O sigurnosnom sadržaju sustava iOS 4.1 za iPhone i iPod touch
Ovaj dokument opisuje sigurnosni sadržaj sustava iOS 4.1 za uređaje iPhone i iPod touch.
Radi zaštite svojih klijenata Apple ne otkriva sigurnosne probleme, ne razgovara o njima niti ih potvrđuje do dovršetka cjelovite istrage te objavljivanja potrebnih zakrpa i izdanja. Da biste doznali više o sigurnosti Appleovih proizvoda, idite na web-mjesto Sigurnost Appleovih proizvoda.
Informacije o PGP ključu za zaštitu Appleovih proizvoda potražite u članku "Korištenje PGP ključa za zaštitu Appleovih proizvoda".
Kad je moguće, slabe točke označene su CVE ID-ovima pomoću kojih je moguće pronaći dodatne informacije.
Da biste doznali više o sigurnosnim ažuriranjima, pročitajte članak "Appleova sigurnosna ažuriranja".
iOS 4.1 za iPhone i iPod touch
Pristupačnost
CVE-ID: CVE-2010-1809
Dostupno za verzije: od iOS 3.0 do 4.0.2 za iPhone 3GS i novije, od iOS 3.0 do 4.0.2 za iPod touch (treće generacije)
Učinak: upotreba lokacijskih usluga aplikacije možda neće biti objavljena putem značajke VoiceOver
Opis: u ploči s postavkama lokacijskih usluga postoji problem s pristupačnošću korisničkom sučelju. VoiceOver ne objavljuje prisutnost ikone lokacijskih usluga koja se prikazuje uz aplikaciju koja je zatražila lokaciju korisnika u zadnja 24 sata. Problem je riješen tako što VoiceOver sada objavljuje prisutnost ikone. Na prijavi problema zahvaljujemo Robinu Kippu iz tvrtke Forever Living Product Europe.
FaceTime
CVE-ID: CVE-2010-1810
Dostupno za verzije: od iOS 2.0 do 4.0.2 za iPhone 3G i novije, od iOS 2.1 do 4.0.2 za iPod touch (druge generacije) i novije
Učinak: napadač s mrežnim ovlastima može preusmjeriti FaceTime pozive
Opis: problem s obradom nevažećih certifikata može dopustiti napadaču s mrežnim ovlastima preusmjeravanje FaceTime poziva. Problem se rješava poboljšanom obradom certifikata. Na prijavi problema zahvaljujemo Aaronu Sigelu s portala vtty.com.
ImageIO
CVE-ID: CVE-2010-1811
Dostupno za verzije: od iOS 2.0 do 4.0.2 za iPhone 3G i novije, od iOS 2.1 do 4.0.2 za iPod touch (druge generacije) i novije
Učinak: pokretanje zlonamjerne TIFF datoteke mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda
Opis: prilikom rukovanja TIFF datotekama pojavio se problem s oštećenjem memorije. Pokretanje zlonamjerne TIFF datoteke mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda. Problem se rješava poboljšanom obradom TIFF datoteka. Prijavio: Apple.
ImageIO
CVE-ID: CVE-2010-1817
Dostupno za verzije: od iOS 2.0 do 4.0.2 za iPhone 3G i novije, od iOS 2.1 do 4.0.2 za iPod touch (druge generacije) i novije
Učinak: pokretanje zlonamjerne GIF datoteke mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda
Opis: prilikom obrade GIF datoteka otkriveno je prekoračenje međuspremnika. Pokretanje zlonamjerne GIF datoteke mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda. Problem se rješava poboljšanom provjerom ograničenja. Na prijavi problema zahvaljujemo Tomu Ferrisu iz tima Adobe PSIRT.
WebKit
CVE-ID: CVE-2010-1786
Dostupno za verzije: od iOS 2.0 do 4.0.2 za iPhone 3G i novije, od iOS 2.1 do 4.0.2 za iPod touch (druge generacije) i novije
Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda
Opis: u načinu na koji WebKit obrađuje elemente "foreignObject" u SVG dokumentima postoji problem s korištenjem nakon oslobađanja. Pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda. Problem se rješava dodatnom provjerom valjanosti SVG dokumenata. Na prijavi problema zahvaljujemo korisniku wushi iz grupe team509, koja radi na inicijativi Zero Day Initiative tvrtke TippingPoint.
WebKit
CVE-ID: CVE-2010-1770
Dostupno za verzije: od iOS 2.0 do 4.0.2 za iPhone 3G i novije, od iOS 2.1 do 4.0.2 za iPod touch (druge generacije) i novije
Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivani prekid aplikacije ili izvršavanje arbitrarnog koda
Opis: u načinu na koji WebKit obrađuje tekstne čvorove postoji problem s provjerom vrste. Pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda. Problem se rješava poboljšanom provjerom vrste. Na prijavi problema zahvaljujemo korisniku wushi iz grupe team509, koja radi na inicijativi Zero Day Initiative tvrtke TippingPoint.
WebKit
CVE-ID: CVE-2010-1785
Dostupno za verzije: od iOS 2.0 do 4.0.2 za iPhone 3G i novije, od iOS 2.1 do 4.0.2 za iPod touch (druge generacije) i novije
Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda
Opis: u načinu na koji WebKit obrađuje pseudoelemente ":first-letter" i "first-line" u SVG tekstnim elementima došlo je do problema s pristupom neinicijaliziranoj memoriji. Pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda. Problem se rješava izbjegavanjem renderiranja pseudoelemenata ":first-letter" ili ":first-line" u tekstnim SVG elementima. Na prijavi problema zahvaljujemo korisniku wushi iz grupe team509, koja radi na inicijativi Zero Day Initiative tvrtke TippingPoint.
WebKit
CVE-ID: CVE-2010-1780
Dostupno za verzije: od iOS 2.0 do 4.0.2 za iPhone 3G i novije, od iOS 2.1 do 4.0.2 za iPod touch (druge generacije) i novije
Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda
Opis: u načinu na koji WebKit obrađuje fokus elemenata postoji problem s korištenjem nakon oslobađanja. Pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda. Problem se rješava poboljšanom obradom fokusiranja elemenata. Na prijavi problema zahvaljujemo Tonyju Changu iz tvrtke Google Inc.
WebKit
CVE-ID: CVE-2010-1793
Dostupno za verzije: od iOS 2.0 do 4.0.2 za iPhone 3G i novije, od iOS 2.1 do 4.0.2 za iPod touch (druge generacije) i novije
Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda
Opis: u načinu na koji WebKit obrađuje elemente "font-face" i "use" u SVG dokumentima postoji problem s korištenjem nakon oslobađanja. Pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda. Problem se rješava boljom obradom elemenata "font-face" i "use" u SVG dokumentima. Na prijavi zahvaljujemo Akiju Helinu iz tvrtke OUSPG.
WebKit
CVE-ID: CVE-2010-1421
Dostupno za verzije: od iOS 2.0 do 4.0.2 za iPhone 3G i novije, od iOS 2.1 do 4.0.2 za iPod touch (druge generacije) i novije
Učinak: pristup zlonamjernom web-mjestu može promijeniti sadržaj međuspremnika
Opis: u implementaciji JavaScript funkcije ExecCommand postoji problem s oblikovanjem. Pristup zlonamjernom web-mjestu može promijeniti sadržaj međuspremnika bez interakcije korisnika. Problem se rješava dopuštanjem izvođenja naredbi međuspremnika ako ih pokreće korisnik. Prijavio: Apple.
WebKit
CVE-ID: CVE-2010-1422
Dostupno za verzije: od iOS 2.0 do 4.0.2 za iPhone 3G i novije, od iOS 2.1 do 4.0.2 za iPod touch (druge generacije) i novije
Učinak: interakcija sa zlonamjernim web-mjestom mogao je uzrokovati neočekivane akcije na ostalim stranicama
Opis: u načinu na koji WebKit obrađuje fokus tipkovnice postoji problem s implementacijom. Ako se prilikom obrade pritiska na tipke promijeni fokus tipkovnice, WebKit može isporučiti događaj u novofokusirani kadar umjesto u kadar u kojem je bio fokus kad je tipka bila pritisnuta. Zlonamjerno web-mjesto može manipulirati korisnikom da izvrši neočekivane radnje, primjerice da započne kupnju. Problem se rješava onemogućavanjem isporuke događaja pritiska na tipke ako tijekom obrade dođe do promjene fokusa tipkovnice. Na prijavi problema zahvaljujemo Michalu Zalewskom iz tvrtke Google, Inc.
WebKit
CVE-ID: CVE-2010-1771
Dostupno za verzije: od iOS 2.0 do 4.0.2 za iPhone 3G i novije, od iOS 2.1 do 4.0.2 za iPod touch (druge generacije) i novije
Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda
Opis: u načinu na koji WebKit obrađuje fontove postoji problem s korištenjem nakon oslobađanja. Pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda. Problem se rješava poboljšanom obradom fontova. Prijavio: Apple.
WebKit
CVE-ID: CVE-2010-1783
Dostupno za verzije: od iOS 2.0 do 4.0.2 za iPhone 3G i novije, od iOS 2.1 do 4.0.2 za iPod touch (druge generacije) i novije
Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda
Opis: u načinu na koji WebKit obrađuje dinamične modifikacije tekstnih čvorova postoji problem s oštećenjem memorije. Pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda. Problem se rješava poboljšanim upravljanjem memorijom.
WebKit
CVE-ID: CVE-2010-1764
Dostupno za verzije: od iOS 2.0 do 4.0.2 za iPhone 3G i novije, od iOS 2.1 do 4.0.2 za iPod touch (druge generacije) i novije
Učinak: pristup zlonamjernom web-mjestu koje preusmjerava slanje obrazaca može dovesti do otkrivanja podataka.
Opis: u načinu na koji WebKit obrađuje HTTP preusmjeravanja postoji problem s oblikovanjem. Kada je slanje obrasca preusmjereno na web-mjesto koje također obavlja preusmjeravanje, podaci sadržani na tom obrascu mogu biti poslani na treće web-mjesto. Problem se rješava poboljšanom obradom HTTP preusmjeravanja. Na prijavi problema zahvaljujemo Marcu Worrellu iz tvrtke WhatWebWhat.
WebKit
CVE-ID: CVE-2010-1782
Dostupno za verzije: od iOS 2.0 do 4.0.2 za iPhone 3G i novije, od iOS 2.1 do 4.0.2 za iPod touch (druge generacije) i novije
Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda
Opis: u načinu na koji WebKit renderira fiksne elemente došlo je do oštećenja memorije. Pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda. Problem se rješava poboljšanom provjerom ograničenja. Na prijavi problema zahvaljujemo korisniku wushi iz grupe team509.
WebKit
CVE-ID: CVE-2010-1781
Dostupno za verzije: od iOS 2.0 do 4.0.2 za iPhone 3G i novije, od iOS 2.1 do 4.0.2 za iPod touch (druge generacije) i novije
Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda
Opis: u načinu na koji WebKit renderira fiksne elemente postoji problem s dvostrukim oslobađanjem. Pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda. Problem se rješava poboljšanim upravljanjem memorijom. Na prijavi problema zahvaljujemo Jamesu Robinsonu iz tvrtke Google, Inc.
WebKit
CVE-ID: CVE-2010-1784
Dostupno za verzije: od iOS 2.0 do 4.0.2 za iPhone 3G i novije, od iOS 2.1 do 4.0.2 za iPod touch (druge generacije) i novije
Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda
Opis: u načinu na koji WebKit obrađuje CSS brojače postoji problem s oštećenjem memorije. Pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda. Problem se rješava poboljšanim upravljanjem memorijom. Na prijavi problema zahvaljujemo korisniku wushi iz grupe team509, koja radi na inicijativi Zero Day Initiative tvrtke TippingPoint.
WebKit
CVE-ID: CVE-2010-1787
Dostupno za verzije: od iOS 2.0 do 4.0.2 za iPhone 3G i novije, od iOS 2.1 do 4.0.2 za iPod touch (druge generacije) i novije
Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda
Opis: u načinu na koji WebKit obrađuje plutajuće elemente u SVG dokumentima došlo je do problema s oštećenjem memorije. Pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda. Problem se rješava poboljšanim upravljanjem memorijom.
WebKit
CVE-ID: CVE-2010-1791
Dostupno za verzije: od iOS 2.0 do 4.0.2 za iPhone 3G i novije, od iOS 2.1 do 4.0.2 za iPod touch (druge generacije) i novije
Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda
Opis: u načinu na koji WebKit obrađuje JavaScript raspone postoji problem s predznakom brojeva. Pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda. Problem se rješava poboljšanim upravljanjem indeksima JavaScript raspona. Na prijavi problema zahvaljujemo Natalie Silvanovich.
WebKit
CVE-ID: CVE-2010-1788
Dostupno za verzije: od iOS 2.0 do 4.0.2 za iPhone 3G i novije, od iOS 2.1 do 4.0.2 za iPod touch (druge generacije) i novije
Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda
Opis: u načinu na koji WebKit obrađuje element "use" u SVG dokumentima postoji problem s oštećenjem memorije. Pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda. Problem se rješava poboljšanom obradom elemenata "use" u SVG dokumentima. Na prijavi problema zahvaljujemo Justinu Schuhu iz tvrtke Google, Inc.
WebKit
CVE-ID: CVE-2010-1812
Dostupno za verzije: od iOS 2.0 do 4.0.2 za iPhone 3G i novije, od iOS 2.1 do 4.0.2 za iPod touch (druge generacije) i novije
Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda
Opis: u načinu na koji WebKit obrađuje odabire postoji problem s korištenjem nakon oslobađanja. Pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda. Problem se rješava poboljšanom obradom odabira. Na prijavi problema zahvaljujemo korisniku chipplyman.
WebKit
CVE-ID: CVE-2010-1813
Dostupno za verzije: od iOS 2.0 do 4.0.2 za iPhone 3G i novije, od iOS 2.1 do 4.0.2 za iPod touch (druge generacije) i novije
Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda
Opis: u načinu na koji WebKit renderira skice HTML objekata došlo je do oštećenja memorije. Pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda. Problem se rješava poboljšanim upravljanjem memorijom. Na prijavi problema zahvaljujemo Joseu A. Vasquezu sa stranice spa-s3c.blogspot.com
WebKit
CVE-ID: CVE-2010-1814
Dostupno za verzije: od iOS 2.0 do 4.0.2 za iPhone 3G i novije, od iOS 2.1 do 4.0.2 za iPod touch (druge generacije) i novije
Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivani prekid aplikacije ili izvršavanje arbitrarnog koda
Opis: u načinu na koji WebKit obrađuje izbornike obrasca postoji problem s oštećenjem memorije. Pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda. Problem se rješava poboljšanim upravljanjem izbornika obrasca. Na prijavi problema zahvaljujemo Csabu Osztrogoncu sa sveučilišta Szeget.
WebKit
CVE-ID: CVE-2010-1815
Dostupno za verzije: od iOS 2.0 do 4.0.2 za iPhone 3G i novije, od iOS 2.1 do 4.0.2 za iPod touch (druge generacije) i novije
Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda
Opis: u načinu na koji WebKit obrađuje klizne trake postoji problem s korištenjem nakon oslobađanja. Pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda. Problem se rješava poboljšanim upravljanjem memorijom. Na prijavi problema zahvaljujemo korisniku thabermann.
FaceTime nije dostupan u svim državama ili regijama.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.