U dokumentu se opisuje sigurnosni sadržaj ažuriranja softvera iOS 4.2.7, koje se može preuzeti i instalirati pomoću programa iTunes.
Radi zaštite svojih klijenata Apple ne otkriva sigurnosne probleme, ne razgovara o njima niti ih potvrđuje do dovršetka cjelovite istrage te objavljivanja potrebnih zakrpa i izdanja. Da biste doznali više o sigurnosti Appleovih proizvoda, idite na web-mjesto Sigurnost Appleovih proizvoda.
Informacije o PGP ključu za zaštitu Appleovih proizvoda potražite u članku "Korištenje PGP ključa za zaštitu Appleovih proizvoda".
Kada je moguće, slabe točke označene su CVE ID-ovima pomoću kojih je moguće pronaći dodatne informacije.
Da biste doznali više o sigurnosnim ažuriranjima, pročitajte članak "Appleova sigurnosna ažuriranja."
Ažuriranje softvera iOS 4.2.7 za iPhone
-
Pravilnik o pouzdanosti certifikata
Dostupno za: iOS od 4.2.5 do 4.2.6 za iPhone 4 (CDMA)
Učinak: napadač s povlaštenim položajem u mreži može presresti korisničke vjerodajnice i druge povjerljive podatke
Opis: izdavatelj registracija povezan sa servisom Comodo izdao je nekoliko lažnih SSL certifikata. Na taj način "napadač posrednik" može preusmjeriti veze i presresti korisničke vjerodajnice i druge povjerljive podatke. Problem je riješen uvrštavanjem lažnih certifikata na popis zabranjenih.
Napomena: u sustavima Mac OS X problem je riješen sigurnosnim ažuriranjem 2011-002. U sustavu Windows Safari se prilikom utvrđivanja pouzdanosti certifikata SSL poslužitelja oslanja na spremište certifikata operacijskog sustava u kojem se nalazi. Primjenom ažuriranja opisanog u članku Microsoftove baze znanja pod brojem 2524375 Safari će te certifikate početi smatrati nepouzdanima. Članak je dostupan na adresi http://support.microsoft.com/kb/2524375
-
QuickLook
Dostupno za: iOS od 4.2.5 do 4.2.6 za iPhone 4 (CDMA)
Učinak: prikaz zlonamjerne datoteke iz sustava Microsoft Office može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda
Opis: u načinu na koji QuickLook obrađuje datoteke iz sustava Microsoft Office postojali su problemi s oštećenjem memorije. Prikaz zlonamjerne datoteke iz sustava Microsoft Office može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda.
CVE-ID
CVE-2011-1417: Charlie Miller i Dion Blazakis koji rade na inicijativi Zero Day Initiative tvrtke Tipping Point
-
WebKit
Dostupno za: iOS od 4.2.5 do 4.2.6 za iPhone 4 (CDMA)
Učinak: pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda
Opis: u načinu obrade skupova čvorova postojao je problem s prekoračenjem cijelih brojeva. Pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda.
CVE-ID
CVE-2011-1290: Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp Weinmann i anonimni istraživač koji radi na inicijativi Zero Day Initiative tvrtke Tipping Point
-
WebKit
Dostupno za: iOS od 4.2.5 do 4.2.6 za iPhone 4 (CDMA)
Učinak: pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda
Opis: u načinu obrade tekstnih čvorova postojao je problem s korištenjem nakon oslobađanja. Pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili arbitrarno izvršavanje koda.
CVE-ID
CVE-2011-1344: Vupen Security koji radi na inicijativi Zero Day Initiative tvrtke Tipping Point te Martin Barbella