Informacije o sigurnosnom sadržaju sustava iOS 4.2

U dokumentu se opisuje sigurnosni sadržaj sustava iOS 4.2, koji se može preuzeti i instalirati pomoću programa iTunes.

U dokumentu se opisuje sigurnosni sadržaj sustava iOS 4.2, koji se može preuzeti i instalirati pomoću programa iTunes.

Radi zaštite svojih klijenata Apple ne otkriva sigurnosne probleme, ne razgovara o njima niti ih potvrđuje do dovršetka cjelovite istrage te objavljivanja potrebnih zakrpa i izdanja. Da biste doznali više o sigurnosti Appleovih proizvoda, idite na web-mjesto Sigurnost Appleovih proizvoda.

Informacije o PGP ključu za zaštitu Appleovih proizvoda potražite u članku "Korištenje PGP ključa za zaštitu Appleovih proizvoda".

Kada je moguće, slabe točke označene su CVE ID-ovima pomoću kojih je moguće pronaći dodatne informacije.

Da biste doznali više o sigurnosnim ažuriranjima, pročitajte članak "Appleova sigurnosna ažuriranja".

iOS 4.2

  • Konfiguracijski profili

    CVE-ID: CVE-2010-3827

    Dostupno za verzije: od iOS 2.0 do 4.1 za iPhone 3G i novije, od iOS 2.1 do 4.1 za iPod touch (druge generacije) i novije, od iOS 3.2 do 3.2.2 za iPad

    Učinak: korisnika je moguće zavarati da instalira zlonamjerno sastavljen konfiguracijski profil

    Opis: u obradi konfiguracijskih problema postoji problem s provjerom valjanosti potpisa. Zlonamjerno sastavljen konfiguracijski profil može u uslužnom programu za instalaciju konfiguracije izgledati kao da ima valjani potpis. Problem se rješava poboljšanom provjerom valjanosti potpisa profila. Na prijavi problema zahvaljujemo Barryju Simpsonu iz tvrtke Bomgar Corporation.

  • Jezgrena grafika

    CVE-ID: CVE-2010-2805, CVE-2010-2806, CVE-2010-2807, CVE-2010-2808, CVE-2010-3053, CVE-2010-3054

    Dostupno za verzije: od iOS 2.0 do 4.1 za iPhone 3G i novije, od iOS 2.1 do 4.1 za iPod touch (druge generacije) i novije, od iOS 3.2 do 3.2.2 za iPad

    Učinak: više slabih točaka u komponenti FreeType 2.4.1

    Opis: u komponenti FreeType 2.4.1 postoji više slabih točaka, a najopasnija od njih mogla bi dopustiti arbitrarno izvršavanje kodova prilikom obrade zlonamjerno sastavljenog fonta. Problemi se otklanjaju ažuriranjem komponente FreeType na verziju 2.4.2. Dodatne informacije dostupne su na web-mjestu komponente FreeType na adresi http://www.freetype.org/

  • FreeType

    CVE-ID: CVE-2010-3814

    Dostupno za verzije: od iOS 2.0 do 4.1 za iPhone 3G i novije, od iOS 2.1 do 4.1 za iPod touch (druge generacije) i novije, od iOS 3.2 do 3.2.2 za iPad

    Učinak: prikazom PDF dokumenta sa zlonamjerno sastavljenim ugrađenim fontovima moguće je dopustiti arbitrarno izvršavanje kodova

    Opis: u načinu na koji FreeType obrađuje operacijske kodove za TrueType dolazi do prekoračenja veličine međumemorije u skupovima. Prikazom PDF dokumenta sa zlonamjerno sastavljenim ugrađenim fontovima može doći do neočekivanog zatvaranja aplikacije ili arbitrarnog izvršavanja kodova. Ažuriranjem se problem otklanja zahvaljujući poboljšanoj provjeri ograničenja.

  • Prikaz sadržaja s platforme iAd

    CVE-ID: CVE-2010-3828

    Dostupno za verzije: od iOS 2.0 do 4.1 za iPhone 3G i novije, od iOS 2.1 do 4.1 za iPod touch (druge generacije) i novije, od iOS 3.2 do 3.2.2 za iPad

    Učinak: napadač s mrežnim ovlastima može inicirati uspostavljanje poziva

    Opis: u prikazu sadržaja s platforme iAd postoji problem s obradom URL-ova. Aplikacija iAd traži se automatski ili na temelju korisnikove konkretne akcije. Ubacivanjem u sadržaj zatraženog oglasa vezu koja sadrži URL shemu koja služi za upućivanje poziva, napadač s mrežnim ovlastima može inicirati uspostavu poziva. Problem se rješava tako da se korisniku prije uspostave poziva putem veze postavlja upit. Na prijavi problema zahvaljujemo Aaronu Sigelu s portala vtty.com.

  • ImageIO

    CVE-ID: CVE-2010-2249, CVE-2010-1205

    Dostupno za verzije: od iOS 2.0 do 4.1 za iPhone 3G i novije, od iOS 2.1 do 4.1 za iPod touch (druge generacije) i novije, od iOS 3.2 do 3.2.2 za iPad

    Učinak: više slabih točaka u komponenti libpng

    Opis: libpng je ažuriran na verziju 1.4.3 radi otklanjanja većeg broja slabih točaka, a najozbiljnija od njih može uzrokovati arbitrarno izvršavanje kodova. Dodatne informacije dostupne su na web-mjestu komponente libpng na adresi http://www.libpng.org/pub/png/libpng.html

  • libxml

    CVE-ID: CVE-2010-4008

    Dostupno za verzije: od iOS 2.0 do 4.1 za iPhone 3G i novije, od iOS 2.1 do 4.1 za iPod touch (druge generacije) i novije, od iOS 3.2 do 3.2.2 za iPad

    Učinak: pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda

    Opis: u načinu obrade elementa xpath komponente libxml postoji problem s oštećenjem memorije. Pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda. Problem se rješava poboljšanom obradom elemenata xpath. Na prijavi problema zahvaljujemo Buiju Quangu Minhu iz tvrtke Bkis (www.bkis.com).

  • Mail

    CVE-ID: CVE-2010-3829

    Dostupno za verzije: od iOS 2.0 do 4.1 za iPhone 3G i novije, od iOS 2.1 do 4.1 za iPod touch (druge generacije) i novije, od iOS 3.2 do 3.2.2 za iPad

    Učinak: kad je onemogućeno učitavanje udaljenih slika, aplikacija Mail može razrješavati nazive DNS-a

    Opis: kad WebKit naiđe na HTML element veze koji traži preddohvaćanje DNS-a, akciju preddohvaćanja izvršit će i kad je učitavanje udaljenih slika onemogućeno. Time se može uzrokovati slanje neželjenih zahtjeva udaljenim poslužiteljima. Pošiljatelj e-mail poruke formatirane kao HTML može to iskoristiti za utvrđivanje je li poruka pogledana. Problem se rješava onemogućivanjem preddohvaćanja DNS-a kad je onemogućeno učitavanje udaljenih slika. Na prijavi problema zahvaljujemo Mikeu Cardwellu iz tvrtke Cardwell IT Ltd.

  • Umrežavanje

    CVE-ID: CVE-2010-1843

    Dostupan za: verzije iOS 4.0 do 4.1 za iPhone 3GS i novije, od iOS 4.0 do 4.1 za iPod touch (treće generacije), od iOS 3.2 do 3.2.2 za iPad

    Učinak: udaljeni napadač može uzrokovati neočekivano isključivanje sustava

    Opis: u obradi PIM (Protocol Independent Multicast) paketa postoji problem s određivanjem lokacije pokazivača vrijednosti null. Slanjem zlonamjernog PIM paketa udaljeni napadač može uzrokovati neočekivano isključivanje sustava. Problem se rješava poboljšanom provjerom valjanosti PIM paketa. Na prijavi problema zahvaljujemo anonimnom istraživaču iz inicijative Zero Day Initiative tvrtke TippingPoint. Problem ne utječe na uređaje s verzijom iOS sustava starijom od 3.2.

  • Umrežavanje

    CVE-ID: CVE-2010-3830

    Dostupno za verzije: od iOS 2.0 do 4.1 za iPhone 3G i novije, od iOS 2.1 do 4.1 za iPod touch (druge generacije) i novije, od iOS 3.2 do 3.2.2 za iPad

    Učinak: zlonamjerni kod može pribaviti sistemske ovlasti

    Opis: prilikom obrade pravila filtriranja paketa u umrežavanju postoji referenca pokazivača koja nije valjana. To može zlonamjernom kodu pokrenutom u korisnikovoj sesiji omogućiti pribavljanje sistemskih ovlasti. Problem se rješava poboljšanom obradom pravila filtriranja paketa.

  • OfficeImport

    • CVE-ID: CVE-2010-3786

    • Dostupno za verzije od iOS 3.2 do 3.2.2 za iPad

    • Učinak: gledanje zlonamjerne Excel datoteke može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda

    • Opis: postoji problem s oštećenjem memorije u načinu na koji OfficeImport obrađuje datoteke programa Excel. Gledanje zlonamjerne datoteke programa Excel može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda. Problem se rješava poboljšanom provjerom ograničenja. Na iPhone uređajima problem je riješen sa sustavom iOS 4. Na prijavi problema zahvaljujemo Tobiasu Kleinu iz tvrtke VeriSign iDefense Labs.

  • Zaključavanje lozinkom

    CVE-ID: CVE-2010-4012

    Dostupno za verzije od iOS 4.0 do 4.1 za iPhone 3G i novije

    Učinak: osoba s fizičkim pristupom uređaju može pristupiti korisnikovim podacima

    Opis: u rukovanju pozivima u hitnim slučajevima postoji problem s uvjetom nadvladavanja. Ako osoba nedugo nakon upućivanja poziva sa zaslona za hitni poziv pritisne tipku za mirovanje/aktivaciju, može zaobići zaključavanje lozinkom. Problem se rješava poboljšanom provjerom zaključanog stanja.

  • Fotografije

    CVE-ID: CVE-2010-3831

    Dostupno za verzije: od iOS 2.0 do 4.1 za iPhone 3G i novije, od iOS 2.1 do 4.1 za iPod touch (druge generacije) i novije, od iOS 3.2 do 3.2.2 za iPad

    Učinak: naredbom Pošalji u MobileMe može se otkriti lozinka računa za MobileMe

    Opis: aplikacija Foto korisnicima omogućuje da na razne načine dijele slike i filmove. Jedan je od tih načina gumb Pošalji u MobileMe, kojim se odabrani sadržaj prenosi u korisnikovu MobileMe galeriju. Ako poslužitelj ne ponudi nijedan drugi mehanizam za provjeru autentičnosti, aplikacija Foto koristit će provjeru autentičnosti putem osnovnog HTTP-a. Napadač s mrežnim ovlastima mogao bi izmijeniti odgovor MobileMe galerije tako da zatraži osnovnu provjeru autentičnosti, čime je moguće otkrivanje lozinke računa za MobileMe. Problem je riješen tako što je onemogućena podrška za osnovnu provjeru autentičnosti. Na prijavi problema zahvaljujemo Aaronu Sigelu s portala vtty.com.

  • Safari

    CVE-ID: CVE-2009-1707

    Dostupno za verzije: od iOS 2.0 do 4.1 za iPhone 3G i novije, od iOS 2.1 do 4.1 za iPod touch (druge generacije) i novije, od iOS 3.2 do 3.2.2 za iPad

    Učinak: resetiranjem preglednika Safari lozinke za web-mjesta možda se neće odmah ukloniti iz memorije

    Opis: kad kliknete gumb "Resetiraj" u odjeljku "Resetiraj spremljena imena i lozinke" u opcijama izbornika "Resetiranje preglednika Safari...", pregledniku Safari za čišćenje lozinki može biti potrebno do 30 sekundi. Korisnik koji u tom vremenskom razdoblju ima pristup uređaju može pristupiti pohranjenim vjerodajnicama. Problem je riješen otklanjanjem uvjeta nadjačavanja koji uzrokuje kašnjenje. Na prijavi problema zahvaljujemo Philippeu Couturieru s portala izypage.com i Andrewu Wellingtonu s Australskog nacionalnog sveučilišta.

  • Telefonija

    CVE-ID: CVE-2010-3832

    Dostupno za verzije: od iOS 2.0 do 4.1 za iPhone 3G i novije, od iOS 3.2 do 3.2.2 za iPad

    Učinak: udaljeni napadač može uzrokovati arbitrarno izvršavanje koda

    Opis: prilikom rukovanja TMSI (Temporary Mobile Subrscriber Identity) poljima u upravljanju GSM mobilnošću dolazi do prekoračenja veličine međumemorije u skupovima. To može udaljenom napadaču omogućiti arbitrarno izvršavanje kodova na procesoru osnovnog frekvencijskog pojasa. Problem se rješava poboljšanom provjerom ograničenja. Na prijavi problema zahvaljujemo Ralfu-Philippu Weinmannu sa Sveučilišta u Luksemburgu.

  • WebKit

    CVE-ID: CVE-2010-3803

    Dostupno za verzije: od iOS 2.0 do 4.1 za iPhone 3G i novije, od iOS 2.1 do 4.1 za iPod touch (druge generacije) i novije, od iOS 3.2 do 3.2.2 za iPad

    Učinak: pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda

    Opis: u načinu na koji WebKit obrađuje nizove dolazi do prekoračenja cijelih brojeva. Pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda. Problem se rješava poboljšanom provjerom ograničenja. Na prijavi problema zahvaljujemo korisniku J23.

  • WebKit

    CVE-ID: CVE-2010-3824

    Dostupno za verzije: od iOS 2.0 do 4.1 za iPhone 3G i novije, od iOS 2.1 do 4.1 za iPod touch (druge generacije) i novije, od iOS 3.2 do 3.2.2 za iPad

    Učinak: pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda

    Opis: u načinu na koji WebKit obrađuje elemente za "korištenje" u SVG dokumentima postoji problem s korištenjem nakon oslobađanja. Pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda. Problem se rješava poboljšanim upravljanjem memorijom. Na prijavi problema zahvaljujemo korisniku wushi iz grupe team509.

  • WebKit

    CVE-ID: CVE-2010-3816

    Dostupno za verzije: od iOS 2.0 do 4.1 za iPhone 3G i novije, od iOS 2.1 do 4.1 za iPod touch (druge generacije) i novije, od iOS 3.2 do 3.2.2 za iPad

    Učinak: pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda

    Opis: u načinu na koji WebKit obrađuje klizne trake postoji problem s korištenjem nakon oslobađanja. Pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda. Problem se rješava poboljšanim upravljanjem memorijom. Na prijavi problema zahvaljujemo Rohitu Makasani iz tvrtke Google Inc.

  • WebKit

    CVE-ID: CVE-2010-3809

    Dostupno za verzije: od iOS 2.0 do 4.1 za iPhone 3G i novije, od iOS 2.1 do 4.1 za iPod touch (druge generacije) i novije, od iOS 3.2 do 3.2.2 za iPad

    Učinak: pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda

    Opis: u načinu na koji WebKit obrađuje stilove s umetanjem u redak postoji problem s neodgovarajućom promjenom vrste. Pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda. Problem se rješava poboljšanom obradom stilova s umetanjem u redak. Na prijavi problema zahvaljujemo Abhisheku Aryi (Inferno) iz Googleova tima za sigurnost Chromea.

  • WebKit

    CVE-ID: CVE-2010-3810

    Dostupno za verzije: od iOS 2.0 do 4.1 za iPhone 3G i novije, od iOS 2.1 do 4.1 za iPod touch (druge generacije) i novije, od iOS 3.2 do 3.2.2 za iPad

    Učinak: zlonamjerno web-mjesto može lažirati adresu na traci lokacije ili u povijest dodati arbitrarne lokacije

    Opis: u načinu na koji WebKit obrađuje objekt povijesti postoji problem s resursima iz više izvora. Zlonamjerno web-mjesto može lažirati adresu na traci lokacije ili u povijest dodati arbitrarne lokacije. Problem se rješava poboljšanim praćenjem sigurnosnih izvora. Na prijavi problema zahvaljujemo Mikeu Tayloru iz tvrtke Opera Software.

  • WebKit

    CVE-ID: CVE-2010-3805

    Dostupno za verzije: od iOS 2.0 do 4.1 za iPhone 3G i novije, od iOS 2.1 do 4.1 za iPod touch (druge generacije) i novije, od iOS 3.2 do 3.2.2 za iPad

    Učinak: pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda

    Opis: u načinu na koji WebKit obrađuje web-priključke dolazi do prekoračenja cijelih brojeva. Pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda. Problem se rješava poboljšanom provjerom ograničenja. Na prijavi problema zahvaljujemo Keithu Campbellu i Crisu Neckaru iz Googleova tima za sigurnost Chromea.

  • WebKit

    CVE-ID: CVE-2010-3823

    Dostupno za verzije: od iOS 2.0 do 4.1 za iPhone 3G i novije, od iOS 2.1 do 4.1 za iPod touch (druge generacije) i novije, od iOS 3.2 do 3.2.2 za iPad

    Učinak: pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda

    Opis: u načinu na koji WebKit obrađuje objekte geolokacije postoji problem s korištenjem nakon oslobađanja. Pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda. Problem se rješava poboljšanim upravljanjem memorijom. Na prijavi problema zahvaljujemo korisniku kuzzcc.

  • WebKit

    CVE-ID: CVE-2010-3116

    Dostupno za verzije: od iOS 2.0 do 4.1 za iPhone 3G i novije, od iOS 2.1 do 4.1 za iPod touch (druge generacije) i novije, od iOS 3.2 do 3.2.2 za iPad

    Učinak: pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda

    Opis: u načinu na koji WebKit obrađuje dodatke postoji više problema s korištenjem nakon oslobađanja. Pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda. Problemi se rješavaju poboljšanim rukovanjem memorijom.

  • WebKit

    CVE-ID: CVE-2010-3812

    Dostupno za verzije: od iOS 2.0 do 4.1 za iPhone 3G i novije, od iOS 2.1 do 4.1 za iPod touch (druge generacije) i novije, od iOS 3.2 do 3.2.2 za iPad

    Učinak: pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda

    Opis: u načinu na koji WebKit obrađuje tekstne objekte dolazi do prekoračenja cijelih brojeva. Pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda. Problem se rješava poboljšanom provjerom ograničenja. Na prijavi problema zahvaljujemo korisniku J23 iz inicijative Zero Day Initiative tvrtke TippingPoint.

  • WebKit

    CVE-ID: CVE-2010-3808

    Dostupno za verzije: od iOS 2.0 do 4.1 za iPhone 3G i novije, od iOS 2.1 do 4.1 za iPod touch (druge generacije) i novije, od iOS 3.2 do 3.2.2 za iPad

    Učinak: pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda

    Opis: u načinu na koji WebKit obrađuje naredbe uređivanja postoji problem s neodgovarajućom promjenom vrste. Pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda. Problem se rješava poboljšanom obradom stilova naredbi uređivanja. Na prijavi problema zahvaljujemo korisniku wushi iz grupe team509.

  • WebKit

    CVE-ID: CVE-2010-3259

    Dostupno za verzije: od iOS 2.0 do 4.1 za iPhone 3G i novije, od iOS 2.1 do 4.1 za iPod touch (druge generacije) i novije, od iOS 3.2 do 3.2.2 za iPad

    Učinak: pristup zlonamjernom web-mjestu može uzrokovati otkrivanje slikovnih podataka s drugog web-mjesta

    Opis: u načinu na koji WebKit obrađuje slike izrađene od elemenata "platna" postoji problem s resursima iz više izvora. Pristup zlonamjernom web-mjestu može uzrokovati otkrivanje slikovnih podataka s drugog web-mjesta. Problem se rješava poboljšanim praćenjem sigurnosnih izvora. Na prijavi problema zahvaljujemo Isaacu Dawsonu i Jamesu Qiuu iz Microsofta i Microsoftova odjela za istraživanje slabih točaka (MSVR-a).

  • WebKit

    CVE-ID: CVE-2010-1822

    Dostupno za verzije: od iOS 2.0 do 4.1 za iPhone 3G i novije, od iOS 2.1 do 4.1 za iPod touch (druge generacije) i novije, od iOS 3.2 do 3.2.2 za iPad

    Učinak: pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda

    Opis: u načinu na koji WebKit obrađuje SVG elemente u dokumentima koji nisu SVG postoji problem s neodgovarajućom promjenom vrste. Pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda. Problem se rješava poboljšanom obradom SVG elemenata. Na prijavi problema zahvaljujemo korisniku wushi iz grupe team509.

  • WebKit

    CVE-ID: CVE-2010-3811

    Dostupno za verzije: od iOS 2.0 do 4.1 za iPhone 3G i novije, od iOS 2.1 do 4.1 za iPod touch (druge generacije) i novije, od iOS 3.2 do 3.2.2 za iPad

    Učinak: pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda

    Opis: u načinu na koji WebKit obrađuje atribute elemenata postoji problem s korištenjem nakon oslobađanja. Pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda. Problem se rješava poboljšanim upravljanjem memorijom. Na prijavi problema zahvaljujemo Michalu Zalewskiju.

  • WebKit

    CVE-ID: CVE-2010-3817

    Dostupno za verzije: od iOS 2.0 do 4.1 za iPhone 3G i novije, od iOS 2.1 do 4.1 za iPod touch (druge generacije) i novije, od iOS 3.2 do 3.2.2 za iPad

    Učinak: pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda

    Opis: u načinu na koji WebKit obrađuje 3D transformacije u CSS-u postoji problem s neodgovarajućom promjenom vrste. Pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda. Problem se rješava poboljšanom obradom 3D transformacija u CSS-u. Na prijavi problema zahvaljujemo Abhisheku Aryi (Inferno) iz Googleova tima za sigurnost Chromea.

  • WebKit

    CVE-ID: CVE-2010-3818

    Dostupno za verzije: od iOS 2.0 do 4.1 za iPhone 3G i novije, od iOS 2.1 do 4.1 za iPod touch (druge generacije) i novije, od iOS 3.2 do 3.2.2 za iPad

    Učinak: pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda

    Opis: u načinu na koji WebKit obrađuje tekstne okvire u retku s tekstom postoji problem s korištenjem nakon oslobađanja. Pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda. Problem se rješava poboljšanim upravljanjem memorijom. Na prijavi problema zahvaljujemo Abhisheku Aryi (Inferno) iz Googleova tima za sigurnost Chromea.

  • WebKit

    CVE-ID: CVE-2010-3819

    Dostupno za verzije: od iOS 2.0 do 4.1 za iPhone 3G i novije, od iOS 2.1 do 4.1 za iPod touch (druge generacije) i novije, od iOS 3.2 do 3.2.2 za iPad

    Učinak: pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda

    Opis: u načinu na koji WebKit obrađuje CSS okvire postoji problem s neodgovarajućom promjenom vrste. Pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda. Problem se rješava poboljšanom obradom CSS okvira. Na prijavi problema zahvaljujemo Abhisheku Aryi (Inferno) iz Googleova tima za sigurnost Chromea.

  • WebKit

    CVE-ID: CVE-2010-3820

    Dostupno za verzije: od iOS 2.0 do 4.1 za iPhone 3G i novije, od iOS 2.1 do 4.1 za iPod touch (druge generacije) i novije, od iOS 3.2 do 3.2.2 za iPad

    Učinak: pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda

    Opis: u načinu na koji WebKit obrađuje elemente koje je moguće uređivati postoji problem s pristupom memoriji. Pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda. Problem se rješava poboljšanom obradom elemenata koje je moguće uređivati. Prijavio: Apple.

  • WebKit

    CVE-ID: CVE-2010-1789

    Dostupno za verzije: od iOS 2.0 do 4.1 za iPhone 3G i novije, od iOS 2.1 do 4.1 za iPod touch (druge generacije) i novije, od iOS 3.2 do 3.2.2 za iPad

    Učinak: pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda

    Opis: u načinu na koji WebKit obrađuje objekte JavaScript nizova dolazi do prekoračenja veličine međumemorije u skupovima. Pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda. Problem se rješava poboljšanom provjerom ograničenja. Prijavio: Apple.

  • WebKit

    CVE-ID: CVE-2010-1806

    Dostupno za verzije: od iOS 2.0 do 4.1 za iPhone 3G i novije, od iOS 2.1 do 4.1 za iPod touch (druge generacije) i novije, od iOS 3.2 do 3.2.2 za iPad

    Učinak: pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda

    Opis: u načinu na koji WebKit obrađuje elemente sa stilom u kojem je tekst u nastavku naslova postoji problem s korištenjem nakon oslobađanja. Pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda. Problem se rješava poboljšanom obradom pokazivača objekata. Na prijavi problema zahvaljujemo korisniku wushi iz grupe team509, koja radi na inicijativi Zero Day Initiative tvrtke TippingPoint.

  • WebKit

    CVE-ID: CVE-2010-3257

    Dostupno za verzije: od iOS 2.0 do 4.1 za iPhone 3G i novije, od iOS 2.1 do 4.1 za iPod touch (druge generacije) i novije, od iOS 3.2 do 3.2.2 za iPad

    Učinak: pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda

    Opis: u načinu na koji WebKit obrađuje fokus elemenata postoji problem s korištenjem nakon oslobađanja. Pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda. Problem se rješava poboljšanim upravljanjem memorijom. Na prijavi problema zahvaljujemo timu VUPEN za istraživanje slabih točaka.

  • WebKit

    CVE-ID: CVE-2010-3826

    Dostupno za verzije: od iOS 2.0 do 4.1 za iPhone 3G i novije, od iOS 2.1 do 4.1 za iPod touch (druge generacije) i novije, od iOS 3.2 do 3.2.2 za iPad

    Učinak: pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda

    Opis: u načinu na koji WebKit obrađuje boje u SVG dokumentima postoji problem s neodgovarajućom promjenom vrste. Pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda. Problem se rješava poboljšanom obradom boja u SVG dokumentima. Na prijavi problema zahvaljujemo Abhisheku Aryi (Inferno) iz Googleova tima za sigurnost Chromea.

  • WebKit

    CVE-ID: CVE-2010-1807

    Dostupno za verzije: od iOS 2.0 do 4.1 za iPhone 3G i novije, od iOS 2.1 do 4.1 za iPod touch (druge generacije) i novije, od iOS 3.2 do 3.2.2 za iPad

    Učinak: pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda

    Opis: u načinu na koji WebKit obrađuje vrste podataka s pomičnim zarezom postoji problem s provjerom valjanosti unosa. Pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda. Problem se rješava poboljšanom obradom vrijednosti s pomičnim zarezom. Na prijavi problema zahvaljujemo Lukeu Wagneru iz tvrtke Mozilla.

  • WebKit

    CVE-ID: CVE-2010-3821

    Dostupno za verzije: od iOS 2.0 do 4.1 za iPhone 3G i novije, od iOS 2.1 do 4.1 za iPod touch (druge generacije) i novije, od iOS 3.2 do 3.2.2 za iPad

    Učinak: pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda

    Opis: u načinu na koji WebKit obrađuje pseudoelement ":first-letter" u kaskadnim listovima stila postoji problem s oštećenjem memorije. Pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda. Problem se rješava poboljšanom obradom pseudoelementa ":first-letter". Na prijavi problema zahvaljujemo Crisu Neckaru i Abhisheku Aryi (Inferno) iz Googleova tima za sigurnost Chromea.

  • WebKit

    CVE-ID: CVE-2010-3804

    Dostupno za verzije: od iOS 2.0 do 4.1 za iPhone 3G i novije, od iOS 2.1 do 4.1 za iPod touch (druge generacije) i novije, od iOS 3.2 do 3.2.2 za iPad

    Učinak: web-mjesta mogu potajno pratiti korisnike

    Opis: Safari generira slučajne brojeve za JavaScript aplikacije koje koriste predvidljivi algoritam. To web-mjestu omogućuje da bez kolačića, skrivenih elemenata obrasca, IP adresa i drugih tehnika prati određenu sesiju u pregledniku Safari. Ažuriranjem se rješava problem jer se uvodi jači generator slučajnih brojeva. Na prijavi problema zahvaljujemo Amitu Kleinu iz tvrtke Trusteer.

  • WebKit

    CVE-ID: CVE-2010-3813

    Dostupno za verzije: od iOS 2.0 do 4.1 za iPhone 3G i novije, od iOS 2.1 do 4.1 za iPod touch (druge generacije) i novije, od iOS 3.2 do 3.2.2 za iPad

    Učinak: WebKit može obavljati preddohvaćanje DNS-a i kad je to onemogućeno

    Opis: kad naiđe na HTML element veze za koji je potrebno preddohvaćanje DNS-a, WebKit će obaviti tu operaciju i ako je preddohvaćanje onemogućeno. Time se može uzrokovati slanje neželjenih zahtjeva udaljenim poslužiteljima. Pošiljatelj e-mail poruke oblikovane kao HTML mogao bi, primjerice, to iskoristiti za utvrđivanje je li poruka pročitana. Problem se rješava poboljšanom obradom zahtjeva za preddohvaćanje DNS-a. Na prijavi problema zahvaljujemo Jeffu Johnsonu iz tvrtke Rogue Amoeba Software.

  • WebKit

    CVE-ID: CVE-2010-3822

    Dostupno za verzije: od iOS 2.0 do 4.1 za iPhone 3G i novije, od iOS 2.1 do 4.1 za iPod touch (druge generacije) i novije, od iOS 3.2 do 3.2.2 za iPad

    Učinak: pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda

    Opis: u načinu na koji WebKit obrađuje CSS stilove brojača postoji problem se neinicijaliziranim pokazivačem. Pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda. Problem se rješava poboljšanom obradom CSS stilova brojača. Na prijavi problema zahvaljujemo korisniku kuzzcc.

  • WebKit

    Dostupno za verzije: od iOS 2.0 do 4.1 za iPhone 3G i novije, od iOS 2.1 do 4.1 za iPod touch (druge generacije) i novije, od iOS 3.2 do 3.2.2 za iPad

    Učinak: zlonamjerno web-mjesto može otkriti koja je web-mjesta korisnik posjetio

    Opis: u načinu na koji WebKit obrađuje CSS pseudoklasu :visited postoji problem s dizajnom. Zlonamjerno web-mjesto moglo bi otkriti koja je web-mjesta korisnik posjetio. Ovim se ažuriranjem web-mjestima onemogućuje da stil stranica određuju na temelju toga jesu li veze posjećene.

  • Više komponenti

    CVE-ID: CVE-2010-0051, CVE-2010-0544, CVE-2010-0042, CVE-2010-1384, CVE-2010-1387, CVE-2010-1392, CVE-2010-1394, CVE-2010-1403, CVE-2010-1405, CVE-2010-1407, CVE-2010-1408, CVE-2010-1410, CVE-2010-1414, CVE-2010-1415, CVE-2010-1416, CVE-2010-1417, CVE-2010-1418, CVE-2010-1421, CVE-2010-1422, CVE-2010-1757, CVE-2010-1758, CVE-2010-1764, CVE-2010-1770, CVE-2010-1771, CVE-2010-1780, CVE-2010-1781, CVE-2010-1782, CVE-2010-1783, CVE-2010-1784, CVE-2010-1785, CVE-2010-1786, CVE-2010-1787, CVE-2010-1788, CVE-2010-1791, CVE-2010-1793, CVE-2010-1811, CVE-2010-1812, CVE-2010-1813, CVE-2010-1814, CVE-2010-1815

    Dostupno za verzije od iOS 3.2 do 3.2.2 za iPad

    Učinak: veći broj sigurnosnih popravaka u sustavu iOS za iPad

    Opis: ažuriranje obuhvaća sigurnosne popravke za iPhone i iPod touch koji su dio sustava iOS 4 i iOS 4.1.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: