U ovom se dokumentu opisuje sigurnosni sadržaj softverskog ažuriranja iOS 5.1 koji se može preuzeti i instalirati pomoću programa iTunes.
Radi zaštite svojih klijenata Apple ne otkriva sigurnosne probleme, ne razgovara o njima niti ih potvrđuje do dovršetka cjelovite istrage te objavljivanja potrebnih zakrpa i izdanja. Da biste doznali više o sigurnosti Appleovih proizvoda, idite na web-mjesto Sigurnost Appleovih proizvoda.
Informacije o PGP ključu za zaštitu Appleovih proizvoda potražite u članku "Korištenje PGP ključa za zaštitu Appleovih proizvoda".
Kada je moguće, slabe točke označene su CVE ID-ovima, pomoću kojih je moguće pronaći dodatne informacije.
Da biste doznali više o sigurnosnim ažuriranjima, pročitajte članak "Appleova sigurnosna ažuriranja".
Softversko ažuriranje iOS 5.1
- 

- 

CFNetwork

Dostupno za sljedeće uređaje: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (treće generacije) i novije, iPad, iPad 2

Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati otkrivanje osjetljivih podataka

Opis: postojao je problem u načinu na koji CFNetwork obrađuje pogrešno oblikovane URL-ove. Prilikom pristupa zlonamjernom URL-u CFNetwork je mogao poslati neočekivana zaglavlja zahtjeva.

CVE-ID

CVE-2012-0641: Erling Ellingsen iz Facebooka

 

- 

- 

HFS

Dostupno za sljedeće uređaje: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (treće generacije) i novije, iPad, iPad 2

Učinak: postavljanje slike diska sa zlonamjernim kodom moglo je dovesti do kvara uređaja ili izvršavanja nasumičnog koda

Opis: uz rukovanje HFS kataloškim datotekama pojavio se nedostatan dotok podataka za operaciju s cjelobrojnom vrijednošću.

CVE-ID

CVE-2012-0642: pod2g

 

- 

- 

Kernel

Dostupno za sljedeće uređaje: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (treće generacije) i novije, iPad, iPad 2

Učinak: zlonamjeran program mogao je zaobići ograničenja memorije za testiranje

Opis: prilikom rukovanja pozivima sustava za ispravljanje pogrešaka pojavio se logički problem. Zbog toga je zlonamjeran program mogao omogućiti izvršavanje koda u drugim programima uz iste korisničke ovlasti.

CVE-ID

CVE-2012-0643: 2012. iOS Jailbreak Dream Team

 

- 

- 

libresolv

Dostupno za sljedeće uređaje: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (treće generacije) i novije, iPad, iPad 2

Učinak: aplikacije koje koriste biblioteku libresolv mogle su biti podložne neočekivanom zatvaranju ili izvršavanju nasumičnog koda

Opis: prilikom rukovanja zapisima DNS resursa pojavilo se prekoračenje cijelog broja s mogućim kvarom stoga.

CVE-ID

CVE-2011-3453: Ilja van Sprundel iz tvrtke IOActive

 

- 

- 

Zaključavanje lozinkom

Dostupno za sljedeće uređaje: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (treće generacije) i novije, iPad, iPad 2

Učinak: osoba s fizičkim pristupom uređaju mogla je zaobići zaključavanje zaslona

Opis: prilikom primjene gesti prelaska prstom po zaslonskoj tipkovnici pojavio se problem sa stanjem nadmetanja. Zbog toga je osoba s fizičkim pristupom uređaju mogla zaobići zaslon sa zaključavanjem lozinkom.

CVE-ID

CVE-2012-0644: Roland Kohler iz Njemačkog saveznog mininstarstva ekonomije i tehnologije

 

- 

- 

Safari

Dostupno za sljedeće uređaje: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (treće generacije) i novije, iPad, iPad 2

Učinak: posjeti web-stranicama mogli su se bilježiti u povijest preglednika čak i ako je bilo aktivirano privatno pretraživanje

Opis: privatno pretraživanje u pregledniku Safari namijenjeno je sprječavanju bilježenja sesije pregledavanja. Posjećene su se stranice, zbog toga što web-mjesto koristi JavaScript metode pushState ili replaceState, bilježile u povijesti preglednika čak i kad je bio aktiviran mod privatnog pregledavanja. Taj je problem riješen tako da se takvi posjeti ne bilježe kad je uključeno privatno pretraživanje.

CVE-ID

CVE-2012-0585: Eric Melville iz tvrtke American Express

 

- 

- 

Siri

Dostupno za sljedeće uređaje: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (treće generacije) i novije, iPad, iPad 2

Učinak: napadač s fizičkim pristupom zaključanom mobitelu mogao je pristupiti zadnje primljenom e-mailu

Opis: u ograničenjima vezanim uz zaključavanje zaslona u značajci Siri otkrivena je pogreška u dizajnu. Ako je upotreba značajke Siri bila omogućena na zaključanom zaslonu, a aplikacija Mail otvorena s odabranom porukom zaštićenom zaključanim zaslonom, glasovnim se upravljanjem ta poruka mogla poslati bilo kojem primatelju. Taj je problem riješen onemogućivanjem prosljeđivanja aktivnih poruka sa zaključanog zaslona.

CVE-ID

CVE-2012-0645

 

- 

- 

VPN

Dostupno za sljedeće uređaje: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (treće generacije) i novije, iPad, iPad 2

Učinak: zlonamjerna konfiguracijska datoteka sustava mogla je uzrokovati izvršavanje nasumičnog koda sa sistemskim ovlastima

Opis: prilikom rukovanja konfiguracijskim datotekama racoon pojavila se slaba točka vezana uz oblikovanje niza.

CVE-ID

CVE-2012-0646: pod2g

 

- 

- 

WebKit

Dostupno za sljedeće uređaje: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (treće generacije) i novije, iPad, iPad 2

Učinak: posjećivanjem zlonamjernog web-mjesta mogli su se otkriti kolačići

Opis: u WebKitu se pojavio problem iz nekoliko izvora, koji može uzrokovati otkrivanje kolačića iz raznih izvora.

CVE-ID

CVE-2011-3887: Sergej Glazunov

 

- 

- 

WebKit

Dostupno za sljedeće uređaje: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (treće generacije) i novije, iPad, iPad 2

Učinak: posjećivanje zlonamjernog web-mjesta i povlačenje sadržaja mišem moglo je uzrokovati napad skriptama na više web-mjesta

Opis: u WebKitu se pojavio problem iz nekoliko izvora koji može uzrokovati povlačenje i ispuštanje sadržaja iz raznih izvora.

CVE-ID

CVE-2012-0590: Adam Barth iz sigurnosnog tima za Google Chrome

 

- 

- 

WebKit

Dostupno za sljedeće uređaje: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (treće generacije) i novije, iPad, iPad 2

Učinak: posjet zlonamjernom web-mjestu mogao je uzrokovati napad unakrsnim skriptiranjem

Opis: u WebKitu se pojavio veći broj problema iz nekoliko izvora.

CVE-ID

CVE-2011-3881: Sergej Glazunov

CVE-2012-0586: Sergej Glazunov

CVE-2012-0587: Sergej Glazunov

CVE-2012-0588: Jochen Eisinger iz tima za Google Chrome

CVE-2012-0589: Alan Austin s web-mjesta polyvore.com

 

- 

- 

WebKit

Dostupno za sljedeće uređaje: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (treće generacije) i novije, iPad, iPad 2

Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili nasumično izvršavanje koda

Opis: u WebKitu je otkriven veći broj problema s neispravnom memorijom.

CVE-ID

CVE-2011-2825: wushi iz skupine team509 u sklopu inicijative Zero Day Initiative udruženja TippingPoint

CVE-2011-2833: Apple

CVE-2011-2846: Arthur Gerkis, miaubiz

CVE-2011-2847: miaubiz, Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

CVE-2011-2854: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

CVE-2011-2855: Arthur Gerkis, wushi iz skupine team509 u sklopu iDefense VCP-a

CVE-2011-2857: miaubiz

CVE-2011-2860: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

CVE-2011-2867: Dirk Schulze

CVE-2011-2868: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

CVE-2011-2869: Cris Neckar iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

CVE-2011-2870: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

CVE-2011-2871: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

CVE-2011-2872: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

CVE-2011-2873: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

CVE-2011-2877: miaubiz

CVE-2011-3885: miaubiz

CVE-2011-3888: miaubiz

CVE-2011-3897: pa_kt u sklopu inicijative Zero Day Initiative udruženja TippingPoint

CVE-2011-3908: Aki Helin iz OUSPG-a

CVE-2011-3909: tim za sigurnost preglednika Google Chrome (scarybeasts) i Chu

CVE-2011-3928: wushi iz skupine team509 u sklopu inicijative Zero Day Initiative udruženja TippingPoint

CVE-2012-0591: miaubiz i Martin Barbella

CVE-2012-0592: Alexander Gavrun u sklopu incijative Zero Day Initiative udruženja TippingPoint

CVE-2012-0593: Lei Zhang iz zajednice za razvoj Chromiuma

CVE-2012-0594: Adam Klein iz zajednice za razvoj Chromium

CVE-2012-0595: Apple

CVE-2012-0596: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

CVE-2012-0597: miaubiz

CVE-2012-0598: Sergej Glazunov

CVE-2012-0599: Dmitro Gorbunov s web-mjesta SaveSources.com

CVE-2012-0600: Marshall Greenblatt, Dharani Govindan iz Google Chromea, miaubiz, Aki Helin iz OUSPG-a, Apple

CVE-2012-0601: Apple

CVE-2012-0602: Apple

CVE-2012-0603: Apple

CVE-2012-0604: Apple

CVE-2012-0605: Apple

CVE-2012-0606: Apple

CVE-2012-0607: Apple

CVE-2012-0608: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

CVE-2012-0609: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

CVE-2012-0610: miaubiz, Martin Barbella pomoću alata AddressSanitizer

CVE-2012-0611: Martin Barbella pomoću alata AddressSanitizer

CVE-2012-0612: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

CVE-2012-0613: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

CVE-2012-0614: miaubiz, Martin Barbella pomoću alata AddressSanitizer

CVE-2012-0615: Martin Barbella pomoću alata AddressSanitizer

CVE-2012-0616: miaubiz

CVE-2012-0617: Martin Barbella pomoću alata AddressSanitizer

CVE-2012-0618: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

CVE-2012-0619: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

CVE-2012-0620: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

CVE-2012-0621: Martin Barbella pomoću alata AddressSanitizer

CVE-2012-0622: Dave Levin i Abhishek Arya iz tima za sigurnost preglednika Google Chrome

CVE-2012-0623: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

CVE-2012-0624: Martin Barbella pomoću alata AddressSanitizer

CVE-2012-0625: Martin Barbella

CVE-2012-0626: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

CVE-2012-0627: Apple

CVE-2012-0628: Slawomir Blazek, miaubiz, Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

CVE-2012-0629: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome

CVE-2012-0630: Sergio Villar Senin iz tvrtke Igalia

CVE-2012-0631: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome

CVE-2012-0632: Cris Neckar iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

CVE-2012-0633: Apple

CVE-2012-0635: Julien Chaffraix iz zajednice za razvoj Chromiuma, Martin Barbella pomoću alata AddressSanitizer