Informacije o sigurnosnom sadržaju ažuriranja iOS 2.2 i iOS za iPod touch 2.2

Ovaj dokument opisuje sigurnosni sadržaj ažuriranja iOS 2.2 i iOS za iPod touch 2.2.

Da bi zaštitio korisnike, Apple ne otkriva, ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i javno ne ponudi zakrpe ili nova izdanja. Da biste saznali više o sigurnosti Appleovih proizvoda, posjetite web-mjesto Sigurnost Appleovih proizvoda.

Informacije o PGP ključu za sigurnost Appleovih proizvoda potražite na web-mjestu „Upotreba PGP ključa za sigurnost Appleovih proizvoda.”

Kada je to moguće, CVE ID-jevi služe kao referenca za dodatne informacije o slabim točkama.

Da biste saznali više o ostalim sigurnosnim ažuriranjima, pogledajte „Appleova sigurnosna ažuriranja.”

iOS 2.2 i iOS za iPod touch 2.2

  • CoreGraphics

    CVE-ID: CVE-2008-2321

    Dostupno za: iOS od 1.0 do 2.1, iOS za iPod touch od 1.1 do 2.1

    Učinak: posjet zlonamjerno stvorenom web-mjestu može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: CoreGraphics sadrži probleme oštećenja memorije pri obradi argumenata. Prosljeđivanjem nepouzdanog unosa u CoreGraphics putem aplikacije kao što je web-preglednik može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda. Ovo ažuriranje rješava taj problem poboljšanom provjerom ograničenja. Zahvaljujemo Michalu Zalewskom (Google) na prijavi tog problema.

  • ImageIO

    CVE-ID: CVE-2008-2327

    Dostupno za: iOS od 1.0 do 2.1, iOS za iPod touch od 1.1 do 2.1

    Učinak: prikaz zlonamjerno stvorene TIFF slike može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: postoji više problema s pristupom neinicijaliziranoj memoriji u načinu na koji libTIFF obrađuje TIFF slike kodirane LZW-om. Prikaz zlonamjerne TIFF slike može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Ovo ažuriranje rješava taj problem pravilnom inicijalizacijom memorije i dodatnom provjerom valjanosti TIFF slika.

  • ImageIO

    CVE-ID: CVE-2008-1586

    Dostupno za: iOS od 1.0 do 2.1, iOS za iPod touch od 1.1 do 2.1

    Učinak: prikaz zlonamjerno stvorene TIFF slike može dovesti do neočekivanog resetiranja uređaja

    Opis: postoji problem iscrpljenja memorije pri obradi TIFF slika. Prikaz zlonamjerno stvorene TIFF slike može uzrokovati neočekivano resetiranje uređaja. Ovo ažuriranje rješava taj problem ograničavanjem količine memorije koja se dodjeljuje za otvaranje TIFF slike. Zahvaljujemo Sergiju „shadown” Alvarezu iz tvrtke Recurity Labs GmbH na prijavi ovog problema.

  • Networking

    CVE-ID: CVE-2008-4227

    Dostupno za: iOS od 1.0 do 2.1, iOS za iPod touch od 1.1 do 2.1

    Učinak: razina enkripcije za PPTP VPN veze možda će biti niža od očekivane

    Opis: razina enkripcije za PPTP VPN veze možda će se vratiti na prethodnu nižu postavku. Ovo ažuriranje otklanja taj problem pravilnim određivanjem postavki enkripcije. Zahvaljujemo Stephenu Butleru sa Sveučilišta Illinois u Urbana-Champaignu na prijavi tog problema.

  • Office Viewer

    CVE-ID: CVE-2008-4211

    Dostupno za: iOS od 1.0 do 2.1, iOS za iPod touch od 1.1 do 2.1

    Učinak: Prikaz zlonamjerno stvorene datoteke programa Microsoft Excel može dovesti do neočekivanog zatvaranja aplikacije ili izvršenja proizvoljnog koda

    Opis: problem s potpisivanjem kad Office Viewer obrađuje stupce u datotekama programa Microsoft Excel može dovesti do pristupa memoriji izvan ograničenja. Prikaz zlonamjerno stvorene datoteke programa Microsoft Excel može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Ovo ažuriranje rješava taj problem jer ne dopušta da predmetne vrijednosti indeksa budu negativne. Zasluge: Apple.

  • Passcode Lock

    CVE-ID: CVE-2008-4228

    Dostupno za: iOS od 1.0 do 2.1, iOS za iPod touch od 1.1 do 2.1

    Učinak: pozivi u slučaju nužde nisu ograničeni na brojeve za slučaj nužde

    Opis: iPhone omogućuje upućivanje poziva u slučaju nužde dok je zaključan. Trenutno se poziv u slučaju nužde može uputiti na bilo koji broj. Osoba s fizičkim pristupom iPhone uređaju mogla bi iskoristiti tu značajku za upućivanje proizvoljnih poziva na račun vlasnika iPhone uređaja. Ovo ažuriranje rješava taj problem ograničavanjem poziva u slučaju nužde na određen skup telefonskih brojeva.

  • Passcode Lock

    CVE-ID: CVE-2008-4229

    Dostupno za: iOS od 1.0 do 2.1, iOS za iPod touch od 1.1 do 2.1

    Učinak: pri obnovi uređaja iz sigurnosne kopije možda se neće ponovno omogućiti zaključavanje šifrom

    Opis: značajka zaključavanja šifrom osmišljena je da bi se spriječilo pokretanje aplikacija bez unosa točne šifre. Stanje nadmetanja u obradi postavki uređaja može uzrokovati uklanjanje zaključavanja šifrom kad se uređaj obnavlja iz sigurnosne kopije. To može osobi s fizičkim pristupom uređaju omogućiti pokretanje aplikacija bez šifre. Ovo ažuriranje rješava problem poboljšavanjem sposobnosti sustava da prepozna postavke koje nedostaju. Taj problem ne utječe na sustave prije sustava iOS 2.0 ili iOS za iPod touch 2.0. Zahvaljujemo Nolenu Scaifeu na prijavi problema.

  • Passcode Lock

    CVE-ID: CVE-2008-4230

    Dostupno za: iOS od 1.0 do 2.1, iOS za iPod touch od 1.1 do 2.1

    Učinak: SMS-poruke mogu se otkriti prije unosa šifre

    Opis: ako stigne SMS-poruka dok je vidljiv zaslon za poziv u slučaju nužde, prikazuje se cijela SMS-poruka, čak i ako je postavka „Pokaži SMS pregled” postavljena na „Isključeno”. Ovo ažuriranje u ovom slučaju rješava problem prikazom samo obavijesti da je SMS-poruka stigla, a ne njezina sadržaja.

  • Safari

    CVE-ID: CVE-2008-4231

    Dostupno za: iOS od 1.0 do 2.1, iOS za iPod touch od 1.1 do 2.1

    Učinak: posjet zlonamjerno stvorenom web-mjestu može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: postoji problem s oštećenjem memorije pri obradi elemenata tablice u HTML-u. Pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Ovo ažuriranje rješava problem poboljšavanjem obrade elemenata tablice u HTML-u. Zahvaljujemo Haifeiju Liju iz globalnog istraživačkog tima Fortinet FortiGuard na prijavi tog problema.

  • Safari

    CVE-ID: CVE-2008-4232

    Dostupno za: iOS od 1.0 do 2.1, iOS za iPod touch od 1.1 do 2.1

    Učinak: web-mjesta s ugrađenim iframe elementima možda će biti ranjiva na zavaravanje u korisničkom sučelju

    Opis: Safari dopušta da iframe element prikaže sadržaj izvan svojih granica, što može dovesti do zavaravanja u korisničkom sučelju. Ovo ažuriranje rješava taj problem ne dopuštajući da iframe elementi prikazuju sadržaj izvan svojih granica. Taj problem ne utječe na sustave prije sustava iOS 2.0 ili iOS za iPod touch 2.0. Zahvaljujemo Johnu Resigu iz tvrtke Mozilla Corporation na prijavi problema.

  • CVE-ID: CVE-2008-4233 Dostupno za: iOS od 1.0 do 2.1, iOS za iPod touch od 1.1 do 2.1 Učinak: posjet zlonamjerno stvorenom web-mjestu možda će započeti telefonski poziv bez interakcije korisnika Opis: ako se aplikacija pokrene putem preglednika Safari dok je prikazan dijaloški okvir za odobrenje poziva, uputit će se poziv. To može omogućiti zlonamjerno stvorenom web-mjestu da započne telefonski poziv bez interakcije korisnika. Dodatno, pod određenim okolnostima možda će biti moguće da zlonamjerno stvoreno web-mjesto blokira sposobnost korisnika da otkaže biranje na kratko razdoblje. Ovo ažuriranje rješava problem tako da na odgovarajući način odbacuje dijaloški okvir za odobrenje poziva u pregledniku Safari kad se aplikacija pokreće putem preglednika Safari. Zahvaljujemo Collinu Mullineru iz tvrtke Fraunhofer SIT na prijavi problema.

    Safari

  • Webkit

    CVE-ID: CVE-2008-3644

    Dostupno za: iOS od 1.0 do 2.1, iOS za iPod touch od 1.1 do 2.1

    Učinak: povjerljive informacije možda će se otkriti osobi s fizičkim pristupom nezaključanom uređaju

    Opis: onemogućivanje automatskog popunjavanja u polju obrasca možda neće spriječiti da se podaci polja pohrane u predmemoriji stranice preglednika. To može dovesti do otkrivanja povjerljivih informacija osobi s fizičkim pristupom nezaključanom uređaju. Ovo ažuriranje otklanja taj problem pravilnim čišćenjem podataka iz obrasca. Zahvaljujemo anonimnom istraživaču na prijavi problema.

Važno: informacije o proizvodima koje ne proizvodi Apple samo su informativne naravi i ne predstavljaju Appleovo odobravanje ni preporuku. Obratite se dobavljaču za više informacija.

Datum objave: