Az iOS 6 biztonsági tartalmának ismertetése
Ez a cikk az iOS 6 biztonsági tartalmát ismerteti.
Az iOS 6 az iTunes segítségével tölthető le és telepíthető.
A dokumentum az iOS 6 biztonsági tartalmát ismerteti.
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információkat.
Ahol csak lehetséges, a cikk CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.
Más biztonsági frissítésekről „Az Apple biztonsági frissítései” című cikkből tájékozódhat.
iOS 6
CFNetwork
A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatása esetén a bizalmas adatok közzétételére kerülhetett sor
Leírás: Hiba lépett fel a helytelen formátumú URL-címek CFNetwork általi kezelésekor. A CFNetwork rendszer helytelen állomásnévre küldhet kérelmet, ami a bizalmas adatok közzétételére adott lehetőséget. Az URL-címek kezelésének javításával küszöbölték ki a problémát.
CVE-azonosító
CVE-2012-3724 : Erling Ellingsen (Facebook)
CoreGraphics
A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Több biztonsági rés a FreeType betűtípusmotorban
Leírás: Több biztonsági rés állt fenn a FreeType esetén, amelyek közül a legsúlyosabb miatt tetszőleges programkód végrehajtására kerülhetett sor az ártó szándékkal létrehozott betűtípusok feldolgozásakor. A FreeType 2.4.9-es verziójára való frissítéssel küszöbölték ki a problémákat. További információkért látogasson el a FreeType webhelyére: http://www.freetype.org/.
CVE-azonosító
CVE-2012-1126
CVE-2012-1127
CVE-2012-1128
CVE-2012-1129
CVE-2012-1130
CVE-2012-1131
CVE-2012-1132
CVE-2012-1133
CVE-2012-1134
CVE-2012-1135
CVE-2012-1136
CVE-2012-1137
CVE-2012-1138
CVE-2012-1139
CVE-2012-1140
CVE-2012-1141
CVE-2012-1142
CVE-2012-1143
CVE-2012-1144
CoreMedia
A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott filmfájlok megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor
Leírás: A Sorenson technológiával kódolt filmfájlok kezelésekor nem inicializált memória-hozzáféréssel kapcsolatos probléma lépett fel. Hatékonyabb memória-inicializálással küszöbölték ki a problémát.
CVE-azonosító
CVE-2012-3722 : Will Dormann (CERT/CC)
DHCP
A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: A kártékony Wi-Fi hálózatok meg tudták határozni, hogy a készülék előzőleg milyen hálózatokhoz csatlakozott
Leírás: Előfordult, hogy Wi-Fi hálózatra való csatlakozás során az iOS rendszer a DNAv4 protokollon keresztül közzétette azon hálózatok MAC-címét, amelyekhez a készülék korábban csatlakozott. Úgy küszöbölték ki a problémát, hogy letiltották a DNAv4 protokoll használatát a titkosítatlan Wi-Fi hálózatokon.
CVE-azonosító
CVE-2012-3725 : Mark Wuergler (Immunity, Inc.)
ImageIO
A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott TIFF-fájlok megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett
Leírás: A libtiff könyvtárban a ThunderScan kódolású TIFF-képfájlok kezelésével összefüggő puffertúlcsordulásos probléma állt fenn. A libtiff 3.9.5-ös verzióra való frissítésével hárították el a problémát.
CVE-azonosító
CVE-2011-1167
ImageIO
A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott PNG-fájlok megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor
Leírás: Több, memóriahibát előidéző probléma lépett fel a PNG-képek libpng általi kezelésekor. A PNG-képfájlok hatékonyabb hitelesítésével hárították el a problémákat.
CVE-azonosító
CVE-2011-3026 : Jüri Aedla
CVE-2011-3048
CVE-2011-3328
ImageIO
A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott JPEG-fájlok megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett
Leírás: Az ImageIO könyvtár JPEG-képfájlok kezelésére használt módszerében egy kétszeres felszabadítást előidéző hiba volt jelen. A memóriakezelés javításával küszöbölték ki a problémát.
CVE-azonosító
CVE-2012-3726 : Phil (PKJE Consulting)
ImageIO
A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott TIFF-képek megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett
Leírás: Egészszám-túlcsordulást okozó probléma lépett fel a TIFF-képek libTIFF általi kezelésekor. A TIFF-képek hatékonyabb hitelesítésével hárították el a problémát.
CVE-azonosító
CVE-2012-1173 : Alexander Gavrun (a HP Zero Day Initiative kezdeményezésének közreműködőjeként)
International Components for Unicode
A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Előfordult, hogy az ICU könyvtárkészletet használó alkalmazások esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor
Leírás: Verempuffer-túlcsordulást okozó probléma állt fenn az ICU helyazonosítók kezelésével összefüggésben. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.
CVE-azonosító
CVE-2011-4599
IPSec
A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: A racoon ártó szándékkal létrehozott konfigurációfájljainak betöltésekor tetszőleges kódvégrehajtásra kerülhetett sor
Leírás: Puffertúlcsordulást okozó probléma lépett fel a racoon konfigurációs fájlok kezelésekor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.
CVE-azonosító
CVE-3727 : 2012 iOS Jailbreak Dream Team
Kernel
A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: A rendszerszintű jogosultsággal rendelkező helyi felhasználók tetszőleges programkódot tudtak végrehajtani
Leírás: A kernelben probléma lépett fel az érvénytelen mutatók feloldásával kapcsolatban az ioctls csomagszűrő kezelésekor, ami lehetővé tette, hogy ártó szándékkal megváltoztassák a kernelmemóriát. A problémát hatékonyabb hibakezeléssel küszöbölték ki.
CVE-azonosító
CVE-2012-3728 : iOS Jailbreak Dream Team
Kernel
A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: A helyi felhasználók meg tudták határozni a kernelmemória felépítését
Leírás: A Berkeley csomagszűrő-fordítóban egy inicializálatlan memóriához való hozzáférést lehetővé tevő probléma állt fenn, amely a memória tartalmának közzétételéhez vezetett. Hatékonyabb memória-inicializálással küszöbölték ki a problémát.
CVE-azonosító
CVE-2012-3729 : Dan Rosenberg
libxml
A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Ártó szándékkal létrehozott weboldalak megtekintésekor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására kerülhetett sor
Leírás: A libxml könyvtárban több biztonsági rés is jelen volt, amelyek közül a legsúlyosabb váratlan alkalmazásleállást, illetve tetszőleges kódvégrehajtást tett lehetővé. A problémákat a megfelelő, más fejlesztők által az eredeti fejlesztők részére benyújtott javítások alkalmazásával orvosolták.
CVE-azonosító
CVE-2011-1944 : Chris Evans (a Google Chrome biztonsági csapatának tagja)
CVE-2011-2821 : Yang Dingning (NCNIPC, a Kínai Tudományos Akadémia továbbképző egyeteme)
CVE-2011-2834 : Yang Dingning (NCNIPC, a Kínai Tudományos Akadémia továbbképző egyeteme)
CVE-2011-3919 : Jüri Aedla
Mail
A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Előfordult, hogy a Mail nem a megfelelő mellékletet jelenítette meg az üzenetekben
Leírás: Logikai probléma lépett fel a mellékletek Mail általi kezelésekor. Ha olyan üzenetmellékletet próbáltak megjeleníteni, amelynek tartalomazonosítója megegyezett az előzőleg megjelenített mellékletével, akkor az alkalmazás az előző mellékletet jelenítette meg még abban az esetben is, ha a két üzenet más-más feladótól származott. A hibajelenség megkönnyítette a hamisítást és az adathalászatot. A mellékletek hatékonyabb kezelésével hárították el a problémát.
CVE-azonosító
CVE-2012-3730 : Angelo Prado (a salesforce.com termékbiztonsági csapatának tagja)
Mail
A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Az e-mail mellékletek a felhasználó hozzáférési kódja nélkül is megtekinthetők voltak
Leírás: A Mail alkalmazásban az adatvédelmi osztály e-mail mellékleteken való használatával összefüggő logikai probléma állt fenn. Azáltal hárították el a problémát, hogy az e-mail mellékleteknek megfelelően állították be az adatvédelmi osztályt.
CVE-azonosító
CVE-2012-3731 : Stephen Prairie (Travelers Insurance), Erich Stuntebeck (AirWatch)
Mail
A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: A támadók meg tudták hamisítani az S/MIME-aláírással ellátott üzenetek feladóját
Leírás: Az S/MIME-aláírással ellátott üzenetek az aláíró azonosságához társított név helyett a nem ellenőrzött megbízhatóságú feladócímet jelenítették meg. Annak beállításával hárították el a problémát, hogy az alkalmazás az üzenet aláírójához társított címet jelenítse meg, amennyiben rendelkezésre áll.
CVE-azonosító
CVE-2012-3732 : Egy ismeretlen kutató.
Üzenetek
A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Előfordult, hogy a felhasználó szándékán kívül közzétette e-mail címét
Leírás: Ha a felhasználónak több e-mail címe is társítva volt az iMessage alkalmazással, akkor az üzenet megválaszolásakor az alkalmazás egy másik e-mail címről küldte el a választ, így meg tudtak szerezni egy másik olyan e-mail címet, amely a felhasználó fiókjához volt társítva. A problémát megszüntették, így az alkalmazás már mindig arról az e-mail címről küldi a válaszokat, amelyre az eredeti üzenetet küldték.
CVE-azonosító
CVE-2012-3733 : Rodney S. Foley (Gnomesoft, LLC)
Office-fájlok megjelenítője
A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: A dokumentumok nem titkosított tartalmát ideiglenes fájlba lehetett írni
Leírás: A Microsoft Office-fájlok megtekintését lehetővé tevő funkcióban adatközzétételt eredményező probléma állt fenn. A dokumentumok megtekintésekor az Office-fájlok megjelenítője a megtekintett dokumentumból származó adatokat tartalmazó ideiglenes fájlt hozott létre a meghívó eljárás ideiglenes mappájában. Az illetéktelenek meg tudták szerezni az adatokat olyan alkalmazások esetén, amelyek adatvédelmet vagy egyéb titkosítási eljárást használtak a felhasználói fájlok védelméhez. A probléma már nem áll fenn annak köszönhetően, hogy az Office-dokumentumok megtekintésekor a megjelenítő már nem hoz létre ideiglenes fájlokat.
CVE-azonosító
CVE-2012-3734 : Salvatore Cataudella (Open Systems Technologies)
OpenGL
A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Az OS X OpenGL-implementációját használó alkalmazások sebezhetők voltak a váratlan alkalmazásleállásokkal, illetve tetszőleges programkód végrehajtásával szemben
Leírás: Több, memóriahibát előidéző probléma lépett fel a GLSL-fordítások kezelésekor. A GLSL-árnyékolók hatékonyabb hitelesítésével hárították el a problémákat.
CVE-azonosító
CVE-2011-3457 : Chris Evans (a Google Chrome biztonsági csapatának tagja) és Marc Schoenefeld (a Red Hat biztonsági problémák elhárításáért felelős csapatának tagja)
Jelkódzár
A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: A készülékhez fizikailag hozzáférő személyek rövid időre meg tudták tekinteni a zárolt készüléken legutoljára használt külső gyártású alkalmazást
Leírás: Logikai probléma állt fenn a zárolási képernyőn látható „Kikapcsolás” feliratú csúszkával összefüggésben. A zárolási állapot hatékonyabb kezelésével küszöbölték ki a problémát.
CVE-azonosító
CVE-2012-3735 : Chris Lawrence DBB
Jelkódzár
A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: A készülékhez fizikai hozzáféréssel rendelkező személyek meg tudták kerülni a kijelzőzárat
Leírás: Logikai probléma lépett fel a FaceTime-hívások zárolási képernyőről történő leállításakor. A zárolási állapot hatékonyabb kezelésével küszöbölték ki a problémát.
CVE-azonosító
CVE-2012-3736 : Ian Vitek (2Secure AB)
Jelkódzár
A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Előfordult, hogy az összes fényképhez hozzá lehetett férni a zárolási képernyőről
Leírás: Tervezési hiba állt fenn a zárolási képernyőn készített fényképek megtekintését lehető tevő funkció esetén. A jelkódzár az alapján állapította meg, hogy mely fényképekhez engedélyezzen hozzáférést, hogy összevetette a zárolás időpontját az egyes fényképek készítésének időpontjával. Így az aktuális idő meghamisítása révén azokhoz a képekhez is hozzá lehetett férni, amelyek a zárolást megelőzően készültek. A probléma megszüntetése érdekében úgy alakították át a funkciót, hogy egyértelműen számon tartsa, hogy mely fényképek készültek a zárolás ideje alatt.
CVE-azonosító
CVE-2012-3737 : Ade Barkah (BlueWax Inc.)
Jelkódzár
A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: A zárolt készülékhez fizikailag hozzáférő személyek FaceTime-hívásokat tudtak kezdeményezni
Leírás: A vészhívásra szolgáló képernyőnek volt egy logikai problémája, amelynek következtében hangvezérelt tárcsázással FaceTime-hívást lehetett kezdeményezni a zárolt készüléken. Ez a probléma a felhasználó kontaktjairól is adatokat szolgáltathat ki a kontaktokat javasló funkción keresztül. Azáltal hárították el a problémát, hogy letiltották a hangvezérelt tárcsázás használatát a vészhívási képernyőn.
CVE-azonosító
CVE-2012-3738 : Ade Barkah (BlueWax Inc.)
Jelkódzár
A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: A készülékhez fizikai hozzáféréssel rendelkező személyek meg tudták kerülni a kijelzőzárat
Leírás: A kamera kijelzőzárról való használata egyes esetekben megzavarta az automatikus zárolási funkció működését, ami lehetővé tette, hogy a készülékhez fizikailag hozzáférő személy megkerülje a jelkódzárképernyőt. A zárolási állapot hatékonyabb kezelésével küszöbölték ki a problémát.
CVE-azonosító
CVE-2012-3739 : Sebastian Spanninger (Austrian Federal Computing Centre (BRZ))
Jelkódzár
A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: A készülékhez fizikai hozzáféréssel rendelkező személyek meg tudták kerülni a kijelzőzárat
Leírás: Állapotkezeléssel összefüggő probléma lépett fel a kijelzőzár kezelésekor. A zárolási állapot hatékonyabb kezelésével küszöbölték ki a problémát.
CVE-azonosító
CVE-2012-3740 : Ian Vitek (2Secure AB)
Korlátozások
A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Előfordult, hogy a felhasználók az Apple ID hitelesítő adatainak megadása nélkül is tudtak vásárolni
Leírás: A Korlátozások funkció letiltását követően előfordult, hogy az iOS a felhasználó jelszavának kérése nélkül is engedélyezte a vásárlási tranzakciót. A problémát azzal küszöbölték ki, hogy a vásárlás során szigorúbb hitelesítést vezettek be.
CVE-azonosító
CVE-2012-3741 : Kevin Makens (Redwood-i középiskola)
Safari
A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: A webhelyeken olyan karaktereket is tudtak használni, amelyek hasonlítottak a lakatot ábrázoló ikonra
Leírás: A webhelyek Unicode-karakter segítségével meg tudták jeleníteni a lakatot ábrázoló ikont az oldal címében. Az ikon a védett kapcsolatot jelző ikonhoz hasonlított, így a felhasználó azt hihette, hogy biztonságos kapcsolat létesült. Azáltal hárították el a problémát, hogy eltávolították ezeket a karaktereket a weboldalak címéből.
CVE-azonosító
CVE-2012-3742 : Boku Kihara (Lepidum)
Safari
A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Jelszavak beírásakor a rendszer akkor is automatikusan kiegészítheti őket, ha a webhely letiltotta az automatikus kiegészítést
Leírás: Olyan, jelszó beírására szolgáló vezérlőelemek is automatikusan kiegészítették a jelszót, amelyeknek az automatikus kiegészítést meghatározó attribútuma kikapcsolt állapotú volt. Az automatikus kiegészítés attribútumának hatékonyabb kezelésével hárították el a problémát.
CVE-azonosító
CVE-2012-0680 : Dan Poltawski (Moodle)
Rendszernaplók
A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: A védőfal mögött működő alkalmazások hozzá tudtak jutni a rendszernaplók tartalmához
Leírás: A védőfal mögé helyezett alkalmazások olvasási hozzá tudtak férni a /var/log könyvtárhoz, így hozzájuthattak a rendszernaplókban található bizalmas információkhoz. Azáltal hárították el a problémát, hogy megakadályozták a védőfal mögötti alkalmazások hozzáférését a /var/log könyvtárhoz.
CVE-azonosító
CVE-2012-3743
Telefonálás
A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Előfordult, hogy az SMS-üzenetek tetszőleges felhasználótól érkeztek
Leírás: Az üzenetek az SMS válaszcímét jelenítették meg feladóként, ami lehetőséget adott arra, hogy meghamisítsák a válaszcímet. Annak beállításával hárították el a problémát, hogy a rendszer mindig a feladó címét jelenítse meg, ne pedig a válaszcímet.
CVE-azonosító
CVE-2012-3744 : pod2g
Telefonálás
A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Az SMS-ek a mobilhálózati kapcsolat megszakadását tudták előidézni
Leírás: Az SMS-ek felhasználói adatokat tároló fejlécének kezelésekor egybájtos puffertúlcsordulást okozó probléma lépett fel. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.
CVE-azonosító
CVE-2012-3745 : pod2g
UIKit
A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: A támadó, aki hozzá tudott férni a készülék fájlrendszeréhez, olvasni tudta a UIWebView nézetben megjelenített fájlokat
Leírás: A UIWebView összetevőt használó alkalmazásoknál előfordulhatott, hogy még engedélyezett jelkód mellett is titkosítatlan fájlokat hagytak a fájlrendszerben. Hatékonyabb adatvédelemmel hárították el a problémát.
CVE-azonosító
CVE-2012-3746 : Ben Smith (Box)
WebKit
A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.
Leírás: A WebKit motor több, memóriasérüléssel kapcsolatos problémát tartalmazott. A memóriakezelés javítása révén küszöbölték ki a problémákat.
CVE-azonosító
CVE-2011-3016 : miaubiz
CVE-2011-3021 : Arthur Gerkis
CVE-2011-3027 : miaubiz
CVE-2011-3032 : Arthur Gerkis
CVE-2011-3034 : Arthur Gerkis
CVE-2011-3035 : wushi (team509; az iDefense VCP közreműködőjeként), Arthur Gerkis
CVE-2011-3036 : miaubiz
CVE-2011-3037 : miaubiz
CVE-2011-3038 : miaubiz
CVE-2011-3039 : miaubiz
CVE-2011-3040 : miaubiz
CVE-2011-3041 : miaubiz
CVE-2011-3042 : miaubiz
CVE-2011-3043 : miaubiz
CVE-2011-3044 : Arthur Gerkis
CVE-2011-3050 : miaubiz
CVE-2011-3053 : miaubiz
CVE-2011-3059 : Arthur Gerkis
CVE-2011-3060 : miaubiz
CVE-2011-3064 : Atte Kettunen (OUSPG)
CVE-2011-3068 : miaubiz
CVE-2011-3069 : miaubiz
CVE-2011-3071 : pa_kt (a HP Zero Day Initiative kezdeményezésének közreműködőjeként)
CVE-2011-3073 : Arthur Gerkis
CVE-2011-3074 : Slawomir Blazek
CVE-2011-3075 : miaubiz
CVE-2011-3076 : miaubiz
CVE-2011-3078 : Martin Barbella (a Google Chrome biztonsági csapatának tagja)
CVE-2011-3081 : miaubiz
CVE-2011-3086 : Arthur Gerkis
CVE-2011-3089 : Skylined (a Google Chrome biztonsági csapatának tagja), miaubiz
CVE-2011-3090 : Arthur Gerkis
CVE-2011-3105 : miaubiz
CVE-2011-3913 : Arthur Gerkis
CVE-2011-3924 : Arthur Gerkis
CVE-2011-3926 : Arthur Gerkis
CVE-2011-3958 : miaubiz
CVE-2011-3966 : Aki Helin (OUSPG)
CVE-2011-3968 : Arthur Gerkis
CVE-2011-3969 : Arthur Gerkis
CVE-2011-3971 : Arthur Gerkis
CVE-2012-0682 : Az Apple termékbiztonsági csoportja
CVE-2012-0683 : Dave Mandelin (Mozilla)
CVE-2012-1520 : Martin Barbella (a Google Chrome biztonsági csapatának tagja, az AddressSanitizer eszköz segítségével), Jose A. Vazquez (spa-s3c.blogspot.com, az iDefense VCP közreműködőjeként)
CVE-2012-1521 : Skylined (a Google Chrome biztonsági csapatának tagja), Jose A. Vazquez (spa-s3c.blogspot.com, az iDefense VCP közreműködőjeként)
CVE-2012-2818 : miaubiz
CVE-2012-3589 : Dave Mandelin (Mozilla)
CVE-2012-3590 : Az Apple termékbiztonsági csoportja
CVE-2012-3591 : Az Apple termékbiztonsági csoportja
CVE-2012-3592 : Az Apple termékbiztonsági csoportja
CVE-2012-3593 : Az Apple termékbiztonsági csoportja
CVE-2012-3594 : miaubiz
CVE-2012-3595 : Martin Barbella (a Google Chrome biztonsági csapatának tagja)
CVE-2012-3596 : Skylined (a Google Chrome biztonsági csapatának tagja)
CVE-2012-3597 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja)
CVE-2012-3598 : Az Apple termékbiztonsági csoportja
CVE-2012-3599 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja)
CVE-2012-3600 : David Levin (Chromium fejlesztői közösség)
CVE-2012-3601 : Martin Barbella (a Google Chrome biztonsági csapatának tagja, az AddressSanitizer eszköz segítségével)
CVE-2012-3602 : miaubiz
CVE-2012-3603 : Az Apple termékbiztonsági csoportja
CVE-2012-3604 : Skylined (a Google Chrome biztonsági csapatának tagja)
CVE-2012-3605 : Cris Neckar (a Google Chrome biztonsági csapatának tagja, az AddressSanitizer eszköz segítségével)
CVE-2012-3608 : Skylined (a Google Chrome biztonsági csapatának tagja)
CVE-2012-3609 : Skylined (a Google Chrome biztonsági csapatának tagja)
CVE-2012-3610 : Skylined (a Google Chrome biztonsági csapatának tagja)
CVE-2012-3611 : Az Apple termékbiztonsági csoportja
CVE-2012-3612 : Skylined (a Google Chrome biztonsági csapatának tagja)
CVE-2012-3613 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja)
CVE-2012-3614 : Yong Li (Research In Motion, Inc.)
CVE-2012-3615 : Stephen Chenney (Chromium fejlesztői közösség)
CVE-2012-3617 : Az Apple termékbiztonsági csoportja
CVE-2012-3618 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja)
CVE-2012-3620 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja)
CVE-2012-3624 : Skylined (a Google Chrome biztonsági csapatának tagja)
CVE-2012-3625 : Skylined (a Google Chrome biztonsági csapatának tagja)
CVE-2012-3626 : Az Apple termékbiztonsági csoportja
CVE-2012-3627 : Skylined és Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagjai)
CVE-2012-3628 : Az Apple termékbiztonsági csoportja
CVE-2012-3629 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja)
CVE-2012-3630 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja)
CVE-2012-3631 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja)
CVE-2012-3633 : Martin Barbella (a Google Chrome biztonsági csapatának tagja, az AddressSanitizer eszköz segítségével)
CVE-2012-3634 : Martin Barbella (a Google Chrome biztonsági csapatának tagja, az AddressSanitizer eszköz segítségével)
CVE-2012-3635 : Martin Barbella (a Google Chrome biztonsági csapatának tagja, az AddressSanitizer eszköz segítségével)
CVE-2012-3636 : Martin Barbella (a Google Chrome biztonsági csapatának tagja, az AddressSanitizer eszköz segítségével)
CVE-2012-3637 : Martin Barbella (a Google Chrome biztonsági csapatának tagja, az AddressSanitizer eszköz segítségével)
CVE-2012-3638 : Martin Barbella (a Google Chrome biztonsági csapatának tagja, az AddressSanitizer eszköz segítségével)
CVE-2012-3639 : Martin Barbella (a Google Chrome biztonsági csapatának tagja, az AddressSanitizer eszköz segítségével)
CVE-2012-3640 : miaubiz
CVE-2012-3641 : Slawomir Blazek
CVE-2012-3642 : miaubiz
CVE-2012-3644 : miaubiz
CVE-2012-3645 : Martin Barbella (a Google Chrome biztonsági csapatának tagja, az AddressSanitizer eszköz segítségével)
CVE-2012-3646 : Julien Chaffraix (Chromium fejlesztői közösség), Martin Barbella (a Google Chrome biztonsági csapatának tagja, az AddressSanitizer eszköz segítségével)
CVE-2012-3647 : Skylined (a Google Chrome biztonsági csapatának tagja)
CVE-2012-3648 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja)
CVE-2012-3651 : Abhishek Arya (Inferno) és Martin Barbella (a Google Chrome biztonsági csapatának tagjai)
CVE-2012-3652 : Martin Barbella (a Google Chrome biztonsági csapatának tagja)
CVE-2012-3653 : Martin Barbella (a Google Chrome biztonsági csapatának tagja, az AddressSanitizer eszköz segítségével)
CVE-2012-3655 : Skylined (a Google Chrome biztonsági csapatának tagja)
CVE-2012-3656 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja)
CVE-2012-3658 : Apple
CVE-2012-3659 : Mario Gomes (netfuzzer.blogspot.com), Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja)
CVE-2012-3660 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja)
CVE-2012-3661 : Az Apple termékbiztonsági csoportja
CVE-2012-3663 : Skylined (a Google Chrome biztonsági csapatának tagja)
CVE-2012-3664 : Thomas Sepez (Chromium fejlesztői közösség)
CVE-2012-3665 : Martin Barbella (a Google Chrome biztonsági csapatának tagja, az AddressSanitizer eszköz segítségével)
CVE-2012-3666 : Apple
CVE-2012-3667 : Trevor Squires (propaneapp.com)
CVE-2012-3668 : Az Apple termékbiztonsági csoportja
CVE-2012-3669 : Az Apple termékbiztonsági csoportja
CVE-2012-3670 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja), Arthur Gerkis
CVE-2012-3671 : Skylined és Martin Barbella (a Google Chrome biztonsági csapatának tagjai)
CVE-2012-3672 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja)
CVE-2012-3673 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja)
CVE-2012-3674 : Skylined (a Google Chrome biztonsági csapatának tagja)
CVE-2012-3676 : Julien Chaffraix (Chromium fejlesztői közösség)
CVE-2012-3677 : Apple
CVE-2012-3678 : Az Apple termékbiztonsági csoportja
CVE-2012-3679 : Chris Leary (Mozilla)
CVE-2012-3680 : Skylined (a Google Chrome biztonsági csapatának tagja)
CVE-2012-3681 : Apple
CVE-2012-3682 : Adam Barth (a Google Chrome biztonsági csapatának tagja)
CVE-2012-3683 : wushi (team509, az iDefense VCP közreműködőjeként)
CVE-2012-3684 : kuzzcc
CVE-2012-3686 : Robin Cao (Torch Mobile, Peking)
CVE-2012-3703 : Az Apple termékbiztonsági csoportja
CVE-2012-3704 : Skylined (a Google Chrome biztonsági csapatának tagja)
CVE-2012-3706 : Az Apple termékbiztonsági csoportja
CVE-2012-3708 : Apple
CVE-2012-3710 : James Robinson (Google)
CVE-2012-3747 : David Bloom (Cue)
WebKit
A következő készülékekhez érhető el: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generációs és újabb), iPad, iPad 2
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatása az adatok webhelyek közötti közzétételére kerülhetett sor
Leírás: Kereszteredet-probléma lépett fel a CSS-tulajdonságértékek kezelésekor. Az eredetek nyomon követésének javításával küszöbölték ki a problémát.
CVE-azonosító
CVE-2012-3691 : Apple
WebKit
A következő készülékekhez érhető el: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generációs és újabb), iPad, iPad 2
Érintett terület: Az ártó szándékkal létrehozott webhelyek le tudták cserélni az iframe keretek tartalmát más webhelyeken
Leírás: Kereszteredet-probléma lépett fel a beágyazott (iframe) keretek előugró ablakokban történő kezelésekor. Az eredetek nyomon követésének javításával küszöbölték ki a problémát.
CVE-azonosító
CVE-2011-3067 : Szergej Glazunov
WebKit
A következő készülékekhez érhető el: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generációs és újabb), iPad, iPad 2
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatása az adatok webhelyek közötti közzétételére kerülhetett sor
Leírás: Kereszteredet-probléma lépett fel a beágyazott (iframe) keretek és a töredékazonosítók kezelésekor. Az eredetek nyomon követésének javításával küszöbölték ki a problémát.
CVE-azonosító
CVE-2012-2815 : Elie Bursztein, Baptiste Gourdin, Gustav Rydstedt és Dan Boneh (a Stanford Egyetem biztonsági kutatólaborjának munkatársai)
WebKit
A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Más karakterre hasonlító karakterek URL-címben történő használatával a webhelyek más webhelynek tudták kiadni magukat
Leírás: A Safari böngészőbe épített IDN- (International Domain Name) támogatás és Unicode betűtípusok lehetővé tették olyan URL-címek létrehozását, amelyek más karaktereket utánzó karaktereket tartalmaztak. Az ártó szándékkal létrehozott webhelyek ezt úgy tudták kihasználni, hogy a felhasználót olyan hamis webhelyekre irányították, amelyek ránézésre ártalmatlan tartományból származónak tűntek. A problémát azzal orvosolták, hogy kibővítették a WebKit ismert, más karakterhez hasonló karaktereket tartalmazó listáját. A böngésző Punycode kódolással jeleníti meg az ilyen karaktereket a címsorban.
CVE-azonosító
CVE-2012-3693 : Matt Cooley (Symantec)
WebKit
A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatása webhelyek közötti, parancsfájlt alkalmazó támadást tett lehetővé.
Leírás: Kanonizálási probléma lépett fel az URL-címek kezelésekor. aminek következtében webhelyek közötti, parancsfájlt alkalmazó támadások váltak lehetővé a location.href tulajdonságot használó webhelyek között. Az URL-címek hatékonyabb kanonizálásával hárították el a problémát.
CVE-azonosító
CVE-2012-3695 : Masato Kinugawa
WebKit
A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Az ártó szándékkal létrehozott webhelyek megnyitásakor a HTTP-kérések szétdarabolásán alapuló támadásra kerülhetett sor
Leírás: A HTTP-fejlécek injektálását lehetővé tevő probléma lépett fel a WebSocket csatornák kezelésekor. Azáltal hárították el a problémát, hogy javították a WebSocket csatornák URI azonosítók tisztítására alkalmazott eljárását.
CVE-azonosító
CVE-2012-3696 : David Belcher (a BlackBerry biztonsági problémák elhárításáért felelős csapatának tagja)
WebKit
A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Az ártó szándékkal létrehozott webhelyek meg tudták hamisítani az URL-címsorban lévő értéket
Leírás: Állapotkezeléssel összefüggő probléma lépett fel a munkamenet-előzmények kezelésekor, amely miatt előfordult, hogy az éppen megjelenített weboldal egy adott pontjára mutató hivatkozás megnyitásakor a Safari helytelen információkat jelenített meg az URL-címsorban. A munkamenet-állapot hatékonyabb nyomon követésével küszöbölték ki a problémát.
CVE-azonosító
CVE-2011-2845 : Jordi Chancel
WebKit
A következő készülékekhez érhető el: iPhone 3GS és újabb, 4. generációs és újabb iPod touch, iPad 2 és újabb
Érintett terület: Az ártó szándékkal létrehozott webhelyek megnyitásakor a memória tartalmának közzétételére kerülhetett sor
Leírás: Nem inicializált memória-hozzáféréssel kapcsolatos probléma lépett fel az SVG-képek kezelésekor. Hatékonyabb memória-inicializálással küszöbölték ki a problémát.
CVE-azonosító
CVE-2012-3650 : Apple
A FaceTime nem minden országban vagy térségben érhető el.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.