Az iOS 5.1-es szoftverfrissítés biztonsági tartalma

Ez a dokumentum az iOS 5.1-es szoftverfrissítés biztonsági tartalmát ismerteti.

Ez a dokumentum az iTunes szoftver segítségével letölthető és telepíthető iOS 5.1-es szoftverfrissítés biztonsági tartalmát ismerteti.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről „Az Apple biztonsági frissítései” című cikkből tájékozódhat.

Az iOS 5.1-es szoftverfrissítés

  • CFNetwork

    A következő készülékekhez érhető el: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generációs és újabb), iPad, iPad 2

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatásakor a bizalmas adatok közzétételére került sor.

    Leírás: Hiba lépett fel a helytelen formátumú URL-címek CFNetwork általi kezelésekor. Az ártó szándékkal létrehozott URL-címek megnyitásakor előfordult, hogy a CFNetwork váratlan kérésfejléceket küldött.

    CVE-azonosító

    CVE-2012-0641 : Erling Ellingsen (Facebook)

  • HFS

    A következő készülékekhez érhető el: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generációs és újabb), iPad, iPad 2

    Érintett terület: Az ártó szándékkal létrehozott lemezképek csatlakoztatásakor a készülék leállására vagy tetszőleges programkód végrehajtására kerülhetett sor.

    Leírás: Egészszám-alulcsordulási probléma lépett fel a HFS-katalógusfájlok kezelésekor.

    CVE-azonosító

    CVE-2012-0642 : pod2g

  • Kernel

    A következő készülékekhez érhető el: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generációs és újabb), iPad, iPad 2

    Érintett terület: A rosszindulatú programok meg tudták kerülni a sandbox korlátozásait.

    Leírás: Logikai probléma lépett fel a hibakeresési rendszerhívások kezelésekor, ami lehetővé tette a rosszindulatú programok számára, hogy programkód-végrehajtási jogosultságot szerezzenek más, azonos felhasználói jogosultságokkal rendelkező programokban.

    CVE-azonosító

    CVE-2012-0643 : 2012 iOS Jailbreak Dream Team

  • libresolv

    A következő készülékekhez érhető el: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generációs és újabb), iPad, iPad 2

    Érintett terület: A libresolv könyvtárat használó alkalmazások sebezhetők voltak a váratlan alkalmazásleállásokkal, illetve tetszőleges programkódok végrehajtásával szemben.

    Leírás: Egészszám-túlcsordulási probléma lépett fel a DNS-erőforrásrekordok kezelésekor, ami alkalmazásmemória-sérüléshez vezethetett.

    CVE-azonosító

    CVE-2011-3453 : Ilja van Sprundel (IOActive)

  • Jelkódzár

    A következő készülékekhez érhető el: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generációs és újabb), iPad, iPad 2

    Érintett terület: A készülékhez fizikai hozzáféréssel rendelkező személyek meg tudták kerülni a kijelzőzárat.

    Leírás: Versenyhelyzeti probléma lépett fel a tárcsázáshoz használt ujjmozdulatok kezelésekor, ami lehetővé tehette a készülékhez fizikai hozzáféréssel rendelkező személyek számára a Jelkódzár képernyő megkerülését.

    CVE-azonosító

    CVE-2012-0644 : Roland Kohler (Német Szövetségi Gazdasági és Technológiai Minisztérium)

  • Safari

    A következő készülékekhez érhető el: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generációs és újabb), iPad, iPad 2

    Érintett terület: A meglátogatott weboldalak akkor is bekerülhettek a böngészési előzmények közé, ha be volt kapcsolva a Privát böngészés.

    Leírás: A Safari Privát böngészés funkciójának célja, hogy megakadályozza az adott böngészési munkamenet rögzítését. A pushState vagy a replaceState JavaScript-metódust alkalmazó webhelyek útján meglátogatott oldalak akkor is bekerültek a böngészési előzmények közé, ha a Privát böngészés mód be volt kapcsolva. Annak beállításával hárították el a problémát, hogy a rendszer ne rögzítse az ilyen látogatásokat, amikor a Privát böngészés be van kapcsolva.

    CVE-azonosító

    CVE-2012-0585 : Eric Melville (American Express)

  • Siri

    A következő készülékekhez érhető el: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generációs és újabb), iPad, iPad 2

    Érintett terület: A zárolt telefonhoz fizikai hozzáféréssel rendelkező támadók hozzá tudtak férni a legelöl található e-mailhez.

    Leírás: Tervezési hiba állt fenn a Siri képernyő-zárolási korlátozásaival kapcsolatban. Ha a Siri használata zárolt képernyő mellett is engedélyezve volt, és a zárolt képernyő mögött a Mail nyitva volt egy kijelölt üzenettel, hangutasítással tetszőleges címzettnek el lehetett küldeni az adott üzenetet. Azáltal hárították el a problémát, hogy letiltották az aktív üzenetek zárolt képernyőről történő továbbítását.

    CVE-azonosító

    CVE-2012-0645

  • VPN

    A következő készülékekhez érhető el: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generációs és újabb), iPad, iPad 2

    Érintett terület: Az ártó szándékkal létrehozott rendszerkonfigurációs fájlok lehetőséget adtak tetszőleges programkód rendszerjogosultságokkal történő végrehajtására.

    Leírás: Formázó karakterlánccal kapcsolatos biztonsági rés lépett fel a racoon démon konfigurációs fájljainak kezelésekor.

    CVE-azonosító

    CVE-2012-0646 : pod2g

  • WebKit

    A következő készülékekhez érhető el: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generációs és újabb), iPad, iPad 2

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatása a sütik közzétételéhez vezetett.

    Leírás: A WebKit motor kereszteredet-problémát tartalmazott, ami lehetővé tette a sütik eredetek közötti közzétételét.

    CVE-azonosító

    CVE-2011-3887 : Szergej Glazunov

  • WebKit

    A következő készülékekhez érhető el: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generációs és újabb), iPad, iPad 2

    Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatása, majd a tartalom egérrel történő húzása webhelyek közötti, parancsfájlt alkalmazó támadásra adott lehetőséget.

    Leírás: A WebKit motor kereszteredet-problémát tartalmazott, ami tartalom eredetek közötti húzását tette lehetővé.

    CVE-azonosító

    CVE-2012-0590 : Adam Barth (a Google Chrome biztonsági csapatának tagja)

  • WebKit

    A következő készülékekhez érhető el: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generációs és újabb), iPad, iPad 2

    Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatása webhelyek közötti, parancsfájlt alkalmazó támadást tett lehetővé.

    Leírás: A WebKit motor több kereszteredet-problémát tartalmazott.

    CVE-azonosító

    CVE-2011-3881 : Szergej Glazunov

    CVE-2012-0586 : Szergej Glazunov

    CVE-2012-0587 : Szergej Glazunov

    CVE-2012-0588 : Jochen Eisinger (a Google Chrome csapatának tagja)

    CVE-2012-0589 : Alan Austin (polyvore.com)

  • WebKit

    A következő készülékekhez érhető el: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generációs és újabb), iPad, iPad 2

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: A WebKit motor több, memóriasérüléssel kapcsolatos problémát tartalmazott.

    CVE-azonosító

    CVE-2011-2825 : wushi (team509, a TippingPoint Zero Day Initiative kezdeményezésének közreműködőjeként)

    CVE-2011-2833 : Apple

    CVE-2011-2846 : Arthur Gerkis, miaubiz

    CVE-2011-2847 : miaubiz, Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)

    CVE-2011-2854 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)

    CVE-2011-2855 : Arthur Gerkis, wushi (team509, az iDefense VCP közreműködőjeként)

    CVE-2011-2857 : miaubiz

    CVE-2011-2860 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)

    CVE-2011-2867 : Dirk Schulze

    CVE-2011-2868 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)

    CVE-2011-2869 : Cris Neckar (a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)

    CVE-2011-2870 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)

    CVE-2011-2871 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)

    CVE-2011-2872 : Abhishek Arya (Inferno) és Cris Neckar (a Google Chrome biztonsági csapatának tagjai; az AddressSanitizer eszköz segítségével)

    CVE-2011-2873 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)

    CVE-2011-2877 : miaubiz

    CVE-2011-3885 : miaubiz

    CVE-2011-3888 : miaubiz

    CVE-2011-3897 : pa_kt (a TippingPoint Zero Day Initiative kezdeményezésének közreműködőjeként)

    CVE-2011-3908 : Aki Helin (OUSPG)

    CVE-2011-3909 : A Google Chrome biztonsági csapata (scarybeasts) és Chu

    CVE-2011-3928 : wushi (team509, a TippingPoint Zero Day Initiative kezdeményezésének közreműködőjeként)

    CVE-2012-0591 : miaubiz és Martin Barbella

    CVE-2012-0592 : Alexander Gavrun (a TippingPoint Zero Day Initiative kezdeményezésének közreműködőjeként)

    CVE-2012-0593 : Lei Zhang (Chromium fejlesztői közösség)

    CVE-2012-0594 : Adam Klein (Chromium fejlesztői közösség)

    CVE-2012-0595 : Apple

    CVE-2012-0596 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)

    CVE-2012-0597 : miaubiz

    CVE-2012-0598 : Szergej Glazunov

    CVE-2012-0599 : Dmytro Gorbunov (SaveSources.com)

    CVE-2012-0600 : Marshall Greenblatt, Dharani Govindan (Google Chrome), miaubiz, Aki Helin (OUSPG), Apple

    CVE-2012-0601 : Apple

    CVE-2012-0602 : Apple

    CVE-2012-0603 : Apple

    CVE-2012-0604 : Apple

    CVE-2012-0605 : Apple

    CVE-2012-0606 : Apple

    CVE-2012-0607 : Apple

    CVE-2012-0608 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)

    CVE-2012-0609 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)

    CVE-2012-0610 : miaubiz, Martin Barbella (az AddressSanitizer eszköz segítségével)

    CVE-2012-0611 : Martin Barbella (az AddressSanitizer eszköz segítségével)

    CVE-2012-0612 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)

    CVE-2012-0613 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)

    CVE-2012-0614 : miaubiz, Martin Barbella (az AddressSanitizer eszköz segítségével)

    CVE-2012-0615 : Martin Barbella (az AddressSanitizer eszköz segítségével)

    CVE-2012-0616 : miaubiz

    CVE-2012-0617 : Martin Barbella (az AddressSanitizer eszköz segítségével)

    CVE-2012-0618 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)

    CVE-2012-0619 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)

    CVE-2012-0620 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)

    CVE-2012-0621 : Martin Barbella (az AddressSanitizer eszköz segítségével)

    CVE-2012-0622 : Dave Levin és Abhishek Arya (a Google Chrome biztonsági csapatának tagjai)

    CVE-2012-0623 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)

    CVE-2012-0624 : Martin Barbella (az AddressSanitizer eszköz segítségével)

    CVE-2012-0625 : Martin Barbella

    CVE-2012-0626 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)

    CVE-2012-0627 : Apple

    CVE-2012-0628 : Slawomir Blazek, miaubiz, Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)

    CVE-2012-0629 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja)

    CVE-2012-0630 : Sergio Villar Senin (Igalia)

    CVE-2012-0631 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja)

    CVE-2012-0632 : Cris Neckar (a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)

    CVE-2012-0633 : Apple

    CVE-2012-0635 : Julien Chaffraix (Chromium fejlesztői közösség), Martin Barbella (az AddressSanitizer eszköz segítségével)

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: