Informacije o sigurnosnom sadržaju softverskog ažuriranja iOS 5.1

U ovom se dokumentu opisuje sigurnosni sadržaj softverskog ažuriranja iOS 5.1.

U ovom se dokumentu opisuje sigurnosni sadržaj softverskog ažuriranja iOS 5.1 koji se može preuzeti i instalirati pomoću programa iTunes.

Radi zaštite svojih klijenata Apple ne otkriva sigurnosne probleme, ne razgovara o njima niti ih potvrđuje do dovršetka cjelovite istrage te objavljivanja potrebnih zakrpa i izdanja. Da biste doznali više o sigurnosti Appleovih proizvoda, idite na web-mjesto Sigurnost Appleovih proizvoda.

Informacije o PGP ključu za zaštitu Appleovih proizvoda potražite u članku "Korištenje PGP ključa za zaštitu Appleovih proizvoda".

Kada je moguće, slabe točke označene su CVE ID-ovima, pomoću kojih je moguće pronaći dodatne informacije.

Da biste doznali više o sigurnosnim ažuriranjima, pročitajte članak "Appleova sigurnosna ažuriranja".

Softversko ažuriranje iOS 5.1

CFNetwork

Dostupno za sljedeće uređaje: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (treće generacije) i novije, iPad, iPad 2

Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati otkrivanje osjetljivih podataka

Opis: postojao je problem u načinu na koji CFNetwork obrađuje pogrešno oblikovane URL-ove. Prilikom pristupa zlonamjernom URL-u CFNetwork je mogao poslati neočekivana zaglavlja zahtjeva.

CVE-ID

CVE-2012-0641: Erling Ellingsen iz Facebooka

HFS

Dostupno za sljedeće uređaje: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (treće generacije) i novije, iPad, iPad 2

Učinak: postavljanje slike diska sa zlonamjernim kodom moglo je dovesti do kvara uređaja ili izvršavanja nasumičnog koda

Opis: uz rukovanje HFS kataloškim datotekama pojavio se nedostatan dotok podataka za operaciju s cjelobrojnom vrijednošću.

CVE-ID

CVE-2012-0642: pod2g

Kernel

Dostupno za sljedeće uređaje: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (treće generacije) i novije, iPad, iPad 2

Učinak: zlonamjeran program mogao je zaobići ograničenja memorije za testiranje

Opis: prilikom rukovanja pozivima sustava za ispravljanje pogrešaka pojavio se logički problem. Zbog toga je zlonamjeran program mogao omogućiti izvršavanje koda u drugim programima uz iste korisničke ovlasti.

CVE-ID

CVE-2012-0643: 2012. iOS Jailbreak Dream Team

libresolv

Dostupno za sljedeće uređaje: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (treće generacije) i novije, iPad, iPad 2

Učinak: aplikacije koje koriste biblioteku libresolv mogle su biti podložne neočekivanom zatvaranju ili izvršavanju nasumičnog koda

Opis: prilikom rukovanja zapisima DNS resursa pojavilo se prekoračenje cijelog broja s mogućim kvarom stoga.

CVE-ID

CVE-2011-3453: Ilja van Sprundel iz tvrtke IOActive

Zaključavanje lozinkom

Dostupno za sljedeće uređaje: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (treće generacije) i novije, iPad, iPad 2

Učinak: osoba s fizičkim pristupom uređaju mogla je zaobići zaključavanje zaslona

Opis: prilikom primjene gesti prelaska prstom po zaslonskoj tipkovnici pojavio se problem sa stanjem nadmetanja. Zbog toga je osoba s fizičkim pristupom uređaju mogla zaobići zaslon sa zaključavanjem lozinkom.

CVE-ID

CVE-2012-0644: Roland Kohler iz Njemačkog saveznog mininstarstva ekonomije i tehnologije

Safari

Dostupno za sljedeće uređaje: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (treće generacije) i novije, iPad, iPad 2

Učinak: posjeti web-stranicama mogli su se bilježiti u povijest preglednika čak i ako je bilo aktivirano privatno pretraživanje

Opis: privatno pretraživanje u pregledniku Safari namijenjeno je sprječavanju bilježenja sesije pregledavanja. Posjećene su se stranice, zbog toga što web-mjesto koristi JavaScript metode pushState ili replaceState, bilježile u povijesti preglednika čak i kad je bio aktiviran mod privatnog pregledavanja. Taj je problem riješen tako da se takvi posjeti ne bilježe kad je uključeno privatno pretraživanje.

CVE-ID

CVE-2012-0585: Eric Melville iz tvrtke American Express

Siri

Dostupno za sljedeće uređaje: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (treće generacije) i novije, iPad, iPad 2

Učinak: napadač s fizičkim pristupom zaključanom mobitelu mogao je pristupiti zadnje primljenom e-mailu

Opis: u ograničenjima vezanim uz zaključavanje zaslona u značajci Siri otkrivena je pogreška u dizajnu. Ako je upotreba značajke Siri bila omogućena na zaključanom zaslonu, a aplikacija Mail otvorena s odabranom porukom zaštićenom zaključanim zaslonom, glasovnim se upravljanjem ta poruka mogla poslati bilo kojem primatelju. Taj je problem riješen onemogućivanjem prosljeđivanja aktivnih poruka sa zaključanog zaslona.

CVE-ID

CVE-2012-0645

VPN

Dostupno za sljedeće uređaje: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (treće generacije) i novije, iPad, iPad 2

Učinak: zlonamjerna konfiguracijska datoteka sustava mogla je uzrokovati izvršavanje nasumičnog koda sa sistemskim ovlastima

Opis: prilikom rukovanja konfiguracijskim datotekama racoon pojavila se slaba točka vezana uz oblikovanje niza.

CVE-ID

CVE-2012-0646: pod2g

WebKit

Dostupno za sljedeće uređaje: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (treće generacije) i novije, iPad, iPad 2

Učinak: posjećivanjem zlonamjernog web-mjesta mogli su se otkriti kolačići

Opis: u WebKitu se pojavio problem iz nekoliko izvora, koji može uzrokovati otkrivanje kolačića iz raznih izvora.

CVE-ID

CVE-2011-3887: Sergej Glazunov

WebKit

Dostupno za sljedeće uređaje: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (treće generacije) i novije, iPad, iPad 2

Učinak: posjećivanje zlonamjernog web-mjesta i povlačenje sadržaja mišem moglo je uzrokovati napad skriptama na više web-mjesta

Opis: u WebKitu se pojavio problem iz nekoliko izvora koji može uzrokovati povlačenje i ispuštanje sadržaja iz raznih izvora.

CVE-ID

CVE-2012-0590: Adam Barth iz sigurnosnog tima za Google Chrome

WebKit

Dostupno za sljedeće uređaje: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (treće generacije) i novije, iPad, iPad 2

Učinak: posjet zlonamjernom web-mjestu mogao je uzrokovati napad unakrsnim skriptiranjem

Opis: u WebKitu se pojavio veći broj problema iz nekoliko izvora.

CVE-ID

CVE-2011-3881: Sergej Glazunov

CVE-2012-0586: Sergej Glazunov

CVE-2012-0587: Sergej Glazunov

CVE-2012-0588: Jochen Eisinger iz tima za Google Chrome

CVE-2012-0589: Alan Austin s web-mjesta polyvore.com

WebKit

Dostupno za sljedeće uređaje: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (treće generacije) i novije, iPad, iPad 2

Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili nasumično izvršavanje koda

Opis: u WebKitu je otkriven veći broj problema s neispravnom memorijom.

CVE-ID

CVE-2011-2825: wushi iz skupine team509 u sklopu inicijative Zero Day Initiative udruženja TippingPoint

CVE-2011-2833: Apple

CVE-2011-2846: Arthur Gerkis, miaubiz

CVE-2011-2847: miaubiz, Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

CVE-2011-2854: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

CVE-2011-2855: Arthur Gerkis, wushi iz skupine team509 u sklopu iDefense VCP-a

CVE-2011-2857: miaubiz

CVE-2011-2860: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

CVE-2011-2867: Dirk Schulze

CVE-2011-2868: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

CVE-2011-2869: Cris Neckar iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

CVE-2011-2870: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

CVE-2011-2871: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

CVE-2011-2872: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

CVE-2011-2873: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

CVE-2011-2877: miaubiz

CVE-2011-3885: miaubiz

CVE-2011-3888: miaubiz

CVE-2011-3897: pa_kt u sklopu inicijative Zero Day Initiative udruženja TippingPoint

CVE-2011-3908: Aki Helin iz OUSPG-a

CVE-2011-3909: tim za sigurnost preglednika Google Chrome (scarybeasts) i Chu

CVE-2011-3928: wushi iz skupine team509 u sklopu inicijative Zero Day Initiative udruženja TippingPoint

CVE-2012-0591: miaubiz i Martin Barbella

CVE-2012-0592: Alexander Gavrun u sklopu incijative Zero Day Initiative udruženja TippingPoint

CVE-2012-0593: Lei Zhang iz zajednice za razvoj Chromiuma

CVE-2012-0594: Adam Klein iz zajednice za razvoj Chromium

CVE-2012-0595: Apple

CVE-2012-0596: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

CVE-2012-0597: miaubiz

CVE-2012-0598: Sergej Glazunov

CVE-2012-0599: Dmitro Gorbunov s web-mjesta SaveSources.com

CVE-2012-0600: Marshall Greenblatt, Dharani Govindan iz Google Chromea, miaubiz, Aki Helin iz OUSPG-a, Apple

CVE-2012-0601: Apple

CVE-2012-0602: Apple

CVE-2012-0603: Apple

CVE-2012-0604: Apple

CVE-2012-0605: Apple

CVE-2012-0606: Apple

CVE-2012-0607: Apple

CVE-2012-0608: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

CVE-2012-0609: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

CVE-2012-0610: miaubiz, Martin Barbella pomoću alata AddressSanitizer

CVE-2012-0611: Martin Barbella pomoću alata AddressSanitizer

CVE-2012-0612: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

CVE-2012-0613: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

CVE-2012-0614: miaubiz, Martin Barbella pomoću alata AddressSanitizer

CVE-2012-0615: Martin Barbella pomoću alata AddressSanitizer

CVE-2012-0616: miaubiz

CVE-2012-0617: Martin Barbella pomoću alata AddressSanitizer

CVE-2012-0618: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

CVE-2012-0619: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

CVE-2012-0620: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

CVE-2012-0621: Martin Barbella pomoću alata AddressSanitizer

CVE-2012-0622: Dave Levin i Abhishek Arya iz tima za sigurnost preglednika Google Chrome

CVE-2012-0623: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

CVE-2012-0624: Martin Barbella pomoću alata AddressSanitizer

CVE-2012-0625: Martin Barbella

CVE-2012-0626: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

CVE-2012-0627: Apple

CVE-2012-0628: Slawomir Blazek, miaubiz, Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

CVE-2012-0629: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome

CVE-2012-0630: Sergio Villar Senin iz tvrtke Igalia

CVE-2012-0631: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome

CVE-2012-0632: Cris Neckar iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

CVE-2012-0633: Apple

CVE-2012-0635: Julien Chaffraix iz zajednice za razvoj Chromiuma, Martin Barbella pomoću alata AddressSanitizer

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: 10. lipnja 2015.