Az iOS 5.0.1-es szoftverfrissítés biztonsági tartalma

Ez a dokumentum az iOS 5.0.1 biztonsági tartalmát ismerteti.

Ez a dokumentum az iTunes segítségével letölthető és telepíthető iOS 5.0.1 biztonsági tartalmát ismerteti.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről „Az Apple biztonsági frissítései” című cikkből tájékozódhat.

Az iOS 5.0.1-es szoftverfrissítés

  • CFNetwork

    A következőkhöz érhető el: iOS 3.0–5.0 rendszerű iPhone 3GS, iPhone 4 és iPhone 4s; iOS 3.1–5.0 rendszerű iPod touch (3. generációs és újabb); iOS 3.2–5.0 rendszerű iPad; iOS 4.3–5.0 rendszerű iPad 2

    Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatása esetén a bizalmas adatok közzétételére kerülhetett sor.

    Leírás: Probléma lépett fel az ártó szándékkal létrehozott URL-címek CFNetwork általi kezelésekor. Ártó szándékkal létrehozott HTTP vagy HTTPS URL-cím megnyitásakor előfordult, hogy a CFNetwork helytelen kiszolgálóra navigált.

    CVE-azonosító

    CVE-2011-3246: Erling Ellingsen (Facebook)

  • CoreGraphics

    A következőkhöz érhető el: iOS 3.0–5.0 rendszerű iPhone 3GS, iPhone 4 és iPhone 4s; iOS 3.1–5.0 rendszerű iPod touch (3. generációs és újabb); iOS 3.2–5.0 rendszerű iPad; iOS 4.3–5.0 rendszerű iPad 2

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott, beágyazott betűtípust tartalmazó dokumentumok megtekintése vagy letöltése esetén tetszőleges programkód végrehajtására került sor.

    Leírás: Több memóriasérülési hiba állt fenn a FreeType esetén, amelyek közül a legsúlyosabb miatt tetszőleges programkód végrehajtására kerülhetett sor az ártó szándékkal létrehozott betűtípusok feldolgozásakor.

    CVE-azonosító

    CVE-2011-3439: Apple

  • Adatbiztonság

    A következőkhöz érhető el: iOS 3.0–5.0 rendszerű iPhone 3GS, iPhone 4 és iPhone 4s; iOS 3.1–5.0 rendszerű iPod touch (3. generációs és újabb); iOS 3.2–5.0 rendszerű iPad; iOS 4.3–5.0 rendszerű iPad 2

    Érintett terület: Egy magas hálózati jogosultságú támadó meg tudott szerezni felhasználói hitelesítési adatokat vagy egyéb bizalmas információkat.

    Leírás: A megbízható gyökértanúsítványok listáján szereplő két tanúsítványkiadó központ egymástól függetlenül kiadott közbenső tanúsítványokat a DigiCert Malaysia számára. A DigiCert Malaysia gyenge kulcsokkal rendelkező tanúsítványokat adott ki, amelyeket nem tud visszavonni. A magas hálózati jogosultságú támadók meg tudták szerezni a felhasználói hitelesítési adatokat vagy egyéb bizalmas jellegű információkat olyan webhelyen, amely a DigiCert Malaysia által kiadott tanúsítvánnyal rendelkezett. A probléma elhárítása érdekében alapértelmezett megbízhatósági beállításokat adtak meg, hogy a DigiNotar tanúsítványait ne fogadja el megbízhatóként a rendszer. Köszönjük Bruce Mortonnak (Entrust, Inc.), hogy bejelentést tett a problémáról.

  • Kernel

    A következőkhöz érhető el: iOS 3.0–5.0 rendszerű iPhone 3GS, iPhone 4 és iPhone 4s; iOS 3.1–5.0 rendszerű iPod touch (3. generációs és újabb); iOS 3.2–5.0 rendszerű iPad; iOS 4.3–5.0 rendszerű iPad 2

    Érintett terület: Az alkalmazások aláíratlan kódot tudtak végrehajtani.

    Leírás: Logikai hiba lépett fel az érvényes jelölőkombinációk mmap rendszer hívása általi ellenőrzéskor. A probléma miatt elmaradhatnak a kódaláíró ellenőrzések. A probléma nem érinti az iOS 4.3 előtti rendszereket futtató készülékeket.

    CVE-azonosító

    CVE-2011-3442: Charlie Miller (Accuvant Labs)

  • libinfo

    A következőkhöz érhető el: iOS 3.0–5.0 rendszerű iPhone 3GS, iPhone 4 és iPhone 4s; iOS 3.1–5.0 rendszerű iPod touch (3. generációs és újabb); iOS 3.2–5.0 rendszerű iPad; iOS 4.3–5.0 rendszerű iPad 2

    Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatása esetén a bizalmas adatok közzétételére kerülhetett sor.

    Leírás: Probléma lépett fel a DNS-névkeresések libinfo általi kezelésekor. Előfordult, hogy az ártó szándékkal létrehozott hosztnevek feloldásakor a libinfo helytelen eredményt adott.

    CVE-azonosító

    CVE-2011-3441: Erling Ellingsen (Facebook), Per Johansson (Blocket AB)

  • Jelkódzár

    A következőkhöz érhető el: iOS 4.3–5.0 rendszerű iPad 2

    Érintett terület: A zárolt iPad 2 készülékhez fizikai hozzáféréssel rendelkező személy hozzá tudott férni bizonyos felhasználói adatokhoz.

    Leírás: Ha a felhasználó a Smart Covert felnyitotta, amikor az iPad 2 a kikapcsolás megerősítését kérte zárolt állapotban, az iPad nem kérte a jelkódot. Emiatt bizonyos mértékben hozzá lehetett férni az iPadhez, de az Adatvédelem által védett adatok nem voltak elérhetők, és az alkalmazásokat nem lehetett elindítani.

    CVE-azonosító

    CVE-2011-3440

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: