Az iPod touch készüléken futtatott iOS 3.1.3 és az iOS 3.1.3 biztonsági változásjegyzéke
Ez a dokumentum az iOS 3.1.3 és az iOS 3.1.3 iPod touchra vonatkozó biztonsági változásjegyzékét ismerteti.
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információkat.
Ahol csak lehetséges, a cikk a CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.
Más biztonsági frissítésekről „Az Apple biztonsági frissítései” című cikkből tájékozódhat.
iOS 3.1.3 és iPod touch készüléken futtatott iOS 3.1.3
CoreAudio
CVE-azonosító: CVE-2010-0036
A következőkhöz érhető el: iOS 1.0–3.1.2, iPod touch készüléken futtatott iOS 1.1–3.1.2
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott mp4 hangfájlok lejátszása esetén váratlan alkalmazásleállásra vagy tetszőleges kód végrehajtására került sor.
Leírás: Az mp4 hangfájlok kezelése során puffertúlcsordulás következhetett be. Előfordult, hogy az ártó szándékkal létrehozott mp4 hangfájlok lejátszása esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor. A határérték-ellenőrzés javításával kiküszöböltük a problémát. Köszönjük Tobias Kleinnek (trapkit.de), hogy jelentette a problémát.
ImageIO
CVE-azonosító: CVE-2009-2285
A következőkhöz érhető el: iOS 1.0–3.1.2, iPod touch készüléken futtatott iOS 1.1–3.1.2
Érintett terület: Az ártó szándékkal létrehozott TIFF-fájlok megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges kódvégrehajtáshoz vezethetett
Leírás: Puffertúlcsordulással kapcsolatos probléma lépett fel a TIFF-képek ImageIO általi kezelése során. Előfordult, hogy az ártó szándékkal létrehozott TIFF-képek megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor. A határérték-ellenőrzés javításával kiküszöböltük a problémát.
Recovery Mode
CVE-azonosító: CVE-2010-0038
A következőkhöz érhető el: iOS 1.0–3.1.2, iPod touch készüléken futtatott iOS 1.1–3.1.2
Érintett terület: Egy lezárt eszközhöz fizikai hozzáféréssel rendelkező személyek hozzáférhettek a felhasználó adataihoz.
Leírás: Memóriasérülési hiba lépett fel egy bizonyos USB-vezérlőüzenet kezelésekor. Egy, az eszközhöz fizikai hozzáféréssel rendelkező személy ezzel megkerülheti a jelkódot, és hozzáférhet a felhasználó adataihoz. Ezt a problémát az USB-vezérlőüzenet hatékonyabb kezelésével oldották meg.
WebKit
CVE-azonosító: CVE-2009-3384
A következőkhöz érhető el: iOS 1.0–3.1.2, iPod touch készüléken futtatott iOS 1.1–3.1.2
Érintett terület: Egy ártó szándékkal létrehozott FTP-szerver elérése váratlan alkalmazásleálláshoz, információ-közzétételhez vagy tetszőleges kódvégrehajtáshoz vezethet.
Leírás: Különböző bevitelérvényesítési problémák merültek fel a WebKit FTP-könyvtárlisták kezelésében. Egy ártó szándékkal létrehozott FTP-szerver elérése információ-közzétételhez, váratlan alkalmazásleálláshoz vagy tetszőleges kódvégrehajtáshoz vezethet. Ez a frissítés az FTP-könyvtárlisták jobb elemzése révén orvosolja a problémákat. Köszönjük Michal Zalewskinek (Google Inc.) a problémák jelentését.
WebKit
CVE-azonosító: CVE-2009-2841
A következőkhöz érhető el: iOS 1.0–3.1.2, iPod touch készüléken futtatott iOS 1.1–3.1.2
Érintett terület: A Mail távoli hang- és videotartalmakat tölthet be, ha a távoli képbetöltés le van tiltva.
Leírás: Amikor a WebKit külső erőforrásra mutató HTML 5 médiaelemmel találkozik, nem indít erőforrásbetöltési visszahívást annak meghatározására, hogy az erőforrást be kell-e tölteni. Ennek következtében nemkívánatos kérelmek érkezhetnek a távoli szerverekre. Például egy HTML-formátumú e-mail-üzenet feladója ezt arra használhatja, hogy megállapítsa, hogy elolvasták-e az üzenetet. A probléma elhárítására erőforrásbetöltési visszahívások generálódnak, amikor a WebKit HTML 5 médiaelemmel találkozik.
Fontos: A külső felek webhelyeinek és termékeinek megemlítése kizárólag tájékoztató célt szolgál, és nem értelmezhető sem jóváhagyásként, sem ajánlásként. Az Apple nem vállal felelősséget a harmadik felek webhelyein található információk vagy termékek választékáért, működéséért vagy használatáért. Az Apple ezt csak a felhasználók kényelme érdekében teszi elérhetővé. Az Apple nem tesztelte az ilyen webhelyeken található információkat, és nem tesz nyilatkozatot a pontosságukról vagy a megbízhatóságukról. Az interneten található információk vagy termékek használata kockázatokkal járhat, és az Apple nem vállal felelősséget ezekért. Vegye figyelembe, hogy a harmadik felek webhelyei függetlenek az Apple-től, és az Apple nincs ráhatással az adott webhely tartalmára. További információkért vegye fel a kapcsolatot a gyártóval.