Informacije o sigurnosnom sadržaju softverskog ažuriranja iOS 5.1

U ovom se dokumentu opisuje sigurnosni sadržaj softverskog ažuriranja iOS 5.1.

U ovom se dokumentu opisuje sigurnosni sadržaj softverskog ažuriranja iOS 5.1 koji se može preuzeti i instalirati pomoću programa iTunes.

Radi zaštite svojih klijenata Apple ne otkriva sigurnosne probleme, ne razgovara o njima niti ih potvrđuje do dovršetka cjelovite istrage te objavljivanja potrebnih zakrpa i izdanja. Da biste doznali više o sigurnosti Appleovih proizvoda, idite na web-mjesto Sigurnost Appleovih proizvoda.

Informacije o PGP ključu za zaštitu Appleovih proizvoda potražite u članku "Korištenje PGP ključa za zaštitu Appleovih proizvoda".

Kada je moguće, slabe točke označene su CVE ID-ovima, pomoću kojih je moguće pronaći dodatne informacije.

Da biste doznali više o sigurnosnim ažuriranjima, pročitajte članak "Appleova sigurnosna ažuriranja".

Softversko ažuriranje iOS 5.1

  • CFNetwork

    Dostupno za sljedeće uređaje: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (treće generacije) i novije, iPad, iPad 2

    Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati otkrivanje osjetljivih podataka

    Opis: postojao je problem u načinu na koji CFNetwork obrađuje pogrešno oblikovane URL-ove. Prilikom pristupa zlonamjernom URL-u CFNetwork je mogao poslati neočekivana zaglavlja zahtjeva.

    CVE-ID

    CVE-2012-0641: Erling Ellingsen iz Facebooka

  • HFS

    Dostupno za sljedeće uređaje: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (treće generacije) i novije, iPad, iPad 2

    Učinak: postavljanje slike diska sa zlonamjernim kodom moglo je dovesti do kvara uređaja ili izvršavanja nasumičnog koda

    Opis: uz rukovanje HFS kataloškim datotekama pojavio se nedostatan dotok podataka za operaciju s cjelobrojnom vrijednošću.

    CVE-ID

    CVE-2012-0642: pod2g

  • Kernel

    Dostupno za sljedeće uređaje: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (treće generacije) i novije, iPad, iPad 2

    Učinak: zlonamjeran program mogao je zaobići ograničenja memorije za testiranje

    Opis: prilikom rukovanja pozivima sustava za ispravljanje pogrešaka pojavio se logički problem. Zbog toga je zlonamjeran program mogao omogućiti izvršavanje koda u drugim programima uz iste korisničke ovlasti.

    CVE-ID

    CVE-2012-0643: 2012. iOS Jailbreak Dream Team

  • libresolv

    Dostupno za sljedeće uređaje: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (treće generacije) i novije, iPad, iPad 2

    Učinak: aplikacije koje koriste biblioteku libresolv mogle su biti podložne neočekivanom zatvaranju ili izvršavanju nasumičnog koda

    Opis: prilikom rukovanja zapisima DNS resursa pojavilo se prekoračenje cijelog broja s mogućim kvarom stoga.

    CVE-ID

    CVE-2011-3453: Ilja van Sprundel iz tvrtke IOActive

  • Zaključavanje lozinkom

    Dostupno za sljedeće uređaje: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (treće generacije) i novije, iPad, iPad 2

    Učinak: osoba s fizičkim pristupom uređaju mogla je zaobići zaključavanje zaslona

    Opis: prilikom primjene gesti prelaska prstom po zaslonskoj tipkovnici pojavio se problem sa stanjem nadmetanja. Zbog toga je osoba s fizičkim pristupom uređaju mogla zaobići zaslon sa zaključavanjem lozinkom.

    CVE-ID

    CVE-2012-0644: Roland Kohler iz Njemačkog saveznog mininstarstva ekonomije i tehnologije

  • Safari

    Dostupno za sljedeće uređaje: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (treće generacije) i novije, iPad, iPad 2

    Učinak: posjeti web-stranicama mogli su se bilježiti u povijest preglednika čak i ako je bilo aktivirano privatno pretraživanje

    Opis: privatno pretraživanje u pregledniku Safari namijenjeno je sprječavanju bilježenja sesije pregledavanja. Posjećene su se stranice, zbog toga što web-mjesto koristi JavaScript metode pushState ili replaceState, bilježile u povijesti preglednika čak i kad je bio aktiviran mod privatnog pregledavanja. Taj je problem riješen tako da se takvi posjeti ne bilježe kad je uključeno privatno pretraživanje.

    CVE-ID

    CVE-2012-0585: Eric Melville iz tvrtke American Express

  • Siri

    Dostupno za sljedeće uređaje: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (treće generacije) i novije, iPad, iPad 2

    Učinak: napadač s fizičkim pristupom zaključanom mobitelu mogao je pristupiti zadnje primljenom e-mailu

    Opis: u ograničenjima vezanim uz zaključavanje zaslona u značajci Siri otkrivena je pogreška u dizajnu. Ako je upotreba značajke Siri bila omogućena na zaključanom zaslonu, a aplikacija Mail otvorena s odabranom porukom zaštićenom zaključanim zaslonom, glasovnim se upravljanjem ta poruka mogla poslati bilo kojem primatelju. Taj je problem riješen onemogućivanjem prosljeđivanja aktivnih poruka sa zaključanog zaslona.

    CVE-ID

    CVE-2012-0645

  • VPN

    Dostupno za sljedeće uređaje: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (treće generacije) i novije, iPad, iPad 2

    Učinak: zlonamjerna konfiguracijska datoteka sustava mogla je uzrokovati izvršavanje nasumičnog koda sa sistemskim ovlastima

    Opis: prilikom rukovanja konfiguracijskim datotekama racoon pojavila se slaba točka vezana uz oblikovanje niza.

    CVE-ID

    CVE-2012-0646: pod2g

  • WebKit

    Dostupno za sljedeće uređaje: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (treće generacije) i novije, iPad, iPad 2

    Učinak: posjećivanjem zlonamjernog web-mjesta mogli su se otkriti kolačići

    Opis: u WebKitu se pojavio problem iz nekoliko izvora, koji može uzrokovati otkrivanje kolačića iz raznih izvora.

    CVE-ID

    CVE-2011-3887: Sergej Glazunov

  • WebKit

    Dostupno za sljedeće uređaje: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (treće generacije) i novije, iPad, iPad 2

    Učinak: posjećivanje zlonamjernog web-mjesta i povlačenje sadržaja mišem moglo je uzrokovati napad skriptama na više web-mjesta

    Opis: u WebKitu se pojavio problem iz nekoliko izvora koji može uzrokovati povlačenje i ispuštanje sadržaja iz raznih izvora.

    CVE-ID

    CVE-2012-0590: Adam Barth iz sigurnosnog tima za Google Chrome

  • WebKit

    Dostupno za sljedeće uređaje: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (treće generacije) i novije, iPad, iPad 2

    Učinak: posjet zlonamjernom web-mjestu mogao je uzrokovati napad unakrsnim skriptiranjem

    Opis: u WebKitu se pojavio veći broj problema iz nekoliko izvora.

    CVE-ID

    CVE-2011-3881: Sergej Glazunov

    CVE-2012-0586: Sergej Glazunov

    CVE-2012-0587: Sergej Glazunov

    CVE-2012-0588: Jochen Eisinger iz tima za Google Chrome

    CVE-2012-0589: Alan Austin s web-mjesta polyvore.com

  • WebKit

    Dostupno za sljedeće uređaje: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (treće generacije) i novije, iPad, iPad 2

    Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili nasumično izvršavanje koda

    Opis: u WebKitu je otkriven veći broj problema s neispravnom memorijom.

    CVE-ID

    CVE-2011-2825: wushi iz skupine team509 u sklopu inicijative Zero Day Initiative udruženja TippingPoint

    CVE-2011-2833: Apple

    CVE-2011-2846: Arthur Gerkis, miaubiz

    CVE-2011-2847: miaubiz, Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

    CVE-2011-2854: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

    CVE-2011-2855: Arthur Gerkis, wushi iz skupine team509 u sklopu iDefense VCP-a

    CVE-2011-2857: miaubiz

    CVE-2011-2860: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

    CVE-2011-2867: Dirk Schulze

    CVE-2011-2868: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

    CVE-2011-2869: Cris Neckar iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

    CVE-2011-2870: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

    CVE-2011-2871: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

    CVE-2011-2872: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

    CVE-2011-2873: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

    CVE-2011-2877: miaubiz

    CVE-2011-3885: miaubiz

    CVE-2011-3888: miaubiz

    CVE-2011-3897: pa_kt u sklopu inicijative Zero Day Initiative udruženja TippingPoint

    CVE-2011-3908: Aki Helin iz OUSPG-a

    CVE-2011-3909: tim za sigurnost preglednika Google Chrome (scarybeasts) i Chu

    CVE-2011-3928: wushi iz skupine team509 u sklopu inicijative Zero Day Initiative udruženja TippingPoint

    CVE-2012-0591: miaubiz i Martin Barbella

    CVE-2012-0592: Alexander Gavrun u sklopu incijative Zero Day Initiative udruženja TippingPoint

    CVE-2012-0593: Lei Zhang iz zajednice za razvoj Chromiuma

    CVE-2012-0594: Adam Klein iz zajednice za razvoj Chromium

    CVE-2012-0595: Apple

    CVE-2012-0596: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

    CVE-2012-0597: miaubiz

    CVE-2012-0598: Sergej Glazunov

    CVE-2012-0599: Dmitro Gorbunov s web-mjesta SaveSources.com

    CVE-2012-0600: Marshall Greenblatt, Dharani Govindan iz Google Chromea, miaubiz, Aki Helin iz OUSPG-a, Apple

    CVE-2012-0601: Apple

    CVE-2012-0602: Apple

    CVE-2012-0603: Apple

    CVE-2012-0604: Apple

    CVE-2012-0605: Apple

    CVE-2012-0606: Apple

    CVE-2012-0607: Apple

    CVE-2012-0608: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

    CVE-2012-0609: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

    CVE-2012-0610: miaubiz, Martin Barbella pomoću alata AddressSanitizer

    CVE-2012-0611: Martin Barbella pomoću alata AddressSanitizer

    CVE-2012-0612: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

    CVE-2012-0613: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

    CVE-2012-0614: miaubiz, Martin Barbella pomoću alata AddressSanitizer

    CVE-2012-0615: Martin Barbella pomoću alata AddressSanitizer

    CVE-2012-0616: miaubiz

    CVE-2012-0617: Martin Barbella pomoću alata AddressSanitizer

    CVE-2012-0618: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

    CVE-2012-0619: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

    CVE-2012-0620: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

    CVE-2012-0621: Martin Barbella pomoću alata AddressSanitizer

    CVE-2012-0622: Dave Levin i Abhishek Arya iz tima za sigurnost preglednika Google Chrome

    CVE-2012-0623: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

    CVE-2012-0624: Martin Barbella pomoću alata AddressSanitizer

    CVE-2012-0625: Martin Barbella

    CVE-2012-0626: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

    CVE-2012-0627: Apple

    CVE-2012-0628: Slawomir Blazek, miaubiz, Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

    CVE-2012-0629: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome

    CVE-2012-0630: Sergio Villar Senin iz tvrtke Igalia

    CVE-2012-0631: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome

    CVE-2012-0632: Cris Neckar iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

    CVE-2012-0633: Apple

    CVE-2012-0635: Julien Chaffraix iz zajednice za razvoj Chromiuma, Martin Barbella pomoću alata AddressSanitizer

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ni proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Prilikom korištenja interneta uvijek postoje rizici. Obratite se davatelju usluge da biste saznali više. Nazivi drugih tvrtki i proizvoda mogu biti robne marke svojih vlasnika.

Datum objave: