Az iPhone v1.0.1-es frissítés biztonsági tartalma
Ez a dokumentum az iPhone v1.0.1-es frissítés biztonsági tartalmát ismerteti, amelyet az alábbi lépéseket követve, az iTunes segítségével lehet letölteni és telepíteni.
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információkat.
Ahol csak lehetséges, a cikk a CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.
Az egyéb biztonsági frissítésekről az „Apple biztonsági frissítései” című cikkből tájékozódhat.
iPhone v1.0.1-es frissítése
Safari
CVE-ID: CVE-2007-2400
A következőkhöz érhető el: iPhone v1.0
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatása webhelyek közötti szkriptelést tehet lehetővé.
Leírás: A Safari biztonsági modellje megakadályozza, hogy a távoli weboldalak JavaScriptje a tartományukon kívüli oldalakat módosítsa. Ha az oldalfrissítés során a versenyhelyzeti probléma HTTP-átirányítással kombinálódik, előfordulhat, hogy az egyik oldalról származó JavaScript módosítja az átirányított oldalt. Ez lehetővé teheti a sütik és az oldalak olvasását vagy tetszőleges módosítását. A frissítés elhárítja a problémát azáltal, hogy javítja az ablaktulajdonságokhoz való hozzáférés vezérlését. Köszönjük Lawrence Lainak, Stan Switzernek és Ed Rowe-nak (Adobe Systems, Inc.), hogy bejelentették a problémát.
Safari
CVE-ID: CVE-2007-3944
A következőkhöz érhető el: iPhone v1.0
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek megtekintése tetszőleges programkód végrehajtására nyílt lehetőség.
Leírás: Halompuffer-túlcsordulások találhatók a Perl reguláriskifejezés-fordító (PCRE) könyvtárban, amelyet a JavaScript-motor használ a Safariban. Ha a felhasználókat egy ártó szándékkal létrehozott webhely meglátogatására buzdít egy felhasználót, a támadó elindíthatja a problémát, ami tetszőleges programkód végrehajtásához vezethet. A frissítés a JavaScript reguláris kifejezéseinek további ellenőrzésével hárítja el a problémát. Köszönjük Charlie Millernek és Jake Honoroffnak (Independent Security Evaluators), hogy bejelentették a problémákat.
WebCore
CVE-ID: CVE-2007-2401
A következőkhöz érhető el: iPhone v1.0
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatása webhelyek közötti kérelmeket tehet lehetővé.
Leírás: HTTP-injektálási probléma lépett fel az XMLHttpRequest fájlban, amikor a fejléceket HTTP-kéréssé szerializálta. Ha a felhasználót egy ártó szándékkal létrehozott weboldal meglátogatására buzdítja, a támadók webhelyek közötti szkriptelést indíthatnak. A frissítés a fejlécparaméterek további ellenőrzésével hárítja el a problémát. Köszönjük Richard Moore-nak (Westpoint Ltd.), hogy bejelentette a problémát.
WebKit
CVE-ID: CVE-2007-3742
A következőkhöz érhető el: iPhone v1.0
Érintett terület: Az URL-címekben szereplő hasonló karakterek felhasználhatók egy webhely maszkírozásához.
Leírás: A Nemzetközi doménnév (IDN) támogatás és a Safariba beágyazott Unicode-betűtípusok használhatók olyan URL-címek létrehozására, amelyek hasonló karaktereket tartalmaznak. Ezeket fel lehet használni egy ártó szándékkal létrehozott webhelyen arra, hogy egy olyan hamis webhelyre irányítsa a felhasználót, amely ránézésre valós doménnek tűnik. Ez a frissítés a tartománynevek érvényességének fokozott ellenőrzésével hárítja el a problémát. Köszönjük Tomohito Yoshinónak (Business Architects Inc.), hogy bejelentette a problémát.
WebKit
CVE-ID: CVE-2007-2399
A következőkhöz érhető el: iPhone v1.0
Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.
Leírás: A keretkészletek renderelésekor az érvénytelen típusátalakítások memóriasérülést okozhatnak. Előfordult, hogy egy ártó szándékkal létrehozott weboldal meglátogatása esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor. Köszönjük Rhys Kiddnek (Westnet), hogy bejelentette a problémát.
Telepítési megjegyzés
Ez a frissítés csak az iTunesban érhető el, és nem jelenik meg a számítógép Szoftverfrissítés alkalmazásában, sem az Apple-támogatás letöltési oldalán. Győződjön meg arról, hogy rendelkezik internetkapcsolattal, és telepítette az iTunes legújabb verzióját innen: (https://www.apple.com/hu/itunes/).
Az iTunes automatikusan ellenőrzi az Apple frissítési kiszolgálójának heti ütemezését. Amikor észlel egy frissítést, akkor le is tölti. Amikor az iPhone dokkolóban van, az iTunes felajánlja a felhasználónak a frissítés telepítésének lehetőségét. Ha lehetséges, javasoljuk az azonnali frissítést. A „ne telepítse” elem kiválasztásakor megjelenik a lehetőség, amikor legközelebb csatlakoztatja az iPhone-t. Az automatikus frissítési folyamat akár egy hetet is igénybe vehet, attól függően, hogy az iTunes amikor ellenőrzi a frissítéseket.
A frissítést manuálisan is elvégezheti az iTunes „Frissítések keresése” gombra vagy menüre kattintva. Ezt követően a frissítés akkor alkalmazható, amikor az iPhone dokkolva van a számítógéphez.
Az iPhone frissítésének ellenőrzése:
Lépjen a Beállítások menüpontba az iPhone-on.
Kattintson az Általános lehetőségre.
Kattintson a További információk elemre. A frissítés után a verzió „1.0.1 (1C25)” lesz.