Az iOS 5.1-es szoftverfrissítés biztonsági tartalma
Ez a dokumentum az iOS 5.1-es szoftverfrissítés biztonsági tartalmát ismerteti.
Ez a dokumentum az iTunes szoftver segítségével letölthető és telepíthető iOS 5.1-es szoftverfrissítés biztonsági tartalmát ismerteti.
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információkat.
Ahol csak lehetséges, a cikk CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.
Más biztonsági frissítésekről „Az Apple biztonsági frissítései” című cikkből tájékozódhat.
Az iOS 5.1-es szoftverfrissítés
CFNetwork
A következő készülékekhez érhető el: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generációs és újabb), iPad, iPad 2
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatásakor a bizalmas adatok közzétételére került sor.
Leírás: Hiba lépett fel a helytelen formátumú URL-címek CFNetwork általi kezelésekor. Az ártó szándékkal létrehozott URL-címek megnyitásakor előfordult, hogy a CFNetwork váratlan kérésfejléceket küldött.
CVE-azonosító
CVE-2012-0641 : Erling Ellingsen (Facebook)
HFS
A következő készülékekhez érhető el: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generációs és újabb), iPad, iPad 2
Érintett terület: Az ártó szándékkal létrehozott lemezképek csatlakoztatásakor a készülék leállására vagy tetszőleges programkód végrehajtására kerülhetett sor.
Leírás: Egészszám-alulcsordulási probléma lépett fel a HFS-katalógusfájlok kezelésekor.
CVE-azonosító
CVE-2012-0642 : pod2g
Kernel
A következő készülékekhez érhető el: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generációs és újabb), iPad, iPad 2
Érintett terület: A rosszindulatú programok meg tudták kerülni a sandbox korlátozásait.
Leírás: Logikai probléma lépett fel a hibakeresési rendszerhívások kezelésekor, ami lehetővé tette a rosszindulatú programok számára, hogy programkód-végrehajtási jogosultságot szerezzenek más, azonos felhasználói jogosultságokkal rendelkező programokban.
CVE-azonosító
CVE-2012-0643 : 2012 iOS Jailbreak Dream Team
libresolv
A következő készülékekhez érhető el: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generációs és újabb), iPad, iPad 2
Érintett terület: A libresolv könyvtárat használó alkalmazások sebezhetők voltak a váratlan alkalmazásleállásokkal, illetve tetszőleges programkódok végrehajtásával szemben.
Leírás: Egészszám-túlcsordulási probléma lépett fel a DNS-erőforrásrekordok kezelésekor, ami alkalmazásmemória-sérüléshez vezethetett.
CVE-azonosító
CVE-2011-3453 : Ilja van Sprundel (IOActive)
Jelkódzár
A következő készülékekhez érhető el: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generációs és újabb), iPad, iPad 2
Érintett terület: A készülékhez fizikai hozzáféréssel rendelkező személyek meg tudták kerülni a kijelzőzárat.
Leírás: Versenyhelyzeti probléma lépett fel a tárcsázáshoz használt ujjmozdulatok kezelésekor, ami lehetővé tehette a készülékhez fizikai hozzáféréssel rendelkező személyek számára a Jelkódzár képernyő megkerülését.
CVE-azonosító
CVE-2012-0644 : Roland Kohler (Német Szövetségi Gazdasági és Technológiai Minisztérium)
Safari
A következő készülékekhez érhető el: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generációs és újabb), iPad, iPad 2
Érintett terület: A meglátogatott weboldalak akkor is bekerülhettek a böngészési előzmények közé, ha be volt kapcsolva a Privát böngészés.
Leírás: A Safari Privát böngészés funkciójának célja, hogy megakadályozza az adott böngészési munkamenet rögzítését. A pushState vagy a replaceState JavaScript-metódust alkalmazó webhelyek útján meglátogatott oldalak akkor is bekerültek a böngészési előzmények közé, ha a Privát böngészés mód be volt kapcsolva. Annak beállításával hárították el a problémát, hogy a rendszer ne rögzítse az ilyen látogatásokat, amikor a Privát böngészés be van kapcsolva.
CVE-azonosító
CVE-2012-0585 : Eric Melville (American Express)
Siri
A következő készülékekhez érhető el: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generációs és újabb), iPad, iPad 2
Érintett terület: A zárolt telefonhoz fizikai hozzáféréssel rendelkező támadók hozzá tudtak férni a legelöl található e-mailhez.
Leírás: Tervezési hiba állt fenn a Siri képernyő-zárolási korlátozásaival kapcsolatban. Ha a Siri használata zárolt képernyő mellett is engedélyezve volt, és a zárolt képernyő mögött a Mail nyitva volt egy kijelölt üzenettel, hangutasítással tetszőleges címzettnek el lehetett küldeni az adott üzenetet. Azáltal hárították el a problémát, hogy letiltották az aktív üzenetek zárolt képernyőről történő továbbítását.
CVE-azonosító
CVE-2012-0645
VPN
A következő készülékekhez érhető el: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generációs és újabb), iPad, iPad 2
Érintett terület: Az ártó szándékkal létrehozott rendszerkonfigurációs fájlok lehetőséget adtak tetszőleges programkód rendszerjogosultságokkal történő végrehajtására.
Leírás: Formázó karakterlánccal kapcsolatos biztonsági rés lépett fel a racoon démon konfigurációs fájljainak kezelésekor.
CVE-azonosító
CVE-2012-0646 : pod2g
WebKit
A következő készülékekhez érhető el: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generációs és újabb), iPad, iPad 2
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatása a sütik közzétételéhez vezetett.
Leírás: A WebKit motor kereszteredet-problémát tartalmazott, ami lehetővé tette a sütik eredetek közötti közzétételét.
CVE-azonosító
CVE-2011-3887 : Szergej Glazunov
WebKit
A következő készülékekhez érhető el: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generációs és újabb), iPad, iPad 2
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatása, majd a tartalom egérrel történő húzása webhelyek közötti, parancsfájlt alkalmazó támadásra adott lehetőséget.
Leírás: A WebKit motor kereszteredet-problémát tartalmazott, ami tartalom eredetek közötti húzását tette lehetővé.
CVE-azonosító
CVE-2012-0590 : Adam Barth (a Google Chrome biztonsági csapatának tagja)
WebKit
A következő készülékekhez érhető el: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generációs és újabb), iPad, iPad 2
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatása webhelyek közötti, parancsfájlt alkalmazó támadást tett lehetővé.
Leírás: A WebKit motor több kereszteredet-problémát tartalmazott.
CVE-azonosító
CVE-2011-3881 : Szergej Glazunov
CVE-2012-0586 : Szergej Glazunov
CVE-2012-0587 : Szergej Glazunov
CVE-2012-0588 : Jochen Eisinger (a Google Chrome csapatának tagja)
CVE-2012-0589 : Alan Austin (polyvore.com)
WebKit
A következő készülékekhez érhető el: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generációs és újabb), iPad, iPad 2
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.
Leírás: A WebKit motor több, memóriasérüléssel kapcsolatos problémát tartalmazott.
CVE-azonosító
CVE-2011-2825 : wushi (team509, a TippingPoint Zero Day Initiative kezdeményezésének közreműködőjeként)
CVE-2011-2833 : Apple
CVE-2011-2846 : Arthur Gerkis, miaubiz
CVE-2011-2847 : miaubiz, Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)
CVE-2011-2854 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)
CVE-2011-2855 : Arthur Gerkis, wushi (team509, az iDefense VCP közreműködőjeként)
CVE-2011-2857 : miaubiz
CVE-2011-2860 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)
CVE-2011-2867 : Dirk Schulze
CVE-2011-2868 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)
CVE-2011-2869 : Cris Neckar (a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)
CVE-2011-2870 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)
CVE-2011-2871 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)
CVE-2011-2872 : Abhishek Arya (Inferno) és Cris Neckar (a Google Chrome biztonsági csapatának tagjai; az AddressSanitizer eszköz segítségével)
CVE-2011-2873 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)
CVE-2011-2877 : miaubiz
CVE-2011-3885 : miaubiz
CVE-2011-3888 : miaubiz
CVE-2011-3897 : pa_kt (a TippingPoint Zero Day Initiative kezdeményezésének közreműködőjeként)
CVE-2011-3908 : Aki Helin (OUSPG)
CVE-2011-3909 : A Google Chrome biztonsági csapata (scarybeasts) és Chu
CVE-2011-3928 : wushi (team509, a TippingPoint Zero Day Initiative kezdeményezésének közreműködőjeként)
CVE-2012-0591 : miaubiz és Martin Barbella
CVE-2012-0592 : Alexander Gavrun (a TippingPoint Zero Day Initiative kezdeményezésének közreműködőjeként)
CVE-2012-0593 : Lei Zhang (Chromium fejlesztői közösség)
CVE-2012-0594 : Adam Klein (Chromium fejlesztői közösség)
CVE-2012-0595 : Apple
CVE-2012-0596 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)
CVE-2012-0597 : miaubiz
CVE-2012-0598 : Szergej Glazunov
CVE-2012-0599 : Dmytro Gorbunov (SaveSources.com)
CVE-2012-0600 : Marshall Greenblatt, Dharani Govindan (Google Chrome), miaubiz, Aki Helin (OUSPG), Apple
CVE-2012-0601 : Apple
CVE-2012-0602 : Apple
CVE-2012-0603 : Apple
CVE-2012-0604 : Apple
CVE-2012-0605 : Apple
CVE-2012-0606 : Apple
CVE-2012-0607 : Apple
CVE-2012-0608 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)
CVE-2012-0609 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)
CVE-2012-0610 : miaubiz, Martin Barbella (az AddressSanitizer eszköz segítségével)
CVE-2012-0611 : Martin Barbella (az AddressSanitizer eszköz segítségével)
CVE-2012-0612 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)
CVE-2012-0613 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)
CVE-2012-0614 : miaubiz, Martin Barbella (az AddressSanitizer eszköz segítségével)
CVE-2012-0615 : Martin Barbella (az AddressSanitizer eszköz segítségével)
CVE-2012-0616 : miaubiz
CVE-2012-0617 : Martin Barbella (az AddressSanitizer eszköz segítségével)
CVE-2012-0618 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)
CVE-2012-0619 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)
CVE-2012-0620 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)
CVE-2012-0621 : Martin Barbella (az AddressSanitizer eszköz segítségével)
CVE-2012-0622 : Dave Levin és Abhishek Arya (a Google Chrome biztonsági csapatának tagjai)
CVE-2012-0623 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)
CVE-2012-0624 : Martin Barbella (az AddressSanitizer eszköz segítségével)
CVE-2012-0625 : Martin Barbella
CVE-2012-0626 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)
CVE-2012-0627 : Apple
CVE-2012-0628 : Slawomir Blazek, miaubiz, Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)
CVE-2012-0629 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja)
CVE-2012-0630 : Sergio Villar Senin (Igalia)
CVE-2012-0631 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja)
CVE-2012-0632 : Cris Neckar (a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)
CVE-2012-0633 : Apple
CVE-2012-0635 : Julien Chaffraix (Chromium fejlesztői közösség), Martin Barbella (az AddressSanitizer eszköz segítségével)
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.