U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 5.0.1, koji se može preuzeti i instalirati pomoću programa iTunes.
Radi zaštite svojih klijenata Apple ne otkriva sigurnosne probleme, ne razgovara o njima niti ih potvrđuje do dovršetka cjelovite istrage te objavljivanja potrebnih zakrpa i izdanja. Da biste doznali više o sigurnosti Appleovih proizvoda, idite na web-mjesto Sigurnost Appleovih proizvoda.
Informacije o PGP ključu za zaštitu Appleovih proizvoda potražite u članku "Korištenje PGP ključa za zaštitu Appleovih proizvoda".
Kada je moguće, slabe točke označene su CVE ID-ovima pomoću kojih je moguće pronaći dodatne informacije.
Da biste doznali više o sigurnosnim ažuriranjima, pročitajte članak "Appleova sigurnosna ažuriranja".
Ažuriranje softvera iOS 5.0.1
- 

- 

CFNetwork

Dostupno za: iOS od 3.0 do 5.0 za iPhone 3GS, iPhone 4 i iPhone 4s, iOS od 3.1 do 5.0 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 5.0 za iPad, iOS od 4.3 do 5.0 za iPad 2

Učinak: pristup zlonamjernom web-mjestu može uzrokovati otkrivanje osjetljivih podataka

Opis: postojao je problem u načinu na koji CFNetwork obrađuje zlonamjerno oblikovane URL-ove. Prilikom pristupanja zlonamjernom URL-u s protokolom HTTP ili HTTPS CFNetwork mogao bi preći na pogrešan poslužitelj.

CVE-ID

CVE-2011-3246: Erling Ellingsen iz Facebooka

 

- 

- 

Jezgrena grafika

Dostupno za: iOS od 3.0 do 5.0 za iPhone 3GS, iPhone 4 i iPhone 4s, iOS od 3.1 do 5.0 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 5.0 za iPad, iOS od 4.3 do 5.0 za iPad 2

Učinak: otvaranje dokumenta sa zlonamjernim fontom može uzrokovati arbitrarno izvršavanje koda

Opis: u komponenti FreeType postojalo je više problema s neispravnom memorijom, a najozbiljniji od njih mogao je dopustiti arbitrarno izvršavanje kodova prilikom obrade zlonamjerno sastavljenog fonta.

CVE-ID

CVE-2011-3439: Apple

 

- 

- 

Sigurnost podataka

Dostupno za: iOS od 3.0 do 5.0 za iPhone 3GS, iPhone 4 i iPhone 4s, iOS od 3.1 do 5.0 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 5.0 za iPad, iOS od 4.3 do 5.0 za iPad 2

Učinak: napadač s povlaštenim položajem u mreži može presresti korisničke vjerodajnice i druge povjerljive podatke

Opis: dva izdavača certifikata s popisa pouzdanih korijenskih certifikata nezavisno su izdala privremene certifikate za DigiCert Malaysia. DigiCert Malaysia izdao je certifikate sa slabim ključevima koje ne može povući. Napadač s povlaštenim mjestom na mreži mogao bi presresti korisničke vjerodajnice ili druge osjetljive informacije namijenjene web-mjestu s certifikatom koji je izdao DigiCert Malaysia. Problem se rješava konfiguriranjem zadanih postavki pouzdanosti u sustavu tako da se certifikati koje izdaje DigiCert Malaysia ne smatraju pouzdanima. Želimo zahvaliti Bruceu Mortonu iz tvrtke Entrust, Inc. na prijavljivanju problema.

 

- 

- 

Kernel

Dostupno za: iOS od 3.0 do 5.0 za iPhone 3GS, iPhone 4 i iPhone 4s, iOS od 3.1 do 5.0 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 5.0 za iPad, iOS od 4.3 do 5.0 za iPad 2

Učinak: aplikacija može izvršiti nepotpisani kod

Opis: načinu na koji je sistemski poziv mmap provjeravao valjane kombinacije oznaka postojao je problem s logikom. Problem može uzrokovati zaobilaženje provjera potpisivanja kodova. Problem ne utječe na uređaje s verzijom sustava iOS starijom od 4.3.

CVE-ID

CVE-2011-3442: Charlie Miller iz tvrtke Accuvant Labs

 

- 

- 

libinfo

Dostupno za: iOS od 3.0 do 5.0 za iPhone 3GS, iPhone 4 i iPhone 4s, iOS od 3.1 do 5.0 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 5.0 za iPad, iOS od 4.3 do 5.0 za iPad 2

Učinak: pristup zlonamjernom web-mjestu može uzrokovati otkrivanje osjetljivih podataka

Opis: u načinu na koji libinfo obrađuje dohvaćanje naziva DNS-a postojao je problem. Libinfo bi prilikom razrješavanja zlonamjernog naziva hosta mogao vratiti netočan rezultat.

CVE-ID

CVE-2011-3441: Erling Ellingsen iz Facebooka, Per Johansson iz tvrtke Blocket AB

 

- 

- 

Zaključavanje lozinkom

Dostupno za verzije od iOS 4.3 do 5.0 za iPad 2

Učinak: osoba s fizičkim pristupom zaključanom uređaju iPad 2 mogla bi pristupiti nekim korisničkim podacima

Opis: ako je otvoren Smart Cover dok iPad 2 potvrđuje isključivanje u zaključanom stanju, iPad neće zatražiti lozinku. To nekome omogućuje da pristupi iPad uređaju, ali ne može pristupiti podacima zaštićenima značajkom Zaštita podataka niti pokrenuti aplikacije.

CVE-ID

CVE-2011-3440