Informacije o sigurnosnom sadržaju za iPhone v2.0 i iPod touch v2.0

U ovom se dokumentu opisuje sigurnosni sadržaj za iPhone v2.0 i iPod touch v2.0.

Da bi zaštitio korisnike, Apple ne otkriva, ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i javno ne ponudi zakrpe ili nova izdanja. Da biste saznali više o sigurnosti Appleovih proizvoda, posjetite web-mjesto Sigurnost Appleovih proizvoda.

Informacije o PGP ključu za sigurnost Appleovih proizvoda potražite na web-mjestu „Upotreba PGP ključa za sigurnost Appleovih proizvoda.”

Kada je to moguće, CVE ID-jevi služe kao referenca za dodatne informacije o slabim točkama.

Da biste saznali više o ostalim sigurnosnim ažuriranjima, pogledajte „Appleova sigurnosna ažuriranja.”

iPhone v2.0 i iPod touch v2.0

  • CFNetwork

    CVE-ID: CVE-2008-0050

    Dostupno za: iPhone v1.0 do v1.1.4, iPod touch v1.1 do v1.1.4

    Učinak: zlonamjerni proxy poslužitelj može lažirati sigurna web-mjesta

    Opis: zlonamjerni HTTPS proxy poslužitelj može vratiti proizvoljne podatke u CFNetwork u pogrešci 502 Bad Gateway, što bi moglo omogućiti lažiranje sigurnog web-mjesta. To ažuriranje rješava problem tako što ne vraća podatke koje šalje proxy ako postoji pogreška.

  • Kernel

    CVE-ID: CVE-2008-0177

    Dostupno za: iPhone v1.0 do v1.1.4, iPod touch v1.1 do v1.1.4

    Učinak: udaljeni napadač može uzrokovati neočekivano resetiranje uređaja

    Opis: postoji neotkriveno stanje neuspjeha pri rukovanju paketima sa zaglavljem IPComp. Slanjem zlonamjerno izrađenog paketa sustavu konfiguriranom za upotrebu protokola IPSec ili IPv6 napadač može uzrokovati neočekivano resetiranje uređaja. To ažuriranje rješava problem pravilnim otkrivanjem stanja neuspjeha.

  • Safari

    CVE-ID: CVE-2008-1588

    Dostupno za: iPhone v1.0 do v1.1.4, iPod touch v1.1 do v1.1.4

    Učinak: Unicode ideografski prostori mogu se upotrebljavati za lažiranje web-mjesta

    Opis: kad Safari prikaže trenutačni URL u adresnoj traci, prikazuju se Unicode ideografskom prostoru. To omogućuje zlonamjerno izrađenom web-mjestu da usmjeri korisnika na lažirano web-mjesto koje vizualno izgleda kao legitimna domena. To ažuriranje rješava problem time što ne prikazuje Unicode ideografske prostore u adresnoj traci.

  • Safari

    CVE-ID: CVE-2008-1589

    Dostupno za: iPhone v1.0 do v1.1.4, iPod touch v1.1 do v1.1.4

    Učinak: otvaranje zlonamjerno izrađenog web-mjesta može dovesti do otkrivanja osjetljivih informacija

    Opis: kad Safari pristupi web-mjestu koje upotrebljava samopotpisani ili nevaljani certifikat, korisniku se prikazuje upit želi li prihvatiti li odbiti certifikat. Ako korisnik pritisnite gumb izbornika dok je u upitu, onda se pri sljedećem otvaranju web-mjesta certifikat prihvaća bez upita. To može dovesti do otkrivanja osjetljivih podataka. To ažuriranje rješava problem poboljšavanjem rukovanja certifikatima. Zahvaljujemo Hiromitsuu Takagiju na prijavi tog problema.

  • Safari

    CVE-ID: CVE-2008-2303

    Dostupno za: iPhone v1.0 do v1.1.4, iPod touch v1.1 do v1.1.4

    Učinak: otvaranje zlonamjerno izrađenog web-mjesta može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: problem s potpisivanjem kad Safari rukuje JavaScript indeksima niza može rezultirati pristupu memoriji izvan ograničenja. Pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. To ažuriranje rješava problem izvršavanjem dodatne provjere valjanosti JavaScript indeksa niza. Zahvaljujemo Skylinedu (Google) za prijavu tog problema.

  • Safari

    CVE-ID: CVE-2006-2783

    Dostupno za: iPhone v1.0 do v1.1.4, iPod touch v1.1 do v1.1.4

    Učinak: otvaranje zlonamjerno izrađenog web-mjesta može dovesti do skriptiranja na više stranica

    Opis: Safari ignorira sekvence oznaka redoslijeda bajtova za Unicode pri raščlanjivanju web-stranica. Određeni filtri za web-mjesta i web-sadržaj pokušavaju očistiti unos blokiranjem određenih HTML oznaka. Taj pristup filtriranju može se zaobići i dovesti do skriptiranja na više stranica pri pronalasku zlonamjerno izrađenih HTML oznaka koje sadrže sekvence oznaka redoslijeda bajtova. To ažuriranje rješava problem poboljšanim rukovanjem sekvenci oznaka redoslijeda bajtova. Zahvaljujemo Chrisu Weberu (Casaba Security, LLC) na prijavi tog problema.

  • Safari

    CVE-ID: CVE-2008-2307

    Dostupno za: iPhone v1.0 do v1.1.4, iPod touch v1.1 do v1.1.4

    Učinak: otvaranje zlonamjerno izrađenog web-mjesta može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: problem s oštećenjem memorije pojavljuje se kad WebKit rukuje JavaScript nizovima. Pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. To ažuriranje rješava problem poboljšanom provjerom ograničenja. Zahvaljujemo Jamesu Urquhartu na prijavi ovog problema.

  • Safari

    CVE-ID: CVE-2008-2317

    Dostupno za: iPhone v1.0 do v1.1.4, iPod touch v1.1 do v1.1.4

    Učinak: otvaranje zlonamjerno izrađenog web-mjesta može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: problem s oštećenjem memorije pojavljuje se kad WebCore rukuje elementima lista stilova. Pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. To ažuriranje rješava problem poboljšanim prikupljanjem otpada. Zahvaljujemo anonimnom istraživaču koji radi na inicijativi Zero Day Initiative tvrtke TippingPoint na prijavi tog problema.

  • Safari

    CVE-ID: CVE-2007-6284

    Dostupno za: iPhone v1.0 do v1.1.4, iPod touch v1.1 do v1.1.4

    Učinak: obrada XML dokumenta može dovesti do odbijanja usluge

    Opis: problem potrošnje memorije postoji pri rukovanju XML dokumenata koji sadržavaju nevaljane UTF-8 sekvence, što može dovesti do odbijanja usluge. To ažuriranje rješava problem ažuriranjem sistemske biblioteke libxml2 na verziju 2.6.16.

  • Safari

    CVE-ID: CVE-2008-1767

    Dostupno za: iPhone v1.0 do v1.1.4, iPod touch v1.1 do v1.1.4

    Učinak: obrada XML dokumenta može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: problem s potrošnjom memorije postoji u biblioteci libxslt. Prikaz zlonamjerno izrađene HTML stranice može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Dodatne informacije o primijenjenoj zakrpi dostupne su putem web-mjesta xmlsoft.org http://xmlsoft.org/XSLT/ Zahvaljujemo Anthonyju de Almeidi Lopesu (Outpost24 AB) i Chrisu Evansu (Googleov sigurnosni tim) na prijavi tog problema.

  • WebKit

    CVE-ID: CVE-2008-1590

    Dostupno za: iPhone v1.0 do v1.1.4, iPod touch v1.1 do v1.1.4

    Učinak: otvaranje zlonamjerno izrađenog web-mjesta može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: problem s oštećenjem memorije pojavljuje se kad JavaScriptCore rukuje prikupljanjem otpada tijeka rada. Pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. To ažuriranje rješava problem poboljšanim prikupljanjem otpada. Zahvaljujemo Itziku Kotleru i Jonathanu Romu (Radware) na prijavi tog problema.

  • WebKit

    CVE-ID: CVE-2008-1025

    Dostupno za: iPhone v1.0 do v1.1.4, iPod touch v1.1 do v1.1.4

    Učinak: pristup zlonamjerno izrađenom URL-u može rezultirati skriptiranjem na više stranica

    Opis: pojavljuje se problem kad WebKit rukuje URL-ovima koji sadržavaju znak dvotočke u nazivu hosta. Pristup zlonamjernom URL-a može uzrokovati napad skriptiranjem na više stranica. Ovim je ažuriranjem problem riješen poboljšanjem rukovanja URL-ovima. Zahvaljujemo Robertu Swieckom (Googleov tim za sigurnost informacija) i Davidu Bloomu na prijavi tog problema.

  • WebKit

    CVE-ID: CVE-2008-1026

    Dostupno za: iPhone v1.0 do v1.1.4, iPod touch v1.1 do v1.1.4

    Učinak: prikaz zlonamjerno izrađenog web-mjesta može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: prekoračenje međuspremnika gomile pojavljuje se kad WebKit rukuje regularnim JavaScript izrazima. Problem može aktivirati JavaScript prilikom obrade regularnih izraza s velikim brojem ugniježđenih ponavljanja. To može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda. Ovim se ažuriranjem rješava problem izvođenjem dodatne provjere valjanosti regularnih izraza programskog jezika JavaScript. Zahvaljujemo Charlieju Milleru (Independent Security Evaluators) na prijavi tog problema.

Važno: navođenje web-mjesta i proizvoda trećih strana samo je informativne naravi i ne predstavlja njihovo odobravanje ni preporuku. Apple ne preuzima odgovornost za izbor, performanse ili upotrebu informacija ili proizvoda koji se mogu pronaći na web-mjestima trećih strana. Apple navedeno pruža samo radi boljeg korisničkog iskustva naših korisnika. Apple nije ispitao informacije pronađene na ovim web-mjestima i ne iznosi nikakve tvrdnje vezane za njihovu točnost ili pouzdanost. Upotreba informacija ili proizvoda s interneta može predstavljati određene rizike, a Apple ne preuzima odgovornost po tom pitanju. Imajte na umu da je web-mjesto treće strane neovisno u odnosu na Apple te da Apple ne upravlja sadržajem tih web-mjesta. Obratite se dobavljaču za više informacija.

Datum objave: