O sigurnosnom sadržaju uređaja iPod touch v2.1
U ovom se dokumentu opisuje sigurnosni sadržaj uređaja iPod touch v2.1.
Da bi zaštitio korisnike, Apple ne otkriva, ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i javno ne ponudi zakrpe ili nova izdanja. Da biste saznali više o sigurnosti Appleovih proizvoda, posjetite web-mjesto Sigurnost Appleovih proizvoda.
Informacije o PGP ključu za sigurnost Appleovih proizvoda potražite na web-mjestu „Upotreba PGP ključa za sigurnost Appleovih proizvoda.”
Kada je to moguće, CVE ID-jevi služe kao referenca za dodatne informacije o slabim točkama.
Da biste saznali više o ostalim sigurnosnim ažuriranjima, pogledajte „Appleova sigurnosna ažuriranja.”
iPod touch v2.1
Application Sandbox
CVE-ID: CVE-2008-3631
Dostupno za: iPod touch od v2.0 do v2.0.2
Učinak: aplikacija može čitati datoteke druge aplikacije
Opis: ograničena memorija aplikacije ne primjenjuje pravilno ograničenja pristupa između aplikacija drugih proizvođača. To aplikaciji drugog proizvođača može omogućiti čitanje datoteka u ograničenoj memoriji neke druge aplikacije drugog proizvođača i dovesti do otkrivanja povjerljivih podataka. Ovo ažuriranje rješava problem primjenom odgovarajućih ograničenja pristupa između ograničenih memorija aplikacija. Na prijavi problema zahvaljujemo Nicolasu Seriotu iz tvrtke Sen:te i Bryceu Cogswellu. Problem ne utječe na verzije iPod touch uređaja starije od v2.0.
CoreGraphics
CVE-ID: CVE-2008-1806, CVE-2008-1807, CVE-2008-1808
Dostupno za: iPod touch od v1.1 do v2.0.2
Učinak: više slabih točaka u komponenti FreeType v2.3.5
Opis: više slabih točaka prisutno je u komponenti FreeType v2.3.5, a najozbiljnija od njih može dovesti do izvršavanja proizvoljno odabranog koda prilikom pristupa zlonamjerno izrađenim podacima o fontovima. Ovo ažuriranje rješava problem uvrštavanjem sigurnosnih popravaka iz verzije 2.3.6 komponente FreeType. Dodatne informacije dostupne su putem web-mjesta za FreeType na adresi http://www.freetype.org/
mDNSResponder
CVE-ID: CVE-2008-1447
Dostupno za: iPod touch od v1.1 do v2.0.2
Učinak: mDNSResponder podložan je kompromitiranju DNS predmemorije i može vratiti lažne podatke
Opis: mDNSResponder omogućuje prevođenje naziva glavnih računala u IP adrese i obratno za aplikacije koje upotrebljavaju njegov API za rješavanje za Unicast DNS. Slaba točka u protokolu DNS udaljenom napadaču može omogućiti izvođenje napada kompromitiranjem DNS predmemorije. Zato aplikacije koje upotrebljavaju mDNSResponder za DNS mogu primiti lažne podatke. Ovo ažuriranje rješava problem implementacijom randomizacije izvornih priključaka i ID-jeva transakcija radi poboljšanja otpornosti na napade kompromitiranjem predmemorije. Na prijavi problema zahvaljujemo Danu Kaminskyju iz tvrtke IOActive.
Networking
CVE-ID: CVE-2008-3612
Dostupno za: iPod touch od v1.1 do v2.0.2
Učinak: predvidivo generiranje početnih rednih brojeva za TCP može dovesti do lažiranja TCP-a ili preotimanja sesije
Opis: početni redni brojevi za TCP generiraju se slijedno. Predvidivi početni redni brojevi udaljenom napadaču mogu omogućiti izradu lažne TCP veze ili umetanje podataka u postojeću TCP vezu. Ovo ažuriranje rješava problem generiranjem nasumičnih početnih rednih brojeva za TCP.
WebKit
CVE-ID: CVE-2008-3632
Dostupno za: iPod touch od v1.1 do v2.0.2
Učinak: posjet zlonamjernom web-mjestu može dovesti do neočekivanog prekida izvođenja aplikacije ili izvršavanja proizvoljno odabranog koda
Opis: u načinu na koji WebKit rukuje CSS izjavama o uvozu postoji problem s upotrebom nakon oslobađanja. Pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Ovo ažuriranje rješava problem poboljšanim rukovanjem referencama na dokumente.
Važno: informacije o proizvodima koje ne proizvodi Apple samo su informativne naravi i ne predstavljaju Appleovo odobravanje ni preporuku. Dodatne informacije zatražite od prodavača.