Az iPhone készülékekhez készült iOS 4.2.7-es szoftverfrissítés biztonsági változásjegyzéke

Ez a dokumentum az iOS 4.2.7-es szoftverfrissítés biztonsági változásjegyzékét ismerteti.

Ez a dokumentum az iTunes segítségével letölthető és telepíthető iOS 4.2.7 szoftverfrissítés biztonsági változásjegyzékét ismerteti.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk a CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről „Az Apple biztonsági frissítései” című cikkből tájékozódhat.

iOS 4.2.7 szoftverfrissítés iPhone-hoz

• Certificate Trust Policy

  A következőkhöz érhető el: iOS 4.2.5–4.2.6 rendszerű iPhone 4 (CDMA)

  Érintett terület: Egy magas hálózati jogosultságú támadó meg tudott szerezni felhasználói hitelesítési adatokat vagy egyéb bizalmas információkat

  Leírás: A Comodóhoz társult egyik regisztrációszolgáltató több hamis SSL-tanúsítványt adott ki, amelyek lehetővé tették a közbeékelődő támadók számára a kapcsolatok átirányítását, és így a felhasználói hitelesítő adatokhoz és más bizalmas információkhoz való illetéktelen hozzáférést. Azáltal hárították el a problémát, hogy letiltották a hamis tanúsítványokat.

  Megjegyzés: Mac OS X rendszerek esetén a problémát a 2011-002-es biztonsági frissítés hárítja el. Windows rendszerek esetén a Safari a gazdagép operációs rendszerének tanúsítványtárolója alapján határozza meg, hogy megbízható-e a kiszolgálói SSL-tanúsítvány. A frissítés Microsoft 2524375-ös számú cikke szerinti alkalmazása esetén a Safari megbízhatatlanként fogja kezelni ezeket a tanúsítványokat. A cikk a következő weboldalon található: http://support.microsoft.com/kb/2524375

• QuickLook

  A következőkhöz érhető el: iOS 4.2.5–4.2.6 rendszerű iPhone 4 (CDMA)

  Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott Microsoft Office-fájlok letöltése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor

  Leírás: Memóriasérülési hiba lépett fel a Microsoft Office-fájlok QuickLook általi kezelésekor. Előfordult, hogy az ártó szándékkal létrehozott Microsoft Office-fájlok letöltése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

  CVE-ID

  CVE-2011-1417: Charlie Miller és Dion Blazakis a TippingPoint Zero Day Initiative kezdeményezése keretében

• WebKit

  A következőkhöz érhető el: iOS 4.2.5–4.2.6 rendszerű iPhone 4 (CDMA)

  Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

  Leírás: Egészszám-túlcsordulási probléma lépett fel a csomópontkészletek kezelésekor. Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

  CVE-azonosító

  CVE-2011-1290: Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp Weinmann és egy anonim kutató a TippingPoint Zero Day Initiative kezdeményezésének közreműködőjeként

• WebKit

  A következőkhöz érhető el: iOS 4.2.5–4.2.6 rendszerű iPhone 4 (CDMA)

  Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett

  Leírás: Felszabadítás utáni használattal kapcsolatos probléma lépett fel a szöveges csomópontok kezelésekor. Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

  CVE-ID

  CVE-2011-1344: Vupen Security (a TippingPoint Zero Day Initiative kezdeményezésének közreműködőjeként) és Martin Barbella