Informacije o sigurnosnom sadržaju sustava iOS 4.3
U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 4.3.
U dokumentu se opisuje sigurnosni sadržaj sustava iOS 4.3, koji se može preuzeti i instalirati pomoću programa iTunes.
Radi zaštite svojih klijenata Apple ne otkriva sigurnosne probleme, ne razgovara o njima niti ih potvrđuje do dovršetka cjelovite istrage te objavljivanja potrebnih zakrpa i izdanja. Da biste doznali više o sigurnosti Appleovih proizvoda, idite na web-mjesto Sigurnost Appleovih proizvoda.
Informacije o PGP ključu za zaštitu Appleovih proizvoda potražite u članku "Korištenje PGP ključa za zaštitu Appleovih proizvoda".
Kada je moguće, slabe točke označene su CVE ID-ovima pomoću kojih je moguće pronaći dodatne informacije.
Da biste doznali više o sigurnosnim ažuriranjima, pročitajte članak "Appleova sigurnosna ažuriranja".
iOS 4.3
Jezgrena grafika
Dostupno za: iOS od 3.0 do 4.2.1 za iPhone 3GS i noviji, iOS od 3.1 do 4.2.1 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.2.1 za iPad
Učinak: više slabih točaka u komponenti FreeType
Opis: u komponenti FreeType postojalo je više slabih točaka, a najopasnija od njih mogla je dopustiti arbitrarno izvršavanje kodova prilikom obrade zlonamjerno sastavljenog fonta. Problemi se otklanjaju ažuriranjem komponente FreeType na verziju 2.4.3. Dodatne informacije dostupne su na web-mjestu komponente FreeType na adresi http://www.freetype.org/
CVE-ID
CVE-2010-3855
ImageIO
Dostupno za: iOS od 3.0 do 4.2.1 za iPhone 3GS i noviji, iOS od 3.1 do 4.2.1 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.2.1 za iPad
Učinak: prikaz zlonamjerne TIFF datoteke može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda
Opis: u načinu na koji je libTIFF obrađivao TIFF slike s JPEG kodiranjem dolazilo je do prelijevanja iz međuspremnika. Prikaz zlonamjerne TIFF datoteke može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda.
CVE-ID
CVE-2011-0191: Apple
ImageIO
Dostupno za: iOS od 3.0 do 4.2.1 za iPhone 3GS i noviji, iOS od 3.1 do 4.2.1 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.2.1 za iPad
Učinak: prikaz zlonamjerne TIFF datoteke može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda
Opis: u načinu na koji je libTIFF obrađivao TIFF slike s kodiranjem CCITT Group 4 dolazilo je do prelijevanja iz međuspremnika. Prikaz zlonamjerne TIFF datoteke može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda.
CVE-ID
CVE-2011-0192: Apple
libxml
Dostupno za: iOS od 3.0 do 4.2.1 za iPhone 3GS i noviji, iOS od 3.1 do 4.2.1 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.2.1 za iPad
Učinak: pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda
Opis: u načinu na koji je libxml obrađivao XPath izraze postojao je problem s dvostrukim oslobađanjem. Pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda.
CVE-ID
CVE-2010-4494: Yang Dingning iz NCNIPC-a, poslijediplomski studij Kineske akademije znanosti
Umrežavanje
Dostupno za: iOS od 3.0 do 4.2.1 za iPhone 3GS i noviji, iOS od 3.1 do 4.2.1 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.2.1 za iPad
Učinak: poslužitelj bi mogao prepoznati uređaj putem druge veze
Opis: kad se koristi automatska konfiguracija adrese bez stanja (SLAAC), IPv6 adresa koju uređaj odabire sadrži MAC adresu uređaja. Poslužitelj na kojem je omogućen IPv6, a uređaj s njime uspostavi vezu, može iskoristiti tu adresu za praćenje uređaja i na drugim vezama. Ovim se ažuriranjem implementira proširenje IPv6 protokola opisano u članku RFC 3041 dodavanjem privremene nasumične adrese koja se koristi prilikom izlaznih veza.
Safari
Dostupno za: iOS od 3.0 do 4.2.1 za iPhone 3GS i noviji, iOS od 3.1 do 4.2.1 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.2.1 za iPad
Učinak: posjet zlonamjernom web-mjestu mogao bi uzrokovati zatvaranje preglednika MobileSafari prilikom pokretanja
Opis: na zlonamjernom web-mjestu mogao bi se nalaziti javascript koji uzastopno pokreće neku drugu aplikaciju putem rukovatelja URL-a. Ako posjetite to web-mjesto putem preglednika MobileSafari, preglednik će se zatvoriti, a pokrenut će se ciljna aplikacija. Taj će se slijed ponavljati prilikom svakog otvaranja preglednika MobileSafari. Problem se rješava povratkom na prethodnu stranicu kad se Safari ponovno otvori nakon što je putem rukovatelja URL-a pokrenuta druga aplikacija.
CVE-ID
CVE-2011-0158: Nitesh Dhanjani iz tvrtke Ernst & Young LLP
Safari
Dostupno za: iOS od 4.0 do 4.2.1 za iPhone 3GS i noviji, iOS od 4.0 do 4.2.1 za iPod touch (treće generacije) i noviji, iOS od 4.2 do 4.2.1 za iPad
Učinak: čišćenje kolačića u postavkama preglednika Safari možda neće imati učinka
Opis: čišćenje kolačića putem postavki preglednika Safari dok je Safari pokrenut u nekim slučajevima nema učinka. Problem se rješava poboljšanom obradom kolačića. Problem ne utječe na sustave stariji od verzije iOS 4.0.
CVE-ID
CVE-2011-0159: Erik Wong iz tvrtke Google Inc.
WebKit
Dostupno za: iOS od 3.0 do 4.2.1 za iPhone 3GS i noviji, iOS od 3.1 do 4.2.1 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.2.1 za iPad
Učinak: pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda
Opis: u WebKitu postoji veći broj problema s oštećenjem memorije. Pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda.
CVE-ID
CVE-2010-1792
CVE-2010-1824: kuzzcc i wushi iz grupe team509, koja radi na inicijativi Zero Day Initiative tvrtke TippingPoint
CVE-2011-0111: Sergey Glazunov
CVE-2011-0112: Yuzo Fujishima iz tvrtke Google Inc.
CVE-2011-0113: Andreas Kling iz tvrtke Nokia
CVE-2011-0114: Chris Evans iz tima za sigurnost preglednika Google Chrome
CVE-2011-0115: J23 koji radi na inicijativi Zero Day Initiative tvrtke TippingPoint i Emil A Eklund iz tvrtke Google, Inc.
CVE-2011-0116: anonimni istraživač koji radi na inicijativi Zero Day Initiative tvrtke TippingPoint
CVE-2011-0117: Abhishek Arya (Inferno) iz tvrtke Google, Inc.
CVE-2011-0118: Abhishek Arya (Inferno) iz tvrtke Google, Inc.
CVE-2011-0119: Abhishek Arya (Inferno) iz tvrtke Google, Inc.
CVE-2011-0120: Abhishek Arya (Inferno) iz tvrtke Google, Inc.
CVE-2011-0121: Abhishek Arya (Inferno) iz tvrtke Google, Inc.
CVE-2011-0122: Slawomir Blazek
CVE-2011-0123: Abhishek Arya (Inferno) iz tvrtke Google, Inc.
CVE-2011-0124: Yuzo Fujishima iz tvrtke Google Inc.
CVE-2011-0125: Abhishek Arya (Inferno) iz tvrtke Google, Inc.
CVE-2011-0126: Mihai Parparita iz tvrtke Google, Inc.
CVE-2011-0127: Abhishek Arya (Inferno) iz tvrtke Google, Inc.
CVE-2011-0128: David Bloom
CVE-2011-0129: Famlam
CVE-2011-0130: Apple
CVE-2011-0131: wushi iz grupe team509
CVE-2011-0132: wushi iz grupe team509, koja radi na inicijativi Zero Day Initiative tvrtke TippingPoint
CVE-2011-0133: wushi iz grupe team509, koja radi na inicijativi Zero Day Initiative tvrtke TippingPoint
CVE-2011-0134: Jan Tosovsky
CVE-2011-0135: prijavila anonimna osoba
CVE-2011-0136: Sergey Glazunov
CVE-2011-0137: Sergey Glazunov
CVE-2011-0138: kuzzcc
CVE-2011-0140: Sergey Glazunov
CVE-2011-0141: Chris Rohlf iz tvrtke Matasano Security
CVE-2011-0142: Abhishek Arya (Inferno) iz tvrtke Google, Inc.
CVE-2011-0143: Slawomir Blazek i Sergey Glazunov
CVE-2011-0144: Emil A Eklund iz tvrtke Google, Inc.
CVE-2011-0145: Abhishek Arya (Inferno) iz tvrtke Google, Inc.
CVE-2011-0146: Abhishek Arya (Inferno) iz tvrtke Google, Inc.
CVE-2011-0147: Dirk Schulze
CVE-2011-0148: Michal Zalewski iz tvrtke Google, Inc.
CVE-2011-0149: wushi iz grupe team509, koja radi na inicijativi Zero Day Initiative tvrtke TippingPoint i SkyLined iz tima za sigurnost preglednika Google Chrome
CVE-2011-0150: Michael Gundlach s web-mjesta safariadblock.com
CVE-2011-0151: Abhishek Arya (Inferno) iz tvrtke Google, Inc.
CVE-2011-0152: Skylined iz tima za sigurnost preglednika Google Chrome
CVE-2011-0153: Abhishek Arya (Inferno) iz tvrtke Google, Inc.
CVE-2011-0154: anonimni istraživač koji radi na inicijativi Zero Day Initiative tvrtke TippingPoint
CVE-2011-0155: Aki Helin iz OUSPG-a
CVE-2011-0156: Abhishek Arya (Inferno) iz tvrtke Google, Inc.
CVE-2011-0157: Benoit Jacob iz tvrtke Mozilla
CVE-2011-0168: Sergey Glazunov
WebKit
Dostupno za: iOS od 3.0 do 4.2.1 za iPhone 3GS i noviji, iOS od 3.1 do 4.2.1 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.2.1 za iPad
Učinak: postoji mogućnost slučajnog otkrivanja vjerodajnica za osnovnu HTTP provjeru autentičnosti drugom web-mjestu
Opis: ako se na web-mjestu koristi osnovna HTTP provjera autentičnosti te se preusmjerava na drugo web-mjesto, tom se drugom web-mjestu mogu poslati vjerodajnice za provjeru autentičnosti. Problem se rješava poboljšanom obradom vjerodajnica.
CVE-ID
CVE-2011-0160: McIntosh Cooey iz grupe Twelve Hundred Group, Harald Hanche-Olsen, Chuck Hohn iz tvrtke 1111 Internet LLC u suradnji s CERT-om te Paul Hinze iz tvrtke Braintree
WebKit
Dostupno za: iOS od 3.0 do 4.2.1 za iPhone 3GS i noviji, iOS od 3.1 do 4.2.1 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.2.1 za iPad
Učinak: posjet zlonamjernom web-mjestu može uzrokovati objavljivanje stilova na više web-mjesta
Opis: u načinu na koji WebKit obrađuje pristupnik Attr.style postojao je problem s resursima iz više izvora. Posjet zlonamjernom web-mjestu mogao bi web-mjestu omogućiti umetanje CSS-a u druge dokumente. Problem je riješen uklanjanjem pristupnika Attr.style.
CVE-ID
CVE-2011-0161: Apple
WebKit
Dostupno za: iOS od 3.0 do 4.2.1 za iPhone 3GS i noviji, iOS od 3.1 do 4.2.1 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.2.1 za iPad
Učinak: zlonamjerno web-mjesto moglo bi drugim web-mjestima onemogućiti slanje zahtjeva za određene resurse
Opis: u načinu na koji WebKit obrađuje predmemorirane resurse postojao je problem s oštećenjem predmemorije. Zlonamjerno web-mjesto moglo bi drugim web-mjestima onemogućiti slanje zahtjeva za određene resurse. Problem se rješava poboljšanom provjerom vrste.
CVE-ID
CVE-2011-0163: Apple
Wi-Fi
Dostupno za: iOS od 3.0 do 4.2.1 za iPhone 3GS i noviji, iOS od 3.1 do 4.2.1 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.2.1 za iPad
Učinak: dok je uređaj povezan s Wi-Fi mrežom, napadač na istoj toj mreži mogao bi uzrokovati resetiranje uređaja
Opis: u načinu obrade Wi-Fi okvira postojao je problem s provjerom granica. Dok je uređaj povezan s Wi-Fi mrežom, napadač na istoj toj mreži mogao bi uzrokovati resetiranje uređaja.
CVE-ID
CVE-2011-0162: Scott Boyd iz tvrtke ePlus Technology, inc.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.