Az iOS 4.3.2-es szoftverfrissítés biztonsági tartalma

Ez a dokumentum az iOS 4.3.2-es szoftverfrissítés biztonsági tartalmát ismerteti.

Ez a dokumentum az iTunes segítségével letölthető és telepíthető iOS 4.3.2 szoftverfrissítés biztonsági tartalmát ismerteti.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről „Az Apple biztonsági frissítései” című cikkből tájékozódhat.

Az iOS 4.3.2-es szoftverfrissítés

  • Megbízható tanúsítványok házirendje

    A következőkhöz érhető el: iOS 3.0–4.3.1 rendszerű iPhone 3GS és újabb, iOS 3.1–4.3.1 rendszerű iPod touch (3. generációs és újabb), iOS 3.2–4.3.1 rendszerű iPad

    Érintett terület: Egy magas hálózati jogosultságú támadó meg tudott szerezni felhasználói hitelesítési adatokat vagy egyéb bizalmas információkat.

    Leírás: A Comodóhoz társult egyik regisztrációszolgáltató több hamis SSL-tanúsítványt adott ki, amelyek lehetővé tették a közbeékelődő támadók számára a kapcsolatok átirányítását, és így a felhasználói hitelesítő adatokhoz és más bizalmas információkhoz való illetéktelen hozzáférést. Azáltal hárították el a problémát, hogy letiltották a hamis tanúsítványokat.

    Megjegyzés: A Mac OS X rendszerek esetén a 2011-002-es biztonsági frissítés hárítja el a problémát. A Windows rendszerek esetén a Safari a gazda operációs rendszer tanúsítványtárolója alapján határozza meg, hogy megbízható-e a kiszolgálói SSL-tanúsítvány. A frissítés a Microsoft 2524375-ös számú cikke szerinti alkalmazása esetén a Safari megbízhatatlanként fogja kezelni ezeket a tanúsítványokat. A cikk a következő weboldalon található: http://support.microsoft.com/kb/2524375.

  • libxslt

    A következőkhöz érhető el: iOS 3.0–4.3.1 rendszerű iPhone 3GS és újabb, iOS 3.1–4.3.1 rendszerű iPod touch (3. generációs és újabb), iOS 3.2–4.3.1 rendszerű iPad

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatásakor a halommemóra-címek közzétételére került sor.

    Leírás: A generate-id() XPath függvény libxslt-implementációja egy halommemória-puffer címének közzétételéhez vezetett. Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása a halommemória-címek közzétételéhez vezetett, amelyek segítségével megkerülhető volt a véletlenszerű címtér-elrendezéses védelem. A hibát a két halommemória-puffer címe közötti különbség alapján generált azonosító révén küszöbölték ki.

    CVE-azonosító

    CVE-2011-0195: Chris Evans (a Google Chrome biztonsági csapatának tagja)

  • QuickLook

    A következőkhöz érhető el: iOS 3.0–4.3.1 rendszerű iPhone 3GS és újabb, iOS 3.1–4.3.1 rendszerű iPod touch (3. generációs és újabb), iOS 3.2–4.3.1 rendszerű iPad

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott Microsoft Office-fájlok letöltése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

    Leírás: Memóriasérülési hiba állt fenn a Microsoft Office-fájlok QuickLook általi kezelésében. Előfordult, hogy az ártó szándékkal létrehozott Microsoft Office-fájlok letöltése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

    CVE-azonosító

    CVE-2011-1417: Charlie Miller és Dion Blazakis (a TippingPoint Zero Day Initiative kezdeményezésének közreműködőjeként)

  • WebKit

    A következőkhöz érhető el: iOS 3.0–4.3.1 rendszerű iPhone 3GS és újabb, iOS 3.1–4.3.1 rendszerű iPod touch (3. generációs és újabb), iOS 3.2–4.3.1 rendszerű iPad

    Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: Egészszám-túlcsordulási probléma lépett fel a csomópontkészletek kezelésekor. Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

    CVE-azonosító

    CVE-2011-1290: Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp Weinmann és egy anonim kutató a TippingPoint Zero Day Initiative kezdeményezésének közreműködőjeként

  • WebKit

    A következőkhöz érhető el: iOS 3.0–4.3.1 rendszerű iPhone 3GS és újabb, iOS 3.1–4.3.1 rendszerű iPod touch (3. generációs és újabb), iOS 3.2–4.3.1 rendszerű iPad

    Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: Felszabadítás utáni használattal kapcsolatos probléma lépett fel a szöveges csomópontok kezelésekor. Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

    CVE-azonosító

    CVE-2011-1344: Vupen Security (a TippingPoint Zero Day Initiative kezdeményezésének közreműködőjeként) és Martin Barbella

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: