Informacije o sigurnosnom sadržaju za iPhone v2.0 i iPod touch v2.0
U ovom se dokumentu opisuje sigurnosni sadržaj za iPhone v2.0 i iPod touch v2.0.
Da bi zaštitio korisnike, Apple ne otkriva, ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i javno ne ponudi zakrpe ili nova izdanja. Da biste saznali više o sigurnosti Appleovih proizvoda, posjetite web-mjesto Sigurnost Appleovih proizvoda.
Informacije o PGP ključu za sigurnost Appleovih proizvoda potražite na web-mjestu „Upotreba PGP ključa za sigurnost Appleovih proizvoda.”
Kada je to moguće, CVE ID-jevi služe kao referenca za dodatne informacije o slabim točkama.
Da biste saznali više o ostalim sigurnosnim ažuriranjima, pogledajte „Appleova sigurnosna ažuriranja.”
iPhone v2.0 i iPod touch v2.0
CFNetwork
CVE-ID: CVE-2008-0050
Dostupno za: iPhone v1.0 do v1.1.4, iPod touch v1.1 do v1.1.4
Učinak: zlonamjerni proxy poslužitelj može lažirati sigurna web-mjesta
Opis: zlonamjerni HTTPS proxy poslužitelj može vratiti proizvoljne podatke u CFNetwork u pogrešci 502 Bad Gateway, što bi moglo omogućiti lažiranje sigurnog web-mjesta. To ažuriranje rješava problem tako što ne vraća podatke koje šalje proxy ako postoji pogreška.
Kernel
CVE-ID: CVE-2008-0177
Dostupno za: iPhone v1.0 do v1.1.4, iPod touch v1.1 do v1.1.4
Učinak: udaljeni napadač može uzrokovati neočekivano resetiranje uređaja
Opis: postoji neotkriveno stanje neuspjeha pri rukovanju paketima sa zaglavljem IPComp. Slanjem zlonamjerno izrađenog paketa sustavu konfiguriranom za upotrebu protokola IPSec ili IPv6 napadač može uzrokovati neočekivano resetiranje uređaja. To ažuriranje rješava problem pravilnim otkrivanjem stanja neuspjeha.
Safari
CVE-ID: CVE-2008-1588
Dostupno za: iPhone v1.0 do v1.1.4, iPod touch v1.1 do v1.1.4
Učinak: Unicode ideografski prostori mogu se upotrebljavati za lažiranje web-mjesta
Opis: kad Safari prikaže trenutačni URL u adresnoj traci, prikazuju se Unicode ideografskom prostoru. To omogućuje zlonamjerno izrađenom web-mjestu da usmjeri korisnika na lažirano web-mjesto koje vizualno izgleda kao legitimna domena. To ažuriranje rješava problem time što ne prikazuje Unicode ideografske prostore u adresnoj traci.
Safari
CVE-ID: CVE-2008-1589
Dostupno za: iPhone v1.0 do v1.1.4, iPod touch v1.1 do v1.1.4
Učinak: otvaranje zlonamjerno izrađenog web-mjesta može dovesti do otkrivanja osjetljivih informacija
Opis: kad Safari pristupi web-mjestu koje upotrebljava samopotpisani ili nevaljani certifikat, korisniku se prikazuje upit želi li prihvatiti li odbiti certifikat. Ako korisnik pritisnite gumb izbornika dok je u upitu, onda se pri sljedećem otvaranju web-mjesta certifikat prihvaća bez upita. To može dovesti do otkrivanja osjetljivih podataka. To ažuriranje rješava problem poboljšavanjem rukovanja certifikatima. Zahvaljujemo Hiromitsuu Takagiju na prijavi tog problema.
Safari
CVE-ID: CVE-2008-2303
Dostupno za: iPhone v1.0 do v1.1.4, iPod touch v1.1 do v1.1.4
Učinak: otvaranje zlonamjerno izrađenog web-mjesta može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem s potpisivanjem kad Safari rukuje JavaScript indeksima niza može rezultirati pristupu memoriji izvan ograničenja. Pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. To ažuriranje rješava problem izvršavanjem dodatne provjere valjanosti JavaScript indeksa niza. Zahvaljujemo Skylinedu (Google) za prijavu tog problema.
Safari
CVE-ID: CVE-2006-2783
Dostupno za: iPhone v1.0 do v1.1.4, iPod touch v1.1 do v1.1.4
Učinak: otvaranje zlonamjerno izrađenog web-mjesta može dovesti do skriptiranja na više stranica
Opis: Safari ignorira sekvence oznaka redoslijeda bajtova za Unicode pri raščlanjivanju web-stranica. Određeni filtri za web-mjesta i web-sadržaj pokušavaju očistiti unos blokiranjem određenih HTML oznaka. Taj pristup filtriranju može se zaobići i dovesti do skriptiranja na više stranica pri pronalasku zlonamjerno izrađenih HTML oznaka koje sadrže sekvence oznaka redoslijeda bajtova. To ažuriranje rješava problem poboljšanim rukovanjem sekvenci oznaka redoslijeda bajtova. Zahvaljujemo Chrisu Weberu (Casaba Security, LLC) na prijavi tog problema.
Safari
CVE-ID: CVE-2008-2307
Dostupno za: iPhone v1.0 do v1.1.4, iPod touch v1.1 do v1.1.4
Učinak: otvaranje zlonamjerno izrađenog web-mjesta može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije pojavljuje se kad WebKit rukuje JavaScript nizovima. Pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. To ažuriranje rješava problem poboljšanom provjerom ograničenja. Zahvaljujemo Jamesu Urquhartu na prijavi ovog problema.
Safari
CVE-ID: CVE-2008-2317
Dostupno za: iPhone v1.0 do v1.1.4, iPod touch v1.1 do v1.1.4
Učinak: otvaranje zlonamjerno izrađenog web-mjesta može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije pojavljuje se kad WebCore rukuje elementima lista stilova. Pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. To ažuriranje rješava problem poboljšanim prikupljanjem otpada. Zahvaljujemo anonimnom istraživaču koji radi na inicijativi Zero Day Initiative tvrtke TippingPoint na prijavi tog problema.
Safari
CVE-ID: CVE-2007-6284
Dostupno za: iPhone v1.0 do v1.1.4, iPod touch v1.1 do v1.1.4
Učinak: obrada XML dokumenta može dovesti do odbijanja usluge
Opis: problem potrošnje memorije postoji pri rukovanju XML dokumenata koji sadržavaju nevaljane UTF-8 sekvence, što može dovesti do odbijanja usluge. To ažuriranje rješava problem ažuriranjem sistemske biblioteke libxml2 na verziju 2.6.16.
Safari
CVE-ID: CVE-2008-1767
Dostupno za: iPhone v1.0 do v1.1.4, iPod touch v1.1 do v1.1.4
Učinak: obrada XML dokumenta može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem s potrošnjom memorije postoji u biblioteci libxslt. Prikaz zlonamjerno izrađene HTML stranice može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Dodatne informacije o primijenjenoj zakrpi dostupne su putem web-mjesta xmlsoft.org http://xmlsoft.org/XSLT/ Zahvaljujemo Anthonyju de Almeidi Lopesu (Outpost24 AB) i Chrisu Evansu (Googleov sigurnosni tim) na prijavi tog problema.
WebKit
CVE-ID: CVE-2008-1590
Dostupno za: iPhone v1.0 do v1.1.4, iPod touch v1.1 do v1.1.4
Učinak: otvaranje zlonamjerno izrađenog web-mjesta može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije pojavljuje se kad JavaScriptCore rukuje prikupljanjem otpada tijeka rada. Pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. To ažuriranje rješava problem poboljšanim prikupljanjem otpada. Zahvaljujemo Itziku Kotleru i Jonathanu Romu (Radware) na prijavi tog problema.
WebKit
CVE-ID: CVE-2008-1025
Dostupno za: iPhone v1.0 do v1.1.4, iPod touch v1.1 do v1.1.4
Učinak: pristup zlonamjerno izrađenom URL-u može rezultirati skriptiranjem na više stranica
Opis: pojavljuje se problem kad WebKit rukuje URL-ovima koji sadržavaju znak dvotočke u nazivu hosta. Pristup zlonamjernom URL-a može uzrokovati napad skriptiranjem na više stranica. Ovim je ažuriranjem problem riješen poboljšanjem rukovanja URL-ovima. Zahvaljujemo Robertu Swieckom (Googleov tim za sigurnost informacija) i Davidu Bloomu na prijavi tog problema.
WebKit
CVE-ID: CVE-2008-1026
Dostupno za: iPhone v1.0 do v1.1.4, iPod touch v1.1 do v1.1.4
Učinak: prikaz zlonamjerno izrađenog web-mjesta može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: prekoračenje međuspremnika gomile pojavljuje se kad WebKit rukuje regularnim JavaScript izrazima. Problem može aktivirati JavaScript prilikom obrade regularnih izraza s velikim brojem ugniježđenih ponavljanja. To može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda. Ovim se ažuriranjem rješava problem izvođenjem dodatne provjere valjanosti regularnih izraza programskog jezika JavaScript. Zahvaljujemo Charlieju Milleru (Independent Security Evaluators) na prijavi tog problema.
Važno: navođenje web-mjesta i proizvoda trećih strana samo je informativne naravi i ne predstavlja njihovo odobravanje ni preporuku. Apple ne preuzima odgovornost za izbor, performanse ili upotrebu informacija ili proizvoda koji se mogu pronaći na web-mjestima trećih strana. Apple navedeno pruža samo radi boljeg korisničkog iskustva naših korisnika. Apple nije ispitao informacije pronađene na ovim web-mjestima i ne iznosi nikakve tvrdnje vezane za njihovu točnost ili pouzdanost. Upotreba informacija ili proizvoda s interneta može predstavljati određene rizike, a Apple ne preuzima odgovornost po tom pitanju. Imajte na umu da je web-mjesto treće strane neovisno u odnosu na Apple te da Apple ne upravlja sadržajem tih web-mjesta. Obratite se dobavljaču za više informacija.