O sigurnosnom sadržaju ažuriranja 1.1.1 za iPhone
U ovom se dokumentu opisuje sigurnosni sadržaj ažuriranja v1.1.1 za iPhone
Da bi zaštitio korisnike, Apple ne otkriva, ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i javno ne ponudi zakrpe ili nova izdanja. Da biste saznali više o sigurnosti Appleovih proizvoda, posjetite web-mjesto Sigurnost Appleovih proizvoda.
Za informacije o PGP ključu za zaštitu Appleovih proizvoda pogledajte „Upotreba PGP ključa za zaštitu Appleovih proizvoda“.
Kada je to moguće, CVE ID-ovi služe kao referenca za dodatne informacije o slabim točkama.
Da biste saznali više o sigurnosnim ažuriranjima, pogledajte „Appleova sigurnosna ažuriranja“.
Ažuriranje v1.1.1 za iPhone
Bluetooth
CVE-ID: CVE-2007-3753
Učinak: napadači u dometu Bluetooth veze mogli bi izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda.
Opis: u Bluetooth serveru iPhone uređaja postoji problem provjere valjanosti ulaznih podataka. Slanjem zlonamjerno izrađenih Service Discovery Protocol (SDP) paketa na iPhone uređaj s omogućenom Bluetooth vezom, napadač može aktivirati problem, što može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda. Ovo ažuriranje rješava problem dodatnom provjerom SDP paketa. Zahvaljujemo Kevinu Mahaffeyju i Johnu Heringu (Flexilis Mobile Security) na prijavi ovog problema.
CVE-ID: CVE-2007-3754
Učinak: provjera e-maila na nepouzdanim mrežama može dovesti do otkrivanja podataka napadom presretača.
Opis: kada je aplikacija Mail konfigurirana tako da upotrebljava SSL za dolazna i odlazna povezivanja, neće upozoriti korisnika kada se identitet poslužitelja e-maila promijeni ili kada nije pouzdan. Napadač koji može presresti vezu mogao bi se lažno predstaviti kao korisnikov poslužitelj e-maila i doći do korisnikovih e-mail vjerodajnica ili drugih osjetljivih podataka. Ovo ažuriranje rješava problem odgovarajućim upozorenjem u slučaju promjene identiteta udaljenog poslužitelja e-maila.
CVE-ID: CVE-2007-3755
Učinak: otvaranje veze na telefonski broj („tel:“) u aplikaciji Mail poziva taj telefonski broj bez potvrde.
Opis: aplikacija Mail podržava veze na telefonske brojeve („tel:“) za pozivanje tih telefonskih brojeva. Poticanjem korisnika da otvori vezu na telefonski broj u e-mail poruci, napadač može dovesti do toga da iPhone uputi poziv bez korisnikove potvrde. Ovo ažuriranje rješava problem omogućavanjem prozora za potvrdu prije pozivanja telefonskog broja putem veze na isti u aplikaciji Mail. Zahvaljujemo Andiju Baritchiju (McAfee) na prijavi ovog problema.
Safari
CVE-ID: CVE-2007-3756
Učinak: posjet zlonamjernom web-mjestu mogao bi dovesti do otkrivanja sadržaja URL-a.
Opis: problem s dizajnom u pregledniku Safari omogućuje web-stranici čitanje URL-a koji se trenutačno pregledava u glavnom prozoru. Poticanjem korisnika da posjeti zlonamjerno izrađenu web-stranicu, napadač bi mogao doći do URL-a nepovezane stranice. Ovo ažuriranje rješava problem poboljšanom sigurnosnom provjerom više domena. Zahvaljujemo Michalu Zalewskom (Google Inc., Secunia Research) na prijavi ovog problema.
Safari
CVE-ID: CVE-2007-3757
Učinak: posjet zlonamjernom web-mjestu mogao bi dovesti do nenamjernog pozivanja ili pozivanja telefonskog broja različitog od očekivanog.
Opis: aplikacija Safari podržava veze na telefonske brojeve („tel:“) za pozivanje tih telefonskih brojeva. Kada je odabrana veza na telefonski broj, Safari će potvrditi treba li pozvati taj broj. Zlonamjerno izrađena veza na telefonski broj mogla bi dovesti to toga da se tijekom potvrde prikazuje različit telefonski broj od onoga koji se poziva. Izlaz iz preglednika Safari tijekom procesa potvrde mogao bi dovesti do nenamjerne potvrde. Ovo ažuriranje rješava problem odgovarajućim prikazivanjem broja koji će se pozvati i zahtijevanjem potvrde za veze na telefonski broj. Zahvaljujemo Billyju Hoffmanu i Bryanu Sullivanu (HP Security Labs, prethodno SPI Labs) te Eduardu Tangu na prijavi ovog problema.
Safari
CVE-ID: CVE-2007-3758
Učinak: posjet zlonamjernom web-mjestu mogao bi dovesti do skriptiranja na više web-mjesta.
Opis: u pregledniku Safari postoji slaba točka u vezi sa skriptiranjem na više web-mjesta, koja omogućuje zlonamjerno izrađenim web-mjestima postavljanje postavki JavaScript prozora web-mjesta posluženih iz druge domene. Poticanjem korisnika na posjet zlonamjerno izrađenom web-mjestu, napadač može aktivirati ovaj problem, što dovodi do postavljanja statusa i lokacije prozora stranica posluženih s drugih web-mjesta. Ovo ažuriranje rješava problem poboljšanim kontrolama pristupa ovih svojstava. Zahvaljujemo Michalu Zalewskom (Google Inc.) na prijavi ovog problema.
Safari
CVE-ID: CVE-2007-3759
Učinak: onemogućavanje JavaScript koda ne stupa na snagu dok se preglednik Safari ponovno ne pokrene.
Opis: preglednik Safari može se konfigurirati tako da omogućuje ili onemogućuje JavaScript kod. Ova postavka ne stupa na snagu sve dok se Safari sljedeći put ponovno ne pokrene. To se obično događa prilikom ponovnog pokretanja iPhone uređaja. To može zavarati korisnike kako je JavaScript kod onemogućen kada nije. Ovo ažuriranje rješava problem primjenom novih postavki prije učitavanja novih web-stranica.
Safari
CVE-ID: CVE-2007-3760
Učinak: posjet zlonamjernom web-mjestu mogao bi dovesti do skriptiranja na više web-mjesta.
Opis: problem sa skriptiranjem na više web-mjesta u pregledniku Safari omogućuje zlonamjerno izrađenom web-mjestu da zaobiđe pravila istog porijekla pomoću „frame“ oznaka. Poticanjem korisnika da posjeti zlonamjerno izrađenu web-stranicu, napadač može aktivirati problem, što može dovesti do izvršavanja JavaScript koda u kontekstu drugog web-mjesta. Ovo ažuriranje rješava problem onemogućavanjem JavaScript koda kao „iframe“ izvora i ograničavanjem JavaScript koda u oznakama okvira na jednak pristup koji ima i web-mjesto s kojega je poslužen. Zahvaljujemo Michalu Zalewskom (Google Inc., Secunia Research) na prijavi ovog problema.
Safari
CVE-ID: CVE-2007-3761
Učinak: posjet zlonamjernom web-mjestu mogao bi dovesti do skriptiranja na više web-mjesta.
Opis: problem sa skriptiranjem na više web-mjesta u pregledniku Safari omogućuje JavaScript događajima povezivanje s neodgovarajućim okvirima. Poticanjem korisnika da posjeti zlonamjerno izrađenu web-stranicu, napadač može uzrokovati izvršavanje JavaScript koda u kontekstu drugog web-mjesta. Ovo ažuriranje rješava problem povezivanjem JavaScript događaja s odgovarajućim okvirom izvora.
Safari
CVE-ID: CVE-2007-4671
Učinak: JavaScript kod na web-mjestima može pristupiti ili manipulirati sadržajima dokumenata posluženih putem HTTPS veze.
Opis: problem u pregledniku Safari omogućuje sadržaju posluženom putem HTTP veze promjenu ili pristup sadržaju posluženom putem HTTPS veze iz iste domene. Poticanjem korisnika da posjeti zlonamjerno izrađenu web-stranicu, napadač može uzrokovati izvršavanje JavaScript koda u kontekstu HTTPS web-stranica iz te domene. Ovo ažuriranje rješava problem ograničavanjem pristupa između JavaScript kodova koji se izvršavaju u HTTP i HTTPS okvirima. Zahvaljujemo Keigu Yamazakiju iz tvrtke LAC Co., Ltd. (Little eArth Corporation Co., Ltd.) na prijavi ovog problema.
Napomena za instalaciju:
Ovo je ažuriranje dostupno samo putem aplikacije iTunes i neće se pojaviti u aplikaciji Software Update vašeg računala, kao ni na web-mjestu Apple Downloads. Provjerite jeste li povezani na internet i imate li instaliranu najnoviju verziju aplikacije iTunes s web-mjesta www.apple.com/itunes.
iTunes će automatski provjeravati Appleov server ažuriranja po svom tjednom rasporedu. Kada prepozna ažuriranje, preuzet će ga. Kada je iPhone povezan dockom, iTunes će korisniku ponuditi opciju instalacije ažuriranja. Preporučamo da, po mogućnosti, odmah primijenite ažuriranje. Odabir opcije „Nemoj instalirati“ ponudit će tu opciju sljedeći put kada povežete svoj iPhone.
Proces automatskog ažuriranja može potrajati do tjedan dana, ovisno o danu na koji iTunes provjerava ažuriranja. Možete ručno doći do ažuriranja pomoću gumba „Potraži ažuriranje“ u aplikaciji iTunes. Nakon toga, ažuriranje se može primijeniti kada je iPhone povezan dockom na računalo.
Kako biste provjerili je li iPhone ažuriran:
idite na Postavke
kliknite Općenito
kliknite Opis. Verzija nakon primjene ovog ažuriranja bit će „1.1.1. (3A109a)“.