Informacije o sigurnosnom sadržaju ažuriranja softvera iOS 5.0.1

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 5.0.1.

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 5.0.1, koji se može preuzeti i instalirati pomoću programa iTunes.

Radi zaštite svojih klijenata Apple ne otkriva sigurnosne probleme, ne razgovara o njima niti ih potvrđuje do dovršetka cjelovite istrage te objavljivanja potrebnih zakrpa i izdanja. Da biste doznali više o sigurnosti Appleovih proizvoda, idite na web-mjesto Sigurnost Appleovih proizvoda.

Informacije o PGP ključu za zaštitu Appleovih proizvoda potražite u članku "Korištenje PGP ključa za zaštitu Appleovih proizvoda".

Kada je moguće, slabe točke označene su CVE ID-ovima pomoću kojih je moguće pronaći dodatne informacije.

Da biste doznali više o sigurnosnim ažuriranjima, pročitajte članak "Appleova sigurnosna ažuriranja".

Ažuriranje softvera iOS 5.0.1

  • CFNetwork

    Dostupno za: iOS od 3.0 do 5.0 za iPhone 3GS, iPhone 4 i iPhone 4s, iOS od 3.1 do 5.0 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 5.0 za iPad, iOS od 4.3 do 5.0 za iPad 2

    Učinak: pristup zlonamjernom web-mjestu može uzrokovati otkrivanje osjetljivih podataka

    Opis: postojao je problem u načinu na koji CFNetwork obrađuje zlonamjerno oblikovane URL-ove. Prilikom pristupanja zlonamjernom URL-u s protokolom HTTP ili HTTPS CFNetwork mogao bi preći na pogrešan poslužitelj.

    CVE-ID

    CVE-2011-3246: Erling Ellingsen iz Facebooka

  • Jezgrena grafika

    Dostupno za: iOS od 3.0 do 5.0 za iPhone 3GS, iPhone 4 i iPhone 4s, iOS od 3.1 do 5.0 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 5.0 za iPad, iOS od 4.3 do 5.0 za iPad 2

    Učinak: otvaranje dokumenta sa zlonamjernim fontom može uzrokovati arbitrarno izvršavanje koda

    Opis: u komponenti FreeType postojalo je više problema s neispravnom memorijom, a najozbiljniji od njih mogao je dopustiti arbitrarno izvršavanje kodova prilikom obrade zlonamjerno sastavljenog fonta.

    CVE-ID

    CVE-2011-3439: Apple

  • Sigurnost podataka

    Dostupno za: iOS od 3.0 do 5.0 za iPhone 3GS, iPhone 4 i iPhone 4s, iOS od 3.1 do 5.0 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 5.0 za iPad, iOS od 4.3 do 5.0 za iPad 2

    Učinak: napadač s povlaštenim položajem u mreži može presresti korisničke vjerodajnice i druge povjerljive podatke

    Opis: dva izdavača certifikata s popisa pouzdanih korijenskih certifikata nezavisno su izdala privremene certifikate za DigiCert Malaysia. DigiCert Malaysia izdao je certifikate sa slabim ključevima koje ne može povući. Napadač s povlaštenim mjestom na mreži mogao bi presresti korisničke vjerodajnice ili druge osjetljive informacije namijenjene web-mjestu s certifikatom koji je izdao DigiCert Malaysia. Problem se rješava konfiguriranjem zadanih postavki pouzdanosti u sustavu tako da se certifikati koje izdaje DigiCert Malaysia ne smatraju pouzdanima. Želimo zahvaliti Bruceu Mortonu iz tvrtke Entrust, Inc. na prijavljivanju problema.

  • Kernel

    Dostupno za: iOS od 3.0 do 5.0 za iPhone 3GS, iPhone 4 i iPhone 4s, iOS od 3.1 do 5.0 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 5.0 za iPad, iOS od 4.3 do 5.0 za iPad 2

    Učinak: aplikacija može izvršiti nepotpisani kod

    Opis: načinu na koji je sistemski poziv mmap provjeravao valjane kombinacije oznaka postojao je problem s logikom. Problem može uzrokovati zaobilaženje provjera potpisivanja kodova. Problem ne utječe na uređaje s verzijom sustava iOS starijom od 4.3.

    CVE-ID

    CVE-2011-3442: Charlie Miller iz tvrtke Accuvant Labs

  • libinfo

    Dostupno za: iOS od 3.0 do 5.0 za iPhone 3GS, iPhone 4 i iPhone 4s, iOS od 3.1 do 5.0 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 5.0 za iPad, iOS od 4.3 do 5.0 za iPad 2

    Učinak: pristup zlonamjernom web-mjestu može uzrokovati otkrivanje osjetljivih podataka

    Opis: u načinu na koji libinfo obrađuje dohvaćanje naziva DNS-a postojao je problem. Libinfo bi prilikom razrješavanja zlonamjernog naziva hosta mogao vratiti netočan rezultat.

    CVE-ID

    CVE-2011-3441: Erling Ellingsen iz Facebooka, Per Johansson iz tvrtke Blocket AB

  • Zaključavanje lozinkom

    Dostupno za verzije od iOS 4.3 do 5.0 za iPad 2

    Učinak: osoba s fizičkim pristupom zaključanom uređaju iPad 2 mogla bi pristupiti nekim korisničkim podacima

    Opis: ako je otvoren Smart Cover dok iPad 2 potvrđuje isključivanje u zaključanom stanju, iPad neće zatražiti lozinku. To nekome omogućuje da pristupi iPad uređaju, ali ne može pristupiti podacima zaštićenima značajkom Zaštita podataka niti pokrenuti aplikacije.

    CVE-ID

    CVE-2011-3440

 

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: