Az iOS 4.3 biztonsági tartalma

Ez a dokumentum az iOS 4.3 biztonsági tartalmát ismerteti.

Ez a dokumentum az iTunes segítségével letölthető és telepíthető iOS 4.3 biztonsági tartalmát ismerteti.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről „Az Apple biztonsági frissítései” című cikkből tájékozódhat.

iOS 4.3

  • CoreGraphics

    A következőkhöz érhető el: iOS 3.0–4.2.1 rendszerű iPhone 3GS és újabb, iOS 3.1–4.2.1 rendszerű iPod touch (3. generációs és újabb), iOS 3.2–4.2.1 rendszerű iPad

    Érintett terület: Több biztonsági rés a FreeType betűtípusmotorban

    Leírás: Több biztonsági rés állt fenn a FreeType esetén, amelyek közül a legsúlyosabb miatt tetszőleges programkód végrehajtására kerülhetett sor az ártó szándékkal létrehozott betűtípusok feldolgozásakor. A FreeType 2.4.3-as verziójára való frissítéssel küszöbölték ki a problémákat. További információkért látogasson el a FreeType webhelyére: http://www.freetype.org/.

    CVE-azonosító

    CVE-2010-3855

  • ImageIO

    A következőkhöz érhető el: iOS 3.0–4.2.1 rendszerű iPhone 3GS és újabb, iOS 3.1–4.2.1 rendszerű iPod touch (3. generációs és újabb), iOS 3.2–4.2.1 rendszerű iPad

    Érintett terület: Az ártó szándékkal létrehozott TIFF-képek megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezethet.

    Leírás: Puffertúlcsordulást okozó probléma állt fenn a JPEG kódolású TIFF-képfájlok libTIFF általi kezelésekor. Az ártó szándékkal létrehozott TIFF-képek megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezethet.

    CVE-azonosító

    CVE-2011-0191: Apple

  • ImageIO

    A következőkhöz érhető el: iOS 3.0–4.2.1 rendszerű iPhone 3GS és újabb, iOS 3.1–4.2.1 rendszerű iPod touch (3. generációs és újabb), iOS 3.2–4.2.1 rendszerű iPad

    Érintett terület: Az ártó szándékkal létrehozott TIFF-képek megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezethet.

    Leírás: Puffertúlcsordulást okozó probléma állt fenn a CCITT Group 4 kódolású TIFF-képfájlok libTIFF általi kezelésekor. Az ártó szándékkal létrehozott TIFF-képek megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezethet.

    CVE-azonosító

    CVE-2011-0192: Apple

  • libxml

    A következőkhöz érhető el: iOS 3.0–4.2.1 rendszerű iPhone 3GS és újabb, iOS 3.1–4.2.1 rendszerű iPod touch (3. generációs és újabb), iOS 3.2–4.2.1 rendszerű iPad

    Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: Kétszeres felszabadítást előidéző hiba lépett fel az XPath-kifejezések libxml általi kezelésekor. Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

    CVE-azonosító

    CVE-2010-4494: Yang Dingning (NCNIPC, a Kínai Tudományos Akadémia továbbképző egyeteme)

  • Hálózatok

    A következőkhöz érhető el: iOS 3.0–4.2.1 rendszerű iPhone 3GS és újabb, iOS 3.1–4.2.1 rendszerű iPod touch (3. generációs és újabb), iOS 3.2–4.2.1 rendszerű iPad

    Érintett terület: A kiszolgálók be tudták azonosítani a készüléket különböző kapcsolatokon keresztül.

    Leírás: A készülék által kiválasztott IPv6-cím tartalmazza a MAC-címet állapotmentes automatikus konfiguráció (SLAAC) használatakor. A készülék által felkeresett IPv6-kompatibilis kiszolgálók a cím segítségével nyomon tudták követni a készüléket különböző kapcsolatokon keresztül. A frissítés az RFC 3041 szabvány által rögzített IPv6-bővítmény alkalmazásával hozzáad egy ideiglenes, véletlenszerű címet a kimenő kapcsolatok esetén.

  • Safari

    A következőkhöz érhető el: iOS 3.0–4.2.1 rendszerű iPhone 3GS és újabb, iOS 3.1–4.2.1 rendszerű iPod touch (3. generációs és újabb), iOS 3.2–4.2.1 rendszerű iPad

    Érintett terület: Előfordult, hogy ártó szándékkal létrehozott webhely meglátogatása esetén a MobileSafari bezáródott az elindítása után.

    Leírás: Az ártó szándékkal létrehozott webhelyek olyan javascriptet tartalmazhatnak, amely miatt mindig a készülék egy másik alkalmazása indul el az URL-kezelőjén keresztül. A webhely MobileSafari segítségével történő meglátogatásakor a MobileSafari bezáródik, és a célalkalmazás elindul. A műveletsor mindig folytatódott a MobileSafari megnyitásakor. Azáltal hárították el a problémát, hogy a készülék visszatért az előző oldalra, amikor a Safari újra megnyílt, miután egy másik alkalmazás elindult az URL-kezelőjén keresztül.

    CVE-azonosító

    CVE-2011-0158: Nitesh Dhanjani (Ernst & Young LLP)

  • Safari

    A következőkhöz érhető el: iOS 4.0–4.2.1 rendszerű iPhone 3GS és újabb, iOS 4.0.–4.2.1 rendszerű iPod touch (3. generációs és újabb), iOS 4.2–4.2.1 rendszerű iPad

    Érintett terület: A sütik Safari-beállításokban való törlésekor nem érvényesült a beállítás.

    Leírás: Bizonyos körülmények között a sütik Safari-beállításokban való törlésekor nem érvényesült a beállítás. A sütik hatékonyabb kezelésével küszöbölték ki a problémát. A probléma nem érinti az iOS 4.0 előtti rendszereket.

    CVE-azonosító

    CVE-2011-0159: Erik Wong (Google Inc.)

  • WebKit

    A következőkhöz érhető el: iOS 3.0–4.2.1 rendszerű iPhone 3GS és újabb, iOS 3.1–4.2.1 rendszerű iPod touch (3. generációs és újabb), iOS 3.2–4.2.1 rendszerű iPad

    Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: A WebKit motor több, memóriasérüléssel kapcsolatos problémát tartalmazott. Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

    CVE-azonosító

    CVE-2010-1792

    CVE-2010-1824: kuzzcc és wushi (team509, a TippingPoint Zero Day Initiative kezdeményezésének közreműködőjeként)

    CVE-2011-0111: Sergey Glazunov

    CVE-2011-0112: Yuzo Fujishima (Google Inc.)

    CVE-2011-0113: Andreas Kling (Nokia)

    CVE-2011-0114: Chris Evans (a Google Chrome biztonsági csapatának tagja)

    CVE-2011-0115: J23 (a TippingPoint Zero Day Initiative kezdeményezésének közreműködőjeként) és Emil A Eklund (Google, Inc.)

    CVE-2011-0116: Anonim kutató a HP Zero Day Initiative kezdeményezésének közreműködőjeként

    CVE-2011-0117: Abhishek Arya (Inferno; Google, Inc.)

    CVE-2011-0118: Abhishek Arya (Inferno; Google, Inc.)

    CVE-2011-0119: Abhishek Arya (Inferno; Google, Inc.)

    CVE-2011-0120: Abhishek Arya (Inferno; Google, Inc.)

    CVE-2011-0121: Abhishek Arya (Inferno; Google, Inc.)

    CVE-2011-0122: Slawomir Blazek

    CVE-2011-0123: Abhishek Arya (Inferno; Google, Inc.)

    CVE-2011-0124: Yuzo Fujishima (Google Inc.)

    CVE-2011-0125: Abhishek Arya (Inferno; Google, Inc.)

    CVE-2011-0126: Mihai Parparita (Google, Inc.)

    CVE-2011-0127: Abhishek Arya (Inferno; Google, Inc.)

    CVE-2011-0128: David Bloom

    CVE-2011-0129: Famlam

    CVE-2011-0130: Apple

    CVE-2011-0131: wushi (team509)

    CVE-2011-0132: wushi (team509, a TippingPoint Zero Day Initiative kezdeményezésének közreműködőjeként)

    CVE-2011-0133: wushi (team509, a TippingPoint Zero Day Initiative kezdeményezésének közreműködőjeként)

    CVE-2011-0134: Jan Tosovsky

    CVE-2011-0135: anonim bejelentő

    CVE-2011-0136: Sergey Glazunov

    CVE-2011-0137: Sergey Glazunov

    CVE-2011-0138: kuzzcc

    CVE-2011-0140: Sergey Glazunov

    CVE-2011-0141: Chris Rohlf (Matasano Security)

    CVE-2011-0142: Abhishek Arya (Inferno; Google, Inc.)

    CVE-2011-0143: Slawomir Blazek és Sergey Glazunov

    CVE-2011-0144: Emil A Eklund (Google, Inc.)

    CVE-2011-0145: Abhishek Arya (Inferno; Google, Inc.)

    CVE-2011-0146: Abhishek Arya (Inferno; Google, Inc.)

    CVE-2011-0147: Dirk Schulze

    CVE-2011-0148: Michal Zalewski (Google, Inc.)

    CVE-2011-0149: wushi (team509; a TippingPoint Zero Day Initiative kezdeményezésének közreműködőjeként) és SkyLined (a Google Chrome biztonsági csapatának tagja)

    CVE-2011-0150: Michael Gundlach (safariadblock.com)

    CVE-2011-0151: Abhishek Arya (Inferno; Google, Inc.)

    CVE-2011-0152: Skylined (a Google Chrome biztonsági csapatának tagja)

    CVE-2011-0153: Abhishek Arya (Inferno; Google, Inc.)

    CVE-2011-0154: Anonim kutató a HP Zero Day Initiative kezdeményezésének közreműködőjeként

    CVE-2011-0155: Aki Helin (OUSPG)

    CVE-2011-0156: Abhishek Arya (Inferno; Google, Inc.)

    CVE-2011-0157: Benoit Jacob (Mozilla)

    CVE-2011-0168: Sergey Glazunov

  • WebKit

    A következőkhöz érhető el: iOS 3.0–4.2.1 rendszerű iPhone 3GS és újabb, iOS 3.1–4.2.1 rendszerű iPod touch (3. generációs és újabb), iOS 3.2–4.2.1 rendszerű iPad

    Érintett terület: Az alapfokú HTTP-hitelesítési adatok véletlenül egy másik webhelyre kerülhettek.

    Leírás: Ha a webhely alapfokú HTTP-hitelesítést használ, és átirányítja a felhasználót egy másik webhelyre, a hitelesítési adatok a másik webhelyre kerülhettek. A problémát a hitelesítési adatok hatékonyabb kezelésével küszöbölték ki.

    CVE-azonosító

    CVE-2011-0160: McIntosh Cooey (Twelve Hundred Group), Harald Hanche-Olsen, Chuck Hohn (1111 Internet LLC; a CERT munkatársaként) és Paul Hinze (Braintree)

  • WebKit

    A következőkhöz érhető el: iOS 3.0–4.2.1 rendszerű iPhone 3GS és újabb, iOS 3.1–4.2.1 rendszerű iPod touch (3. generációs és újabb), iOS 3.2–4.2.1 rendszerű iPad

    Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatása webhelyek közötti stílusdeklarációra adott lehetőséget.

    Leírás: Kereszteredet-probléma lépett fel az Attr.style hozzáférő WebKit általi kezelésekor. Ártó szándékkal létrehozott webhely meglátogatásakor lehetőség nyílt arra, hogy a webhely CSS-t injektáljon más dokumentumokba. Az Attr.style hozzáférő eltávolításával hárították el a hibát.

    CVE-azonosító

    CVE-2011-0161: Apple

  • WebKit

    A következőkhöz érhető el: iOS 3.0–4.2.1 rendszerű iPhone 3GS és újabb, iOS 3.1–4.2.1 rendszerű iPod touch (3. generációs és újabb), iOS 3.2–4.2.1 rendszerű iPad

    Érintett terület: Az ártó szándékkal létrehozott webhelyek meg tudták akadályozni, hogy egyéb webhelyek bizonyos erőforrásokat kérvényezzenek.

    Leírás: Gyorsítótár-szennyezési probléma lépett fel a gyorsítótárazott erőforrások WebKit általi kezelésekor. Az ártó szándékkal létrehozott webhelyek meg tudták akadályozni, hogy egyéb webhelyek bizonyos erőforrásokat kérvényezzenek. A típusellenőrzés javításával küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2011-0163: Apple

  • Wi-Fi

    A következőkhöz érhető el: iOS 3.0–4.2.1 rendszerű iPhone 3GS és újabb, iOS 3.1–4.2.1 rendszerű iPod touch (3. generációs és újabb), iOS 3.2–4.2.1 rendszerű iPad

    Érintett terület: Wi-Fi hálózathoz kapcsolódva az ugyanahhoz a hálózathoz csatlakozó támadó alaphelyzetbe tudta állítani a készüléket.

    Határérték-ellenőrzési probléma lépett fel a Wi-Fi keretek kezelésekor. Wi-Fi hálózathoz kapcsolódva az ugyanahhoz a hálózathoz csatlakozó támadó alaphelyzetbe tudta állítani a készüléket.

    CVE-azonosító

    CVE-2011-0162: Scott Boyd (ePlus Technology, inc.)

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: