Az iOS 6 biztonsági tartalmának ismertetése

Ez a cikk az iOS 6 biztonsági tartalmát ismerteti.

Az iOS 6 az iTunes segítségével tölthető le és telepíthető.

A dokumentum az iOS 6 biztonsági tartalmát ismerteti.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről „Az Apple biztonsági frissítései” című cikkből tájékozódhat.

iOS 6

  • CFNetwork

    A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatása esetén a bizalmas adatok közzétételére kerülhetett sor

    Leírás: Hiba lépett fel a helytelen formátumú URL-címek CFNetwork általi kezelésekor. A CFNetwork rendszer helytelen állomásnévre küldhet kérelmet, ami a bizalmas adatok közzétételére adott lehetőséget. Az URL-címek kezelésének javításával küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2012-3724 : Erling Ellingsen (Facebook)

  • CoreGraphics

    A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Több biztonsági rés a FreeType betűtípusmotorban

    Leírás: Több biztonsági rés állt fenn a FreeType esetén, amelyek közül a legsúlyosabb miatt tetszőleges programkód végrehajtására kerülhetett sor az ártó szándékkal létrehozott betűtípusok feldolgozásakor. A FreeType 2.4.9-es verziójára való frissítéssel küszöbölték ki a problémákat. További információkért látogasson el a FreeType webhelyére: http://www.freetype.org/.

    CVE-azonosító

    CVE-2012-1126

    CVE-2012-1127

    CVE-2012-1128

    CVE-2012-1129

    CVE-2012-1130

    CVE-2012-1131

    CVE-2012-1132

    CVE-2012-1133

    CVE-2012-1134

    CVE-2012-1135

    CVE-2012-1136

    CVE-2012-1137

    CVE-2012-1138

    CVE-2012-1139

    CVE-2012-1140

    CVE-2012-1141

    CVE-2012-1142

    CVE-2012-1143

    CVE-2012-1144

  • CoreMedia

    A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott filmfájlok megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor

    Leírás: A Sorenson technológiával kódolt filmfájlok kezelésekor nem inicializált memória-hozzáféréssel kapcsolatos probléma lépett fel. Hatékonyabb memória-inicializálással küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2012-3722 : Will Dormann (CERT/CC)

  • DHCP

    A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: A kártékony Wi-Fi hálózatok meg tudták határozni, hogy a készülék előzőleg milyen hálózatokhoz csatlakozott

    Leírás: Előfordult, hogy Wi-Fi hálózatra való csatlakozás során az iOS rendszer a DNAv4 protokollon keresztül közzétette azon hálózatok MAC-címét, amelyekhez a készülék korábban csatlakozott. Úgy küszöbölték ki a problémát, hogy letiltották a DNAv4 protokoll használatát a titkosítatlan Wi-Fi hálózatokon.

    CVE-azonosító

    CVE-2012-3725 : Mark Wuergler (Immunity, Inc.)

  • ImageIO

    A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott TIFF-fájlok megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett

    Leírás: A libtiff könyvtárban a ThunderScan kódolású TIFF-képfájlok kezelésével összefüggő puffertúlcsordulásos probléma állt fenn. A libtiff 3.9.5-ös verzióra való frissítésével hárították el a problémát.

    CVE-azonosító

    CVE-2011-1167

  • ImageIO

    A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott PNG-fájlok megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor

    Leírás: Több, memóriahibát előidéző probléma lépett fel a PNG-képek libpng általi kezelésekor. A PNG-képfájlok hatékonyabb hitelesítésével hárították el a problémákat.

    CVE-azonosító

    CVE-2011-3026 : Jüri Aedla

    CVE-2011-3048

    CVE-2011-3328

  • ImageIO

    A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott JPEG-fájlok megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett

    Leírás: Az ImageIO könyvtár JPEG-képfájlok kezelésére használt módszerében egy kétszeres felszabadítást előidéző hiba volt jelen. A memóriakezelés javításával küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2012-3726 : Phil (PKJE Consulting)

  • ImageIO

    A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott TIFF-képek megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett

    Leírás: Egészszám-túlcsordulást okozó probléma lépett fel a TIFF-képek libTIFF általi kezelésekor. A TIFF-képek hatékonyabb hitelesítésével hárították el a problémát.

    CVE-azonosító

    CVE-2012-1173 : Alexander Gavrun (a HP Zero Day Initiative kezdeményezésének közreműködőjeként)

  • International Components for Unicode

    A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Előfordult, hogy az ICU könyvtárkészletet használó alkalmazások esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor

    Leírás: Verempuffer-túlcsordulást okozó probléma állt fenn az ICU helyazonosítók kezelésével összefüggésben. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2011-4599

  • IPSec

    A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: A racoon ártó szándékkal létrehozott konfigurációfájljainak betöltésekor tetszőleges kódvégrehajtásra kerülhetett sor

    Leírás: Puffertúlcsordulást okozó probléma lépett fel a racoon konfigurációs fájlok kezelésekor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-3727 : 2012 iOS Jailbreak Dream Team

  • Kernel

    A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: A rendszerszintű jogosultsággal rendelkező helyi felhasználók tetszőleges programkódot tudtak végrehajtani

    Leírás: A kernelben probléma lépett fel az érvénytelen mutatók feloldásával kapcsolatban az ioctls csomagszűrő kezelésekor, ami lehetővé tette, hogy ártó szándékkal megváltoztassák a kernelmemóriát. A problémát hatékonyabb hibakezeléssel küszöbölték ki.

    CVE-azonosító

    CVE-2012-3728 : iOS Jailbreak Dream Team

  • Kernel

    A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: A helyi felhasználók meg tudták határozni a kernelmemória felépítését

    Leírás: A Berkeley csomagszűrő-fordítóban egy inicializálatlan memóriához való hozzáférést lehetővé tevő probléma állt fenn, amely a memória tartalmának közzétételéhez vezetett. Hatékonyabb memória-inicializálással küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2012-3729 : Dan Rosenberg

  • libxml

    A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Ártó szándékkal létrehozott weboldalak megtekintésekor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására kerülhetett sor

    Leírás: A libxml könyvtárban több biztonsági rés is jelen volt, amelyek közül a legsúlyosabb váratlan alkalmazásleállást, illetve tetszőleges kódvégrehajtást tett lehetővé. A problémákat a megfelelő, más fejlesztők által az eredeti fejlesztők részére benyújtott javítások alkalmazásával orvosolták.

    CVE-azonosító

    CVE-2011-1944 : Chris Evans (a Google Chrome biztonsági csapatának tagja)

    CVE-2011-2821 : Yang Dingning (NCNIPC, a Kínai Tudományos Akadémia továbbképző egyeteme)

    CVE-2011-2834 : Yang Dingning (NCNIPC, a Kínai Tudományos Akadémia továbbképző egyeteme)

    CVE-2011-3919 : Jüri Aedla

  • Mail

    A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Előfordult, hogy a Mail nem a megfelelő mellékletet jelenítette meg az üzenetekben

    Leírás: Logikai probléma lépett fel a mellékletek Mail általi kezelésekor. Ha olyan üzenetmellékletet próbáltak megjeleníteni, amelynek tartalomazonosítója megegyezett az előzőleg megjelenített mellékletével, akkor az alkalmazás az előző mellékletet jelenítette meg még abban az esetben is, ha a két üzenet más-más feladótól származott. A hibajelenség megkönnyítette a hamisítást és az adathalászatot. A mellékletek hatékonyabb kezelésével hárították el a problémát.

    CVE-azonosító

    CVE-2012-3730 : Angelo Prado (a salesforce.com termékbiztonsági csapatának tagja)

  • Mail

    A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Az e-mail mellékletek a felhasználó hozzáférési kódja nélkül is megtekinthetők voltak

    Leírás: A Mail alkalmazásban az adatvédelmi osztály e-mail mellékleteken való használatával összefüggő logikai probléma állt fenn. Azáltal hárították el a problémát, hogy az e-mail mellékleteknek megfelelően állították be az adatvédelmi osztályt.

    CVE-azonosító

    CVE-2012-3731 : Stephen Prairie (Travelers Insurance), Erich Stuntebeck (AirWatch)

  • Mail

    A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: A támadók meg tudták hamisítani az S/MIME-aláírással ellátott üzenetek feladóját

    Leírás: Az S/MIME-aláírással ellátott üzenetek az aláíró azonosságához társított név helyett a nem ellenőrzött megbízhatóságú feladócímet jelenítették meg. Annak beállításával hárították el a problémát, hogy az alkalmazás az üzenet aláírójához társított címet jelenítse meg, amennyiben rendelkezésre áll.

    CVE-azonosító

    CVE-2012-3732 : Egy ismeretlen kutató.

  • Üzenetek

    A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Előfordult, hogy a felhasználó szándékán kívül közzétette e-mail címét

    Leírás: Ha a felhasználónak több e-mail címe is társítva volt az iMessage alkalmazással, akkor az üzenet megválaszolásakor az alkalmazás egy másik e-mail címről küldte el a választ, így meg tudtak szerezni egy másik olyan e-mail címet, amely a felhasználó fiókjához volt társítva. A problémát megszüntették, így az alkalmazás már mindig arról az e-mail címről küldi a válaszokat, amelyre az eredeti üzenetet küldték.

    CVE-azonosító

    CVE-2012-3733 : Rodney S. Foley (Gnomesoft, LLC)

  • Office-fájlok megjelenítője

    A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: A dokumentumok nem titkosított tartalmát ideiglenes fájlba lehetett írni

    Leírás: A Microsoft Office-fájlok megtekintését lehetővé tevő funkcióban adatközzétételt eredményező probléma állt fenn. A dokumentumok megtekintésekor az Office-fájlok megjelenítője a megtekintett dokumentumból származó adatokat tartalmazó ideiglenes fájlt hozott létre a meghívó eljárás ideiglenes mappájában. Az illetéktelenek meg tudták szerezni az adatokat olyan alkalmazások esetén, amelyek adatvédelmet vagy egyéb titkosítási eljárást használtak a felhasználói fájlok védelméhez. A probléma már nem áll fenn annak köszönhetően, hogy az Office-dokumentumok megtekintésekor a megjelenítő már nem hoz létre ideiglenes fájlokat.

    CVE-azonosító

    CVE-2012-3734 : Salvatore Cataudella (Open Systems Technologies)

  • OpenGL

    A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Az OS X OpenGL-implementációját használó alkalmazások sebezhetők voltak a váratlan alkalmazásleállásokkal, illetve tetszőleges programkód végrehajtásával szemben

    Leírás: Több, memóriahibát előidéző probléma lépett fel a GLSL-fordítások kezelésekor. A GLSL-árnyékolók hatékonyabb hitelesítésével hárították el a problémákat.

    CVE-azonosító

    CVE-2011-3457 : Chris Evans (a Google Chrome biztonsági csapatának tagja) és Marc Schoenefeld (a Red Hat biztonsági problémák elhárításáért felelős csapatának tagja)

  • Jelkódzár

    A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: A készülékhez fizikailag hozzáférő személyek rövid időre meg tudták tekinteni a zárolt készüléken legutoljára használt külső gyártású alkalmazást

    Leírás: Logikai probléma állt fenn a zárolási képernyőn látható „Kikapcsolás” feliratú csúszkával összefüggésben. A zárolási állapot hatékonyabb kezelésével küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2012-3735 : Chris Lawrence DBB

  • Jelkódzár

    A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: A készülékhez fizikai hozzáféréssel rendelkező személyek meg tudták kerülni a kijelzőzárat

    Leírás: Logikai probléma lépett fel a FaceTime-hívások zárolási képernyőről történő leállításakor. A zárolási állapot hatékonyabb kezelésével küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2012-3736 : Ian Vitek (2Secure AB)

  • Jelkódzár

    A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Előfordult, hogy az összes fényképhez hozzá lehetett férni a zárolási képernyőről

    Leírás: Tervezési hiba állt fenn a zárolási képernyőn készített fényképek megtekintését lehető tevő funkció esetén. A jelkódzár az alapján állapította meg, hogy mely fényképekhez engedélyezzen hozzáférést, hogy összevetette a zárolás időpontját az egyes fényképek készítésének időpontjával. Így az aktuális idő meghamisítása révén azokhoz a képekhez is hozzá lehetett férni, amelyek a zárolást megelőzően készültek. A probléma megszüntetése érdekében úgy alakították át a funkciót, hogy egyértelműen számon tartsa, hogy mely fényképek készültek a zárolás ideje alatt.

    CVE-azonosító

    CVE-2012-3737 : Ade Barkah (BlueWax Inc.)

  • Jelkódzár

    A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: A zárolt készülékhez fizikailag hozzáférő személyek FaceTime-hívásokat tudtak kezdeményezni

    Leírás: A vészhívásra szolgáló képernyőnek volt egy logikai problémája, amelynek következtében hangvezérelt tárcsázással FaceTime-hívást lehetett kezdeményezni a zárolt készüléken. Ez a probléma a felhasználó kontaktjairól is adatokat szolgáltathat ki a kontaktokat javasló funkción keresztül. Azáltal hárították el a problémát, hogy letiltották a hangvezérelt tárcsázás használatát a vészhívási képernyőn.

    CVE-azonosító

    CVE-2012-3738 : Ade Barkah (BlueWax Inc.)

  • Jelkódzár

    A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: A készülékhez fizikai hozzáféréssel rendelkező személyek meg tudták kerülni a kijelzőzárat

    Leírás: A kamera kijelzőzárról való használata egyes esetekben megzavarta az automatikus zárolási funkció működését, ami lehetővé tette, hogy a készülékhez fizikailag hozzáférő személy megkerülje a jelkódzárképernyőt. A zárolási állapot hatékonyabb kezelésével küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2012-3739 : Sebastian Spanninger (Austrian Federal Computing Centre (BRZ))

  • Jelkódzár

    A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: A készülékhez fizikai hozzáféréssel rendelkező személyek meg tudták kerülni a kijelzőzárat

    Leírás: Állapotkezeléssel összefüggő probléma lépett fel a kijelzőzár kezelésekor. A zárolási állapot hatékonyabb kezelésével küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2012-3740 : Ian Vitek (2Secure AB)

  • Korlátozások

    A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Előfordult, hogy a felhasználók az Apple ID hitelesítő adatainak megadása nélkül is tudtak vásárolni

    Leírás: A Korlátozások funkció letiltását követően előfordult, hogy az iOS a felhasználó jelszavának kérése nélkül is engedélyezte a vásárlási tranzakciót. A problémát azzal küszöbölték ki, hogy a vásárlás során szigorúbb hitelesítést vezettek be.

    CVE-azonosító

    CVE-2012-3741 : Kevin Makens (Redwood-i középiskola)

  • Safari

    A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: A webhelyeken olyan karaktereket is tudtak használni, amelyek hasonlítottak a lakatot ábrázoló ikonra

    Leírás: A webhelyek Unicode-karakter segítségével meg tudták jeleníteni a lakatot ábrázoló ikont az oldal címében. Az ikon a védett kapcsolatot jelző ikonhoz hasonlított, így a felhasználó azt hihette, hogy biztonságos kapcsolat létesült. Azáltal hárították el a problémát, hogy eltávolították ezeket a karaktereket a weboldalak címéből.

    CVE-azonosító

    CVE-2012-3742 : Boku Kihara (Lepidum)

  • Safari

    A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Jelszavak beírásakor a rendszer akkor is automatikusan kiegészítheti őket, ha a webhely letiltotta az automatikus kiegészítést

    Leírás: Olyan, jelszó beírására szolgáló vezérlőelemek is automatikusan kiegészítették a jelszót, amelyeknek az automatikus kiegészítést meghatározó attribútuma kikapcsolt állapotú volt. Az automatikus kiegészítés attribútumának hatékonyabb kezelésével hárították el a problémát.

    CVE-azonosító

    CVE-2012-0680 : Dan Poltawski (Moodle)

  • Rendszernaplók

    A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: A védőfal mögött működő alkalmazások hozzá tudtak jutni a rendszernaplók tartalmához

    Leírás: A védőfal mögé helyezett alkalmazások olvasási hozzá tudtak férni a /var/log könyvtárhoz, így hozzájuthattak a rendszernaplókban található bizalmas információkhoz. Azáltal hárították el a problémát, hogy megakadályozták a védőfal mögötti alkalmazások hozzáférését a /var/log könyvtárhoz.

    CVE-azonosító

    CVE-2012-3743

  • Telefonálás

    A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Előfordult, hogy az SMS-üzenetek tetszőleges felhasználótól érkeztek

    Leírás: Az üzenetek az SMS válaszcímét jelenítették meg feladóként, ami lehetőséget adott arra, hogy meghamisítsák a válaszcímet. Annak beállításával hárították el a problémát, hogy a rendszer mindig a feladó címét jelenítse meg, ne pedig a válaszcímet.

    CVE-azonosító

    CVE-2012-3744 : pod2g

  • Telefonálás

    A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Az SMS-ek a mobilhálózati kapcsolat megszakadását tudták előidézni

    Leírás: Az SMS-ek felhasználói adatokat tároló fejlécének kezelésekor egybájtos puffertúlcsordulást okozó probléma lépett fel. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2012-3745 : pod2g

  • UIKit

    A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: A támadó, aki hozzá tudott férni a készülék fájlrendszeréhez, olvasni tudta a UIWebView nézetben megjelenített fájlokat

    Leírás: A UIWebView összetevőt használó alkalmazásoknál előfordulhatott, hogy még engedélyezett jelkód mellett is titkosítatlan fájlokat hagytak a fájlrendszerben. Hatékonyabb adatvédelemmel hárították el a problémát.

    CVE-azonosító

    CVE-2012-3746 : Ben Smith (Box)

  • WebKit

    A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: A WebKit motor több, memóriasérüléssel kapcsolatos problémát tartalmazott. A memóriakezelés javítása révén küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2011-3016 : miaubiz

    CVE-2011-3021 : Arthur Gerkis

    CVE-2011-3027 : miaubiz

    CVE-2011-3032 : Arthur Gerkis

    CVE-2011-3034 : Arthur Gerkis

    CVE-2011-3035 : wushi (team509; az iDefense VCP közreműködőjeként), Arthur Gerkis

    CVE-2011-3036 : miaubiz

    CVE-2011-3037 : miaubiz

    CVE-2011-3038 : miaubiz

    CVE-2011-3039 : miaubiz

    CVE-2011-3040 : miaubiz

    CVE-2011-3041 : miaubiz

    CVE-2011-3042 : miaubiz

    CVE-2011-3043 : miaubiz

    CVE-2011-3044 : Arthur Gerkis

    CVE-2011-3050 : miaubiz

    CVE-2011-3053 : miaubiz

    CVE-2011-3059 : Arthur Gerkis

    CVE-2011-3060 : miaubiz

    CVE-2011-3064 : Atte Kettunen (OUSPG)

    CVE-2011-3068 : miaubiz

    CVE-2011-3069 : miaubiz

    CVE-2011-3071 : pa_kt (a HP Zero Day Initiative kezdeményezésének közreműködőjeként)

    CVE-2011-3073 : Arthur Gerkis

    CVE-2011-3074 : Slawomir Blazek

    CVE-2011-3075 : miaubiz

    CVE-2011-3076 : miaubiz

    CVE-2011-3078 : Martin Barbella (a Google Chrome biztonsági csapatának tagja)

    CVE-2011-3081 : miaubiz

    CVE-2011-3086 : Arthur Gerkis

    CVE-2011-3089 : Skylined (a Google Chrome biztonsági csapatának tagja), miaubiz

    CVE-2011-3090 : Arthur Gerkis

    CVE-2011-3105 : miaubiz

    CVE-2011-3913 : Arthur Gerkis

    CVE-2011-3924 : Arthur Gerkis

    CVE-2011-3926 : Arthur Gerkis

    CVE-2011-3958 : miaubiz

    CVE-2011-3966 : Aki Helin (OUSPG)

    CVE-2011-3968 : Arthur Gerkis

    CVE-2011-3969 : Arthur Gerkis

    CVE-2011-3971 : Arthur Gerkis

    CVE-2012-0682 : Az Apple termékbiztonsági csoportja

    CVE-2012-0683 : Dave Mandelin (Mozilla)

    CVE-2012-1520 : Martin Barbella (a Google Chrome biztonsági csapatának tagja, az AddressSanitizer eszköz segítségével), Jose A. Vazquez (spa-s3c.blogspot.com, az iDefense VCP közreműködőjeként)

    CVE-2012-1521 : Skylined (a Google Chrome biztonsági csapatának tagja), Jose A. Vazquez (spa-s3c.blogspot.com, az iDefense VCP közreműködőjeként)

    CVE-2012-2818 : miaubiz

    CVE-2012-3589 : Dave Mandelin (Mozilla)

    CVE-2012-3590 : Az Apple termékbiztonsági csoportja

    CVE-2012-3591 : Az Apple termékbiztonsági csoportja

    CVE-2012-3592 : Az Apple termékbiztonsági csoportja

    CVE-2012-3593 : Az Apple termékbiztonsági csoportja

    CVE-2012-3594 : miaubiz

    CVE-2012-3595 : Martin Barbella (a Google Chrome biztonsági csapatának tagja)

    CVE-2012-3596 : Skylined (a Google Chrome biztonsági csapatának tagja)

    CVE-2012-3597 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja)

    CVE-2012-3598 : Az Apple termékbiztonsági csoportja

    CVE-2012-3599 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja)

    CVE-2012-3600 : David Levin (Chromium fejlesztői közösség)

    CVE-2012-3601 : Martin Barbella (a Google Chrome biztonsági csapatának tagja, az AddressSanitizer eszköz segítségével)

    CVE-2012-3602 : miaubiz

    CVE-2012-3603 : Az Apple termékbiztonsági csoportja

    CVE-2012-3604 : Skylined (a Google Chrome biztonsági csapatának tagja)

    CVE-2012-3605 : Cris Neckar (a Google Chrome biztonsági csapatának tagja, az AddressSanitizer eszköz segítségével)

    CVE-2012-3608 : Skylined (a Google Chrome biztonsági csapatának tagja)

    CVE-2012-3609 : Skylined (a Google Chrome biztonsági csapatának tagja)

    CVE-2012-3610 : Skylined (a Google Chrome biztonsági csapatának tagja)

    CVE-2012-3611 : Az Apple termékbiztonsági csoportja

    CVE-2012-3612 : Skylined (a Google Chrome biztonsági csapatának tagja)

    CVE-2012-3613 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja)

    CVE-2012-3614 : Yong Li (Research In Motion, Inc.)

    CVE-2012-3615 : Stephen Chenney (Chromium fejlesztői közösség)

    CVE-2012-3617 : Az Apple termékbiztonsági csoportja

    CVE-2012-3618 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja)

    CVE-2012-3620 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja)

    CVE-2012-3624 : Skylined (a Google Chrome biztonsági csapatának tagja)

    CVE-2012-3625 : Skylined (a Google Chrome biztonsági csapatának tagja)

    CVE-2012-3626 : Az Apple termékbiztonsági csoportja

    CVE-2012-3627 : Skylined és Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagjai)

    CVE-2012-3628 : Az Apple termékbiztonsági csoportja

    CVE-2012-3629 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja)

    CVE-2012-3630 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja)

    CVE-2012-3631 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja)

    CVE-2012-3633 : Martin Barbella (a Google Chrome biztonsági csapatának tagja, az AddressSanitizer eszköz segítségével)

    CVE-2012-3634 : Martin Barbella (a Google Chrome biztonsági csapatának tagja, az AddressSanitizer eszköz segítségével)

    CVE-2012-3635 : Martin Barbella (a Google Chrome biztonsági csapatának tagja, az AddressSanitizer eszköz segítségével)

    CVE-2012-3636 : Martin Barbella (a Google Chrome biztonsági csapatának tagja, az AddressSanitizer eszköz segítségével)

    CVE-2012-3637 : Martin Barbella (a Google Chrome biztonsági csapatának tagja, az AddressSanitizer eszköz segítségével)

    CVE-2012-3638 : Martin Barbella (a Google Chrome biztonsági csapatának tagja, az AddressSanitizer eszköz segítségével)

    CVE-2012-3639 : Martin Barbella (a Google Chrome biztonsági csapatának tagja, az AddressSanitizer eszköz segítségével)

    CVE-2012-3640 : miaubiz

    CVE-2012-3641 : Slawomir Blazek

    CVE-2012-3642 : miaubiz

    CVE-2012-3644 : miaubiz

    CVE-2012-3645 : Martin Barbella (a Google Chrome biztonsági csapatának tagja, az AddressSanitizer eszköz segítségével)

    CVE-2012-3646 : Julien Chaffraix (Chromium fejlesztői közösség), Martin Barbella (a Google Chrome biztonsági csapatának tagja, az AddressSanitizer eszköz segítségével)

    CVE-2012-3647 : Skylined (a Google Chrome biztonsági csapatának tagja)

    CVE-2012-3648 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja)

    CVE-2012-3651 : Abhishek Arya (Inferno) és Martin Barbella (a Google Chrome biztonsági csapatának tagjai)

    CVE-2012-3652 : Martin Barbella (a Google Chrome biztonsági csapatának tagja)

    CVE-2012-3653 : Martin Barbella (a Google Chrome biztonsági csapatának tagja, az AddressSanitizer eszköz segítségével)

    CVE-2012-3655 : Skylined (a Google Chrome biztonsági csapatának tagja)

    CVE-2012-3656 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja)

    CVE-2012-3658 : Apple

    CVE-2012-3659 : Mario Gomes (netfuzzer.blogspot.com), Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja)

    CVE-2012-3660 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja)

    CVE-2012-3661 : Az Apple termékbiztonsági csoportja

    CVE-2012-3663 : Skylined (a Google Chrome biztonsági csapatának tagja)

    CVE-2012-3664 : Thomas Sepez (Chromium fejlesztői közösség)

    CVE-2012-3665 : Martin Barbella (a Google Chrome biztonsági csapatának tagja, az AddressSanitizer eszköz segítségével)

    CVE-2012-3666 : Apple

    CVE-2012-3667 : Trevor Squires (propaneapp.com)

    CVE-2012-3668 : Az Apple termékbiztonsági csoportja

    CVE-2012-3669 : Az Apple termékbiztonsági csoportja

    CVE-2012-3670 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja), Arthur Gerkis

    CVE-2012-3671 : Skylined és Martin Barbella (a Google Chrome biztonsági csapatának tagjai)

    CVE-2012-3672 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja)

    CVE-2012-3673 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja)

    CVE-2012-3674 : Skylined (a Google Chrome biztonsági csapatának tagja)

    CVE-2012-3676 : Julien Chaffraix (Chromium fejlesztői közösség)

    CVE-2012-3677 : Apple

    CVE-2012-3678 : Az Apple termékbiztonsági csoportja

    CVE-2012-3679 : Chris Leary (Mozilla)

    CVE-2012-3680 : Skylined (a Google Chrome biztonsági csapatának tagja)

    CVE-2012-3681 : Apple

    CVE-2012-3682 : Adam Barth (a Google Chrome biztonsági csapatának tagja)

    CVE-2012-3683 : wushi (team509, az iDefense VCP közreműködőjeként)

    CVE-2012-3684 : kuzzcc

    CVE-2012-3686 : Robin Cao (Torch Mobile, Peking)

    CVE-2012-3703 : Az Apple termékbiztonsági csoportja

    CVE-2012-3704 : Skylined (a Google Chrome biztonsági csapatának tagja)

    CVE-2012-3706 : Az Apple termékbiztonsági csoportja

    CVE-2012-3708 : Apple

    CVE-2012-3710 : James Robinson (Google)

    CVE-2012-3747 : David Bloom (Cue)

  • WebKit

    A következő készülékekhez érhető el: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generációs és újabb), iPad, iPad 2

    Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatása az adatok webhelyek közötti közzétételére kerülhetett sor

    Leírás: Kereszteredet-probléma lépett fel a CSS-tulajdonságértékek kezelésekor. Az eredetek nyomon követésének javításával küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2012-3691 : Apple

  • WebKit

    A következő készülékekhez érhető el: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generációs és újabb), iPad, iPad 2

    Érintett terület: Az ártó szándékkal létrehozott webhelyek le tudták cserélni az iframe keretek tartalmát más webhelyeken

    Leírás: Kereszteredet-probléma lépett fel a beágyazott (iframe) keretek előugró ablakokban történő kezelésekor. Az eredetek nyomon követésének javításával küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2011-3067 : Szergej Glazunov

  • WebKit

    A következő készülékekhez érhető el: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generációs és újabb), iPad, iPad 2

    Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatása az adatok webhelyek közötti közzétételére kerülhetett sor

    Leírás: Kereszteredet-probléma lépett fel a beágyazott (iframe) keretek és a töredékazonosítók kezelésekor. Az eredetek nyomon követésének javításával küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2012-2815 : Elie Bursztein, Baptiste Gourdin, Gustav Rydstedt és Dan Boneh (a Stanford Egyetem biztonsági kutatólaborjának munkatársai)

  • WebKit

    A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Más karakterre hasonlító karakterek URL-címben történő használatával a webhelyek más webhelynek tudták kiadni magukat

    Leírás: A Safari böngészőbe épített IDN- (International Domain Name) támogatás és Unicode betűtípusok lehetővé tették olyan URL-címek létrehozását, amelyek más karaktereket utánzó karaktereket tartalmaztak. Az ártó szándékkal létrehozott webhelyek ezt úgy tudták kihasználni, hogy a felhasználót olyan hamis webhelyekre irányították, amelyek ránézésre ártalmatlan tartományból származónak tűntek. A problémát azzal orvosolták, hogy kibővítették a WebKit ismert, más karakterhez hasonló karaktereket tartalmazó listáját. A böngésző Punycode kódolással jeleníti meg az ilyen karaktereket a címsorban.

    CVE-azonosító

    CVE-2012-3693 : Matt Cooley (Symantec)

  • WebKit

    A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatása webhelyek közötti, parancsfájlt alkalmazó támadást tett lehetővé.

    Leírás: Kanonizálási probléma lépett fel az URL-címek kezelésekor. aminek következtében webhelyek közötti, parancsfájlt alkalmazó támadások váltak lehetővé a location.href tulajdonságot használó webhelyek között. Az URL-címek hatékonyabb kanonizálásával hárították el a problémát.

    CVE-azonosító

    CVE-2012-3695 : Masato Kinugawa

  • WebKit

    A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Az ártó szándékkal létrehozott webhelyek megnyitásakor a HTTP-kérések szétdarabolásán alapuló támadásra kerülhetett sor

    Leírás: A HTTP-fejlécek injektálását lehetővé tevő probléma lépett fel a WebSocket csatornák kezelésekor. Azáltal hárították el a problémát, hogy javították a WebSocket csatornák URI azonosítók tisztítására alkalmazott eljárását.

    CVE-azonosító

    CVE-2012-3696 : David Belcher (a BlackBerry biztonsági problémák elhárításáért felelős csapatának tagja)

  • WebKit

    A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Az ártó szándékkal létrehozott webhelyek meg tudták hamisítani az URL-címsorban lévő értéket

    Leírás: Állapotkezeléssel összefüggő probléma lépett fel a munkamenet-előzmények kezelésekor, amely miatt előfordult, hogy az éppen megjelenített weboldal egy adott pontjára mutató hivatkozás megnyitásakor a Safari helytelen információkat jelenített meg az URL-címsorban. A munkamenet-állapot hatékonyabb nyomon követésével küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2011-2845 : Jordi Chancel

  • WebKit

    A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Az ártó szándékkal létrehozott webhelyek megnyitásakor a memória tartalmának közzétételére kerülhetett sor

    Leírás: Nem inicializált memória-hozzáféréssel kapcsolatos probléma lépett fel az SVG-képek kezelésekor. Hatékonyabb memória-inicializálással küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2012-3650 : Apple


A FaceTime nem minden országban vagy térségben érhető el.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: