U dokumentu se opisuje sigurnosni sadržaj sustava iOS 4.3, koji se može preuzeti i instalirati pomoću programa iTunes.
Radi zaštite svojih klijenata Apple ne otkriva sigurnosne probleme, ne razgovara o njima niti ih potvrđuje do dovršetka cjelovite istrage te objavljivanja potrebnih zakrpa i izdanja. Da biste doznali više o sigurnosti Appleovih proizvoda, idite na web-mjesto Sigurnost Appleovih proizvoda.
Informacije o PGP ključu za zaštitu Appleovih proizvoda potražite u članku "Korištenje PGP ključa za zaštitu Appleovih proizvoda".
Kada je moguće, slabe točke označene su CVE ID-ovima pomoću kojih je moguće pronaći dodatne informacije.
Da biste doznali više o sigurnosnim ažuriranjima, pročitajte članak "Appleova sigurnosna ažuriranja".
iOS 4.3
- 

- 

Jezgrena grafika

Dostupno za: iOS od 3.0 do 4.2.1 za iPhone 3GS i noviji, iOS od 3.1 do 4.2.1 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.2.1 za iPad

Učinak: više slabih točaka u komponenti FreeType

Opis: u komponenti FreeType postojalo je više slabih točaka, a najopasnija od njih mogla je dopustiti arbitrarno izvršavanje kodova prilikom obrade zlonamjerno sastavljenog fonta. Problemi se otklanjaju ažuriranjem komponente FreeType na verziju 2.4.3. Dodatne informacije dostupne su na web-mjestu komponente FreeType na adresi http://www.freetype.org/

CVE-ID

CVE-2010-3855

 

- 

- 

ImageIO

Dostupno za: iOS od 3.0 do 4.2.1 za iPhone 3GS i noviji, iOS od 3.1 do 4.2.1 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.2.1 za iPad

Učinak: prikaz zlonamjerne TIFF datoteke može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda

Opis: u načinu na koji je libTIFF obrađivao TIFF slike s JPEG kodiranjem dolazilo je do prelijevanja iz međuspremnika. Prikaz zlonamjerne TIFF datoteke može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda.

CVE-ID

CVE-2011-0191: Apple

 

- 

- 

ImageIO

Dostupno za: iOS od 3.0 do 4.2.1 za iPhone 3GS i noviji, iOS od 3.1 do 4.2.1 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.2.1 za iPad

Učinak: prikaz zlonamjerne TIFF datoteke može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda

Opis: u načinu na koji je libTIFF obrađivao TIFF slike s kodiranjem CCITT Group 4 dolazilo je do prelijevanja iz međuspremnika. Prikaz zlonamjerne TIFF datoteke može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda.

CVE-ID

CVE-2011-0192: Apple

 

- 

- 

libxml

Dostupno za: iOS od 3.0 do 4.2.1 za iPhone 3GS i noviji, iOS od 3.1 do 4.2.1 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.2.1 za iPad

Učinak: pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda

Opis: u načinu na koji je libxml obrađivao XPath izraze postojao je problem s dvostrukim oslobađanjem. Pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda.

CVE-ID

CVE-2010-4494: Yang Dingning iz NCNIPC-a, poslijediplomski studij Kineske akademije znanosti

 

- 

- 

Umrežavanje

Dostupno za: iOS od 3.0 do 4.2.1 za iPhone 3GS i noviji, iOS od 3.1 do 4.2.1 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.2.1 za iPad

Učinak: poslužitelj bi mogao prepoznati uređaj putem druge veze

Opis: kad se koristi automatska konfiguracija adrese bez stanja (SLAAC), IPv6 adresa koju uređaj odabire sadrži MAC adresu uređaja. Poslužitelj na kojem je omogućen IPv6, a uređaj s njime uspostavi vezu, može iskoristiti tu adresu za praćenje uređaja i na drugim vezama. Ovim se ažuriranjem implementira proširenje IPv6 protokola opisano u članku RFC 3041 dodavanjem privremene nasumične adrese koja se koristi prilikom izlaznih veza.

 

- 

- 

Safari

Dostupno za: iOS od 3.0 do 4.2.1 za iPhone 3GS i noviji, iOS od 3.1 do 4.2.1 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.2.1 za iPad

Učinak: posjet zlonamjernom web-mjestu mogao bi uzrokovati zatvaranje preglednika MobileSafari prilikom pokretanja

Opis: na zlonamjernom web-mjestu mogao bi se nalaziti javascript koji uzastopno pokreće neku drugu aplikaciju putem rukovatelja URL-a. Ako posjetite to web-mjesto putem preglednika MobileSafari, preglednik će se zatvoriti, a pokrenut će se ciljna aplikacija. Taj će se slijed ponavljati prilikom svakog otvaranja preglednika MobileSafari. Problem se rješava povratkom na prethodnu stranicu kad se Safari ponovno otvori nakon što je putem rukovatelja URL-a pokrenuta druga aplikacija.

CVE-ID

CVE-2011-0158: Nitesh Dhanjani iz tvrtke Ernst & Young LLP

 

- 

- 

Safari

Dostupno za: iOS od 4.0 do 4.2.1 za iPhone 3GS i noviji, iOS od 4.0 do 4.2.1 za iPod touch (treće generacije) i noviji, iOS od 4.2 do 4.2.1 za iPad

Učinak: čišćenje kolačića u postavkama preglednika Safari možda neće imati učinka

Opis: čišćenje kolačića putem postavki preglednika Safari dok je Safari pokrenut u nekim slučajevima nema učinka. Problem se rješava poboljšanom obradom kolačića. Problem ne utječe na sustave stariji od verzije iOS 4.0.

CVE-ID

CVE-2011-0159: Erik Wong iz tvrtke Google Inc.

 

- 

- 

WebKit

Dostupno za: iOS od 3.0 do 4.2.1 za iPhone 3GS i noviji, iOS od 3.1 do 4.2.1 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.2.1 za iPad

Učinak: pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda

Opis: u WebKitu postoji veći broj problema s oštećenjem memorije. Pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda.

CVE-ID

CVE-2010-1792

CVE-2010-1824: kuzzcc i wushi iz grupe team509, koja radi na inicijativi Zero Day Initiative tvrtke TippingPoint

CVE-2011-0111: Sergey Glazunov

CVE-2011-0112: Yuzo Fujishima iz tvrtke Google Inc.

CVE-2011-0113: Andreas Kling iz tvrtke Nokia

CVE-2011-0114: Chris Evans iz tima za sigurnost preglednika Google Chrome

CVE-2011-0115: J23 koji radi na inicijativi Zero Day Initiative tvrtke TippingPoint i Emil A Eklund iz tvrtke Google, Inc.

CVE-2011-0116: anonimni istraživač koji radi na inicijativi Zero Day Initiative tvrtke TippingPoint

CVE-2011-0117: Abhishek Arya (Inferno) iz tvrtke Google, Inc.

CVE-2011-0118: Abhishek Arya (Inferno) iz tvrtke Google, Inc.

CVE-2011-0119: Abhishek Arya (Inferno) iz tvrtke Google, Inc.

CVE-2011-0120: Abhishek Arya (Inferno) iz tvrtke Google, Inc.

CVE-2011-0121: Abhishek Arya (Inferno) iz tvrtke Google, Inc.

CVE-2011-0122: Slawomir Blazek

CVE-2011-0123: Abhishek Arya (Inferno) iz tvrtke Google, Inc.

CVE-2011-0124: Yuzo Fujishima iz tvrtke Google Inc.

CVE-2011-0125: Abhishek Arya (Inferno) iz tvrtke Google, Inc.

CVE-2011-0126: Mihai Parparita iz tvrtke Google, Inc.

CVE-2011-0127: Abhishek Arya (Inferno) iz tvrtke Google, Inc.

CVE-2011-0128: David Bloom

CVE-2011-0129: Famlam

CVE-2011-0130: Apple

CVE-2011-0131: wushi iz grupe team509

CVE-2011-0132: wushi iz grupe team509, koja radi na inicijativi Zero Day Initiative tvrtke TippingPoint

CVE-2011-0133: wushi iz grupe team509, koja radi na inicijativi Zero Day Initiative tvrtke TippingPoint

CVE-2011-0134: Jan Tosovsky

CVE-2011-0135: prijavila anonimna osoba

CVE-2011-0136: Sergey Glazunov

CVE-2011-0137: Sergey Glazunov

CVE-2011-0138: kuzzcc

CVE-2011-0140: Sergey Glazunov

CVE-2011-0141: Chris Rohlf iz tvrtke Matasano Security

CVE-2011-0142: Abhishek Arya (Inferno) iz tvrtke Google, Inc.

CVE-2011-0143: Slawomir Blazek i Sergey Glazunov

CVE-2011-0144: Emil A Eklund iz tvrtke Google, Inc.

CVE-2011-0145: Abhishek Arya (Inferno) iz tvrtke Google, Inc.

CVE-2011-0146: Abhishek Arya (Inferno) iz tvrtke Google, Inc.

CVE-2011-0147: Dirk Schulze

CVE-2011-0148: Michal Zalewski iz tvrtke Google, Inc.

CVE-2011-0149: wushi iz grupe team509, koja radi na inicijativi Zero Day Initiative tvrtke TippingPoint i SkyLined iz tima za sigurnost preglednika Google Chrome

CVE-2011-0150: Michael Gundlach s web-mjesta safariadblock.com

CVE-2011-0151: Abhishek Arya (Inferno) iz tvrtke Google, Inc.

CVE-2011-0152: Skylined iz tima za sigurnost preglednika Google Chrome

CVE-2011-0153: Abhishek Arya (Inferno) iz tvrtke Google, Inc.

CVE-2011-0154: anonimni istraživač koji radi na inicijativi Zero Day Initiative tvrtke TippingPoint

CVE-2011-0155: Aki Helin iz OUSPG-a

CVE-2011-0156: Abhishek Arya (Inferno) iz tvrtke Google, Inc.

CVE-2011-0157: Benoit Jacob iz tvrtke Mozilla

CVE-2011-0168: Sergey Glazunov

 

- 

- 

WebKit

Dostupno za: iOS od 3.0 do 4.2.1 za iPhone 3GS i noviji, iOS od 3.1 do 4.2.1 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.2.1 za iPad

Učinak: postoji mogućnost slučajnog otkrivanja vjerodajnica za osnovnu HTTP provjeru autentičnosti drugom web-mjestu

Opis: ako se na web-mjestu koristi osnovna HTTP provjera autentičnosti te se preusmjerava na drugo web-mjesto, tom se drugom web-mjestu mogu poslati vjerodajnice za provjeru autentičnosti. Problem se rješava poboljšanom obradom vjerodajnica.

CVE-ID

CVE-2011-0160: McIntosh Cooey iz grupe Twelve Hundred Group, Harald Hanche-Olsen, Chuck Hohn iz tvrtke 1111 Internet LLC u suradnji s CERT-om te Paul Hinze iz tvrtke Braintree

 

- 

- 

WebKit

Dostupno za: iOS od 3.0 do 4.2.1 za iPhone 3GS i noviji, iOS od 3.1 do 4.2.1 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.2.1 za iPad

Učinak: posjet zlonamjernom web-mjestu može uzrokovati objavljivanje stilova na više web-mjesta

Opis: u načinu na koji WebKit obrađuje pristupnik Attr.style postojao je problem s resursima iz više izvora. Posjet zlonamjernom web-mjestu mogao bi web-mjestu omogućiti umetanje CSS-a u druge dokumente. Problem je riješen uklanjanjem pristupnika Attr.style.

CVE-ID

CVE-2011-0161: Apple

 

- 

- 

WebKit

Dostupno za: iOS od 3.0 do 4.2.1 za iPhone 3GS i noviji, iOS od 3.1 do 4.2.1 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.2.1 za iPad

Učinak: zlonamjerno web-mjesto moglo bi drugim web-mjestima onemogućiti slanje zahtjeva za određene resurse

Opis: u načinu na koji WebKit obrađuje predmemorirane resurse postojao je problem s oštećenjem predmemorije. Zlonamjerno web-mjesto moglo bi drugim web-mjestima onemogućiti slanje zahtjeva za određene resurse. Problem se rješava poboljšanom provjerom vrste.

CVE-ID

CVE-2011-0163: Apple

 

- 

- 

Wi-Fi

Dostupno za: iOS od 3.0 do 4.2.1 za iPhone 3GS i noviji, iOS od 3.1 do 4.2.1 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.2.1 za iPad

Učinak: dok je uređaj povezan s Wi-Fi mrežom, napadač na istoj toj mreži mogao bi uzrokovati resetiranje uređaja

Opis: u načinu obrade Wi-Fi okvira postojao je problem s provjerom granica. Dok je uređaj povezan s Wi-Fi mrežom, napadač na istoj toj mreži mogao bi uzrokovati resetiranje uređaja.

CVE-ID

CVE-2011-0162: Scott Boyd iz tvrtke ePlus Technology, inc.