד על עדכוני אבטחה נוספים, עיינו בנושא "עדכוני אבטחה של Apple."

iOS 3.1.3 ו-iOS 3.1.3 עבור iPod touch

  • CoreAudio

    CVE-ID‏: CVE-2010-0036

    זמין עבור: iOS 1.0 עד 3.1.2‏, iOS עבור iPod touch 1.1 עד 3.1.2

    השפעה: הפעלת קובץ שמע בפורמט mp4 בעל מבנה זדוני עלולה לגרום לסגירה לא צפויה של היישום או להפעלת קוד שרירותי

    תיאור: קיימת בעיה של גלישת חוצץ בטיפול בקובצי mp4. הפעלת קובץ mp4 בעל מבנה זדוני עלולה לגרום לסיום בלתי צפוי של פעולת יישום או להפעלת קוד שרירותי. בעיה זו מטופלת באמצעות בדיקת טווחים משופרת. תודות ל-Tobias Klein מ-trapkit.de, שדיווח על הבעיה.

  • ImageIO

    CVE-ID:‏ CVE-2009-2285

    זמין עבור: iOS 1.0 עד 3.1.2‏, iOS עבור iPod touch 1.1 עד 3.1.2

    השפעה: הצגת תמונת TIFF בעלת מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

    תיאור: קיימת בעיה של גלישת חוצץ בטיפול של ImageIO בתמונות TIFF. הצגה של תמונת TIFF בעלת מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. בעיה זו מטופלת באמצעות בדיקת טווחים משופרת.

  • Recovery Mode

    CVE-ID‏: CVE-2010-0038

    זמין עבור: iOS 1.0 עד 3.1.2‏, iOS עבור iPod touch 1.1 עד 3.1.2

    השפעה: אדם בעל גישה פיזית למכשיר נעול עלול להיות מסוגל לגשת לנתונים של המשתמש

    תיאור: קיימת בעיה של השחתת זיכרון בטיפול של הודעת בקרה מסוימת של USB. אדם בעל גישה פיזית למכשיר עלול להשתמש בבעיה זו כדי לעקוף את קוד הגישה ולגשת לנתונים של המשתמש. בעיה זו טופלה על ידי טיפול משופר בהודעת הבקרה של USB.

  • WebKit

    CVE-ID‏: CVE-2009-3384

    זמין עבור: iOS 1.0 עד 3.1.2‏, iOS עבור iPod touch 1.1 עד 3.1.2

    השפעה: גישה לשרת FTP בעל מבנה זדוני עלולה לגרום לסגירה לא צפויה של היישום, לחשיפת מידע או להפעלת קוד שרירותי

    תיאור: קיימות בעיות מרובות של אימות קלט בטיפול של WebKit ברישומי ספריות FTP. גישה לשרת FTP בעל מבנה זדוני עלולה לגרום לחשיפת מידע, לסיום בלתי צפוי של פעולת יישום או להפעלת קוד שרירותי. עדכון זה מטפל בבעיות הללו באמצעות ניתוח משופר של מבנה הרישומים בספריות FTP. תודה ל-Michal Zalewski מ-Google Inc.‎ עבור הדיווח על הבעיות.

  • WebKit

    CVE-ID‏: CVE-2009-2841

    זמין עבור: iOS 1.0 עד 3.1.2‏, iOS עבור iPod touch 1.1 עד 3.1.2

    השפעה: היישום 'דואר' עלול לטעון תוכן וידאו ואודיו מרחוק כאשר האפשרות של טעינת תמונות מרחוק מושבתת

    תיאור: כאשר WebKit נתקל ברכיב מדיה בפורמט HTML 5 שמצביע אל משאב חיצוני, הוא לא מנפיק קריאה חוזרת (callback) של טעינת משאב כדי לבדוק אם יש לטעון את המשאב. דבר זה עלול לגרום לבקשות בלתי רצויות לשרתים מרוחקים. למשל, שולח של הודעת דוא"ל במבנה HTML עלול להשתמש בבעיה הזו כדי לדעת אם ההודעה נקראה. הבעיה טופלה על ידי יצירת קריאות חוזרות (callback) של טעינת משאב כאשר WebKit נתקל ברכיב מדיה בפורמט HTML 5.

חשוב: אזכור של אתרים ומוצרים של צד שלישי מיועד למטרות מידע בלבד ואינו מהווה המלצה או תמיכה. Apple אינה נוטלת על עצמה כל אחריות בנוגע לבחירה, לביצועים או לשימוש במידע או במוצרים שנמצאים באתרי צד שלישי. Apple מספקת זאת רק לנוחות המשתמשים שלנו. Apple לא בדקה את המידע שנמצא באתרים אלה ולא הציגה שום מצג לגבי הדיוק או האמינות שלו. קיימים סיכונים הטמונים בשימוש במידע או במוצרים הנמצאים באינטרנט, ו-Apple אינה נוטלת על עצמה כל אחריות בנושא זה. עליכם להבין שאתר של צד שלישי אינו תלוי ב-Apple ושל-Apple אין שליטה על התוכן באתר זה. יש ליצור קשר עם הספק לקבלת מידע נוסף.

Published Date: