Informacije o sigurnosnom sadržaju ažuriranja iPhone v1.0.1
Ovaj dokument opisuje sigurnosni sadržaj ažuriranja iPhone v1.0.1, koje se može preuzeti i instalirati putem servisa iTunes, kako je opisano u nastavku.
Da bi zaštitio korisnike, Apple ne otkriva, ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i javno ne ponudi zakrpe ili nova izdanja. Da biste saznali više o sigurnosti Appleovih proizvoda, posjetite web-mjesto Sigurnost Appleovih proizvoda.
Informacije o PGP ključu za sigurnost Appleovih proizvoda potražite na web-mjestu „Upotreba PGP ključa za sigurnost Appleovih proizvoda."
Kada je to moguće, CVE ID-ovi služe kao referenca za dodatne informacije o slabim točkama.
Da biste saznali više o ostalim sigurnosnim ažuriranjima, pogledajte članak „Appleova sigurnosna ažuriranja“.
Ažuriranje iPhone v1.0.1
Safari
CVE-ID: CVE-2007-2400
Dostupno za: iPhone v1.0
Učinak: posjet zlonamjernom web-mjestu može omogućiti skriptiranje na web-mjestu.
Opis: Safarijev sigurnosni model sprječava JavaScript na udaljenim web-stranicama da mijenja stranice izvan njihove domene. Uvjet nadvladanja u ažuriranju stranice u kombinaciji s HTTP preusmjeravanjem može omogućiti JavaScriptu s jedne stranice izmjenu preusmjerene stranice. To bi moglo omogućiti čitanje ili proizvoljnu izmjenu kolačića i stranica. Ovo ažuriranje rješava problem ispravljanjem kontrole pristupa svojstvima prozora. Zahvaljujemo Lawrenceu Laiju, Stanu Switzeru i Edu Roweu (Adobe Systems, Inc.) na prijavi ovog problema.
Safari
CVE-ID: CVE-2007-3944
Dostupno za: iPhone v1.0
Učinak: pregledavanjem na zlonamjerno izrađenoj web-stranici može doći do izvršavanja proizvoljnog koda.
Opis: prekoračenja međuspremnika hrpe postoje u medijateci Perl kompatibilnih regularnih izraza (PCRE) koju upotrebljava JavaScript u pregledniku Safari. Poticanjem korisnika da posjeti zlonamjernu web-stranicu napadač može aktivirati problem, što može dovesti do izvršavanja proizvoljnog koda. Ovo ažuriranje rješava problem izvođenjem dodatne provjere valjanosti JavaScript regularnih izraza. Zahvaljujemo Charlieju Milleru i Jakeu Honoroffu (Independent Security Evaluators) na prijavi tih problema.
WebCore
CVE-ID: CVE-2007-2401
Dostupno za: iPhone v1.0
Učinak: posjet zlonamjernom web-mjestu može dopustiti zahtjeve s više web-mjesta.
Opis: u objektu XMLHttpRequest postoji problem s ubacivanjem HTTP-a prilikom serijalizacije zaglavlja u HTTP zahtjev. Privlačenjem korisnika da posjeti zlonamjernu web-stranicu napadač bi mogao pokrenuti problem skriptiranja na web-mjestu. Ovo ažuriranje rješava problem izvođenjem dodatne provjere parametara zaglavlja. Zahvaljujemo Richardu Mooreu (Westpoint Ltd.) na prijavi ovog problema.
WebKit
CVE-ID: CVE-2007-3742
Dostupno za: iPhone v1.0
Učinak: znakovi slični URL-u mogu se upotrebljavati za maskiranje web-mjesta.
Opis: podrška za međunarodni naziv domene (IDN) i Unicode fontovi ugrađeni u Safari mogli bi se upotrebljavati za izradu URL-a koji sadrži slične znakove. Oni se mogu upotrebljavati na zlonamjernom web-mjestu za usmjeravanje korisnika na lažno web-mjesto koje se vizualno čini legitimnom domenom. Ovo ažuriranje rješava problem poboljšanom provjerom valjanosti naziva domene. Zahvaljujemo Tomohitu Yoshinu (Business Architects Inc.) na prijavi ovog problema.
WebKit
CVE-ID: CVE-2007-2399
Dostupno za: iPhone v1.0
Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda.
Opis: neispravna pretvorba vrste podataka prilikom generiranja skupova okvira može dovesti do oštećenja memorije. Pristup zlonamjernoj web-stranici mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Zahvaljujemo Rhysu Kiddu (Westnet) na prijavi ovog problema.
Napomena o instalaciji
Ovo je ažuriranje dostupno samo putem servisa iTunes i neće se pojaviti u aplikaciji za ažuriranje softvera na računalu niti na web-mjestu za preuzimanje Appleove službe za korisničku podršku. Provjerite imate li internetsku vezu i jeste li instalirali najnoviju verziju servisa iTunes od (www.apple.com/itunes).
Servis iTunes automatski provjerava Appleov poslužitelj za ažuriranje prema njegovom tjednom rasporedu. Kada otkrije ažuriranje, preuzet će ga. Kada je iPhone priključen na dock, iTunes će korisniku prikazati opciju za instalaciju ažuriranja. Preporučujemo da odmah primijenite ažuriranje ako je moguće. Odabirom opcije „nemoj instalirati” opcija za instalaciju prikazat će se kada sljedeći put povežete iPhone. Postupak automatskog ažuriranja može potrajati i do tjedan dana, ovisno o danu u kojem servis iTunes provjerava ima li ažuriranja.
Ažuriranje možete preuzeti ručno putem gumba „Traženje ažuriranja” ili odabira u izborniku u servisu iTunes. Nakon toga ažuriranje se može primijeniti kada je iPhone usidren na računalo.
Da biste provjerili je li iPhone ažuriran:
Idite na Postavke na iPhone uređaju.
Kliknite Općenito.
Kliknite Opis. Verzija nakon primjene ovog ažuriranja bit će „1.0.1 (1C25)“.