O sigurnosnom sadržaju sustava iOS 4.1 za iPhone i iPod touch

Ovaj dokument opisuje sigurnosni sadržaj sustava iOS 4.1 za uređaje iPhone i iPod touch.

Radi zaštite svojih klijenata Apple ne otkriva sigurnosne probleme, ne razgovara o njima niti ih potvrđuje do dovršetka cjelovite istrage te objavljivanja potrebnih zakrpa i izdanja. Da biste doznali više o sigurnosti Appleovih proizvoda, idite na web-mjesto Sigurnost Appleovih proizvoda.

Informacije o PGP ključu za zaštitu Appleovih proizvoda potražite u članku "Korištenje PGP ključa za zaštitu Appleovih proizvoda".

Kad je moguće, slabe točke označene su CVE ID-ovima pomoću kojih je moguće pronaći dodatne informacije.

Da biste doznali više o sigurnosnim ažuriranjima, pročitajte članak "Appleova sigurnosna ažuriranja".

iOS 4.1 za iPhone i iPod touch

  • Pristupačnost

    CVE-ID: CVE-2010-1809

    Dostupno za verzije: od iOS 3.0 do 4.0.2 za iPhone 3GS i novije, od iOS 3.0 do 4.0.2 za iPod touch (treće generacije)

    Učinak: upotreba lokacijskih usluga aplikacije možda neće biti objavljena putem značajke VoiceOver

    Opis: u ploči s postavkama lokacijskih usluga postoji problem s pristupačnošću korisničkom sučelju. VoiceOver ne objavljuje prisutnost ikone lokacijskih usluga koja se prikazuje uz aplikaciju koja je zatražila lokaciju korisnika u zadnja 24 sata. Problem je riješen tako što VoiceOver sada objavljuje prisutnost ikone. Na prijavi problema zahvaljujemo Robinu Kippu iz tvrtke Forever Living Product Europe.

  • FaceTime

    CVE-ID: CVE-2010-1810

    Dostupno za verzije: od iOS 2.0 do 4.0.2 za iPhone 3G i novije, od iOS 2.1 do 4.0.2 za iPod touch (druge generacije) i novije

    Učinak: napadač s mrežnim ovlastima može preusmjeriti FaceTime pozive

    Opis: problem s obradom nevažećih certifikata može dopustiti napadaču s mrežnim ovlastima preusmjeravanje FaceTime poziva. Problem se rješava poboljšanom obradom certifikata. Na prijavi problema zahvaljujemo Aaronu Sigelu s portala vtty.com.

  • ImageIO

    CVE-ID: CVE-2010-1811

    Dostupno za verzije: od iOS 2.0 do 4.0.2 za iPhone 3G i novije, od iOS 2.1 do 4.0.2 za iPod touch (druge generacije) i novije

    Učinak: pokretanje zlonamjerne TIFF datoteke mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda

    Opis: prilikom rukovanja TIFF datotekama pojavio se problem s oštećenjem memorije. Pokretanje zlonamjerne TIFF datoteke mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda. Problem se rješava poboljšanom obradom TIFF datoteka. Prijavio: Apple.

  • ImageIO

    CVE-ID: CVE-2010-1817

    Dostupno za verzije: od iOS 2.0 do 4.0.2 za iPhone 3G i novije, od iOS 2.1 do 4.0.2 za iPod touch (druge generacije) i novije

    Učinak: pokretanje zlonamjerne GIF datoteke mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda

    Opis: prilikom obrade GIF datoteka otkriveno je prekoračenje međuspremnika. Pokretanje zlonamjerne GIF datoteke mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda. Problem se rješava poboljšanom provjerom ograničenja. Na prijavi problema zahvaljujemo Tomu Ferrisu iz tima Adobe PSIRT.

  • WebKit

    CVE-ID: CVE-2010-1786

    Dostupno za verzije: od iOS 2.0 do 4.0.2 za iPhone 3G i novije, od iOS 2.1 do 4.0.2 za iPod touch (druge generacije) i novije

    Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda

    Opis: u načinu na koji WebKit obrađuje elemente "foreignObject" u SVG dokumentima postoji problem s korištenjem nakon oslobađanja. Pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda. Problem se rješava dodatnom provjerom valjanosti SVG dokumenata. Na prijavi problema zahvaljujemo korisniku wushi iz grupe team509, koja radi na inicijativi Zero Day Initiative tvrtke TippingPoint.

  • WebKit

    CVE-ID: CVE-2010-1770

    Dostupno za verzije: od iOS 2.0 do 4.0.2 za iPhone 3G i novije, od iOS 2.1 do 4.0.2 za iPod touch (druge generacije) i novije

    Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivani prekid aplikacije ili izvršavanje arbitrarnog koda

    Opis: u načinu na koji WebKit obrađuje tekstne čvorove postoji problem s provjerom vrste. Pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda. Problem se rješava poboljšanom provjerom vrste. Na prijavi problema zahvaljujemo korisniku wushi iz grupe team509, koja radi na inicijativi Zero Day Initiative tvrtke TippingPoint.

  • WebKit

    CVE-ID: CVE-2010-1785

    Dostupno za verzije: od iOS 2.0 do 4.0.2 za iPhone 3G i novije, od iOS 2.1 do 4.0.2 za iPod touch (druge generacije) i novije

    Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda

    Opis: u načinu na koji WebKit obrađuje pseudoelemente ":first-letter" i "first-line" u SVG tekstnim elementima došlo je do problema s pristupom neinicijaliziranoj memoriji. Pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda. Problem se rješava izbjegavanjem renderiranja pseudoelemenata ":first-letter" ili ":first-line" u tekstnim SVG elementima. Na prijavi problema zahvaljujemo korisniku wushi iz grupe team509, koja radi na inicijativi Zero Day Initiative tvrtke TippingPoint.

  • WebKit

    CVE-ID: CVE-2010-1780

    Dostupno za verzije: od iOS 2.0 do 4.0.2 za iPhone 3G i novije, od iOS 2.1 do 4.0.2 za iPod touch (druge generacije) i novije

    Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda

    Opis: u načinu na koji WebKit obrađuje fokus elemenata postoji problem s korištenjem nakon oslobađanja. Pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda. Problem se rješava poboljšanom obradom fokusiranja elemenata. Na prijavi problema zahvaljujemo Tonyju Changu iz tvrtke Google Inc.

  • WebKit

    CVE-ID: CVE-2010-1793

    Dostupno za verzije: od iOS 2.0 do 4.0.2 za iPhone 3G i novije, od iOS 2.1 do 4.0.2 za iPod touch (druge generacije) i novije

    Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda

    Opis: u načinu na koji WebKit obrađuje elemente "font-face" i "use" u SVG dokumentima postoji problem s korištenjem nakon oslobađanja. Pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda. Problem se rješava boljom obradom elemenata "font-face" i "use" u SVG dokumentima. Na prijavi zahvaljujemo Akiju Helinu iz tvrtke OUSPG.

  • WebKit

    CVE-ID: CVE-2010-1421

    Dostupno za verzije: od iOS 2.0 do 4.0.2 za iPhone 3G i novije, od iOS 2.1 do 4.0.2 za iPod touch (druge generacije) i novije

    Učinak: pristup zlonamjernom web-mjestu može promijeniti sadržaj međuspremnika

    Opis: u implementaciji JavaScript funkcije ExecCommand postoji problem s oblikovanjem. Pristup zlonamjernom web-mjestu može promijeniti sadržaj međuspremnika bez interakcije korisnika. Problem se rješava dopuštanjem izvođenja naredbi međuspremnika ako ih pokreće korisnik. Prijavio: Apple.

  • WebKit

    CVE-ID: CVE-2010-1422

    Dostupno za verzije: od iOS 2.0 do 4.0.2 za iPhone 3G i novije, od iOS 2.1 do 4.0.2 za iPod touch (druge generacije) i novije

    Učinak: interakcija sa zlonamjernim web-mjestom mogao je uzrokovati neočekivane akcije na ostalim stranicama

    Opis: u načinu na koji WebKit obrađuje fokus tipkovnice postoji problem s implementacijom. Ako se prilikom obrade pritiska na tipke promijeni fokus tipkovnice, WebKit može isporučiti događaj u novofokusirani kadar umjesto u kadar u kojem je bio fokus kad je tipka bila pritisnuta. Zlonamjerno web-mjesto može manipulirati korisnikom da izvrši neočekivane radnje, primjerice da započne kupnju. Problem se rješava onemogućavanjem isporuke događaja pritiska na tipke ako tijekom obrade dođe do promjene fokusa tipkovnice. Na prijavi problema zahvaljujemo Michalu Zalewskom iz tvrtke Google, Inc.

  • WebKit

    CVE-ID: CVE-2010-1771

    Dostupno za verzije: od iOS 2.0 do 4.0.2 za iPhone 3G i novije, od iOS 2.1 do 4.0.2 za iPod touch (druge generacije) i novije

    Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda

    Opis: u načinu na koji WebKit obrađuje fontove postoji problem s korištenjem nakon oslobađanja. Pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda. Problem se rješava poboljšanom obradom fontova. Prijavio: Apple.

  • WebKit

    CVE-ID: CVE-2010-1783

    Dostupno za verzije: od iOS 2.0 do 4.0.2 za iPhone 3G i novije, od iOS 2.1 do 4.0.2 za iPod touch (druge generacije) i novije

    Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda

    Opis: u načinu na koji WebKit obrađuje dinamične modifikacije tekstnih čvorova postoji problem s oštećenjem memorije. Pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda. Problem se rješava poboljšanim upravljanjem memorijom.

  • WebKit

    CVE-ID: CVE-2010-1764

    Dostupno za verzije: od iOS 2.0 do 4.0.2 za iPhone 3G i novije, od iOS 2.1 do 4.0.2 za iPod touch (druge generacije) i novije

    Učinak: pristup zlonamjernom web-mjestu koje preusmjerava slanje obrazaca može dovesti do otkrivanja podataka.

    Opis: u načinu na koji WebKit obrađuje HTTP preusmjeravanja postoji problem s oblikovanjem. Kada je slanje obrasca preusmjereno na web-mjesto koje također obavlja preusmjeravanje, podaci sadržani na tom obrascu mogu biti poslani na treće web-mjesto. Problem se rješava poboljšanom obradom HTTP preusmjeravanja. Na prijavi problema zahvaljujemo Marcu Worrellu iz tvrtke WhatWebWhat.

  • WebKit

    CVE-ID: CVE-2010-1782

    Dostupno za verzije: od iOS 2.0 do 4.0.2 za iPhone 3G i novije, od iOS 2.1 do 4.0.2 za iPod touch (druge generacije) i novije

    Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda

    Opis: u načinu na koji WebKit renderira fiksne elemente došlo je do oštećenja memorije. Pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda. Problem se rješava poboljšanom provjerom ograničenja. Na prijavi problema zahvaljujemo korisniku wushi iz grupe team509.

  • WebKit

    CVE-ID: CVE-2010-1781

    Dostupno za verzije: od iOS 2.0 do 4.0.2 za iPhone 3G i novije, od iOS 2.1 do 4.0.2 za iPod touch (druge generacije) i novije

    Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda

    Opis: u načinu na koji WebKit renderira fiksne elemente postoji problem s dvostrukim oslobađanjem. Pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda. Problem se rješava poboljšanim upravljanjem memorijom. Na prijavi problema zahvaljujemo Jamesu Robinsonu iz tvrtke Google, Inc.

  • WebKit

    CVE-ID: CVE-2010-1784

    Dostupno za verzije: od iOS 2.0 do 4.0.2 za iPhone 3G i novije, od iOS 2.1 do 4.0.2 za iPod touch (druge generacije) i novije

    Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda

    Opis: u načinu na koji WebKit obrađuje CSS brojače postoji problem s oštećenjem memorije. Pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda. Problem se rješava poboljšanim upravljanjem memorijom. Na prijavi problema zahvaljujemo korisniku wushi iz grupe team509, koja radi na inicijativi Zero Day Initiative tvrtke TippingPoint.

  • WebKit

    CVE-ID: CVE-2010-1787

    Dostupno za verzije: od iOS 2.0 do 4.0.2 za iPhone 3G i novije, od iOS 2.1 do 4.0.2 za iPod touch (druge generacije) i novije

    Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda

    Opis: u načinu na koji WebKit obrađuje plutajuće elemente u SVG dokumentima došlo je do problema s oštećenjem memorije. Pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda. Problem se rješava poboljšanim upravljanjem memorijom.

  • WebKit

    CVE-ID: CVE-2010-1791

    Dostupno za verzije: od iOS 2.0 do 4.0.2 za iPhone 3G i novije, od iOS 2.1 do 4.0.2 za iPod touch (druge generacije) i novije

    Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda

    Opis: u načinu na koji WebKit obrađuje JavaScript raspone postoji problem s predznakom brojeva. Pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda. Problem se rješava poboljšanim upravljanjem indeksima JavaScript raspona. Na prijavi problema zahvaljujemo Natalie Silvanovich.

  • WebKit

    CVE-ID: CVE-2010-1788

    Dostupno za verzije: od iOS 2.0 do 4.0.2 za iPhone 3G i novije, od iOS 2.1 do 4.0.2 za iPod touch (druge generacije) i novije

    Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda

    Opis: u načinu na koji WebKit obrađuje element "use" u SVG dokumentima postoji problem s oštećenjem memorije. Pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda. Problem se rješava poboljšanom obradom elemenata "use" u SVG dokumentima. Na prijavi problema zahvaljujemo Justinu Schuhu iz tvrtke Google, Inc.

  • WebKit

    CVE-ID: CVE-2010-1812

    Dostupno za verzije: od iOS 2.0 do 4.0.2 za iPhone 3G i novije, od iOS 2.1 do 4.0.2 za iPod touch (druge generacije) i novije

    Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda

    Opis: u načinu na koji WebKit obrađuje odabire postoji problem s korištenjem nakon oslobađanja. Pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda. Problem se rješava poboljšanom obradom odabira. Na prijavi problema zahvaljujemo korisniku chipplyman.

  • WebKit

    CVE-ID: CVE-2010-1813

    Dostupno za verzije: od iOS 2.0 do 4.0.2 za iPhone 3G i novije, od iOS 2.1 do 4.0.2 za iPod touch (druge generacije) i novije

    Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda

    Opis: u načinu na koji WebKit renderira skice HTML objekata došlo je do oštećenja memorije. Pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda. Problem se rješava poboljšanim upravljanjem memorijom. Na prijavi problema zahvaljujemo Joseu A. Vasquezu sa stranice spa-s3c.blogspot.com

  • WebKit

    CVE-ID: CVE-2010-1814

    Dostupno za verzije: od iOS 2.0 do 4.0.2 za iPhone 3G i novije, od iOS 2.1 do 4.0.2 za iPod touch (druge generacije) i novije

    Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivani prekid aplikacije ili izvršavanje arbitrarnog koda

    Opis: u načinu na koji WebKit obrađuje izbornike obrasca postoji problem s oštećenjem memorije. Pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda. Problem se rješava poboljšanim upravljanjem izbornika obrasca. Na prijavi problema zahvaljujemo Csabu Osztrogoncu sa sveučilišta Szeget.

  • WebKit

    CVE-ID: CVE-2010-1815

    Dostupno za verzije: od iOS 2.0 do 4.0.2 za iPhone 3G i novije, od iOS 2.1 do 4.0.2 za iPod touch (druge generacije) i novije

    Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda

    Opis: u načinu na koji WebKit obrađuje klizne trake postoji problem s korištenjem nakon oslobađanja. Pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda. Problem se rješava poboljšanim upravljanjem memorijom. Na prijavi problema zahvaljujemo korisniku thabermann.

FaceTime nije dostupan u svim državama ili regijama.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: