Par programmas iOS 4.3 drošības saturu

Šajā dokumentā ir ietverts programmatūras iOS 4.3 drošības satura apraksts.

Šajā dokumentā ir ietverts programmatūras iOS 4.3 drošības satura apraksts; šo programmatūru var lejupielādēt un instalēt, izmantojot pakalpojumu iTunes.

Lai aizsargātu savus klientus, uzņēmums Apple neatklāj, nepārrunā vai neapstiprina ar drošību saistītās problēmas, līdz tiek veikta pilna izmeklēšana un izlaisti visi nepieciešamie ielāpi vai izdevumi. Papildinformāciju par Apple produktu drošību skatiet Apple produktu drošības tīmekļa vietnē.

Informāciju par Apple produktu drošības PGP atslēgu skatiet rakstā “Apple produktu drošības PGP atslēgas lietošana”.

Informācijas ievainojamības atsauces avots — CVE ID (ja ir attiecināms).

Informāciju par citiem drošības atjauninājumiem skatiet rakstā “Apple drošības atjauninājumi”.

Operētājsistēma iOS 4.3

  • CoreGraphics

    Pieejamība: operētājsistēmām iOS 3.0 līdz 4.2.1 tālruņiem iPhone 3GS un jaunākiem modeļiem, operētājsistēmām iOS 3.1 līdz 4.2.1 ierīcēm iPod touch (3. paaudzes) un jaunākiem modeļiem, operētājsistēmām iOS 3.2 līdz 4.2.1 planšetdatoriem iPad.

    Ietekme: vairākas FreeType ievainojamības.

    Apraksts: pastāvēja vairākas FreeType ievainojamības, no kurām nopietnākās var radīt iespēju izpildīt patvaļīgu kodu, apstrādājot ļaunprātīgi izveidotu fontu. Šīs problēmas ir novērstas, atjauninot FreeType uz versiju 2.4.3. Turpmāka informācija ir pieejama FreeType vietnē http://www.freetype.org/.

    CVE-ID

    CVE-2010-3855

  • ImageIO

    Pieejamība: operētājsistēmām iOS 3.0 līdz 4.2.1 tālruņiem iPhone 3GS un jaunākiem modeļiem, operētājsistēmām iOS 3.1 līdz 4.2.1 ierīcēm iPod touch (3. paaudzes) un jaunākiem modeļiem, operētājsistēmām iOS 3.2 līdz 4.2.1 planšetdatoriem iPad.

    Ietekme: skatot ļaunprātīgi izveidotus TIFF attēlus, var tikt neparedzēti pārtraukta programmas darbība vai izpildīts patvaļīgs kods.

    Apraksts: JPEG kodējuma TIFF attēlu apstrādes laikā libTIFF bibliotēkā radās bufera pārpilde. Skatot ļaunprātīgi izveidotus TIFF attēlus, var tikt neparedzēti pārtraukta programmas darbība vai izpildīts patvaļīgs kods.

    CVE-ID

    CVE-2011-0191: Apple

  • ImageIO

    Pieejamība: operētājsistēmām iOS 3.0 līdz 4.2.1 tālruņiem iPhone 3GS un jaunākiem modeļiem, operētājsistēmām iOS 3.1 līdz 4.2.1 ierīcēm iPod touch (3. paaudzes) un jaunākiem modeļiem, operētājsistēmām iOS 3.2 līdz 4.2.1 planšetdatoriem iPad.

    Ietekme: skatot ļaunprātīgi izveidotus TIFF attēlus, var tikt neparedzēti pārtraukta programmas darbība vai izpildīts patvaļīgs kods.

    Apraksts: CCITT Group 4 kodējuma TIFF attēlu apstrādes laikā libTIFF bibliotēkā radās bufera pārpilde. Skatot ļaunprātīgi izveidotus TIFF attēlus, var tikt neparedzēti pārtraukta programmas darbība vai izpildīts patvaļīgs kods.

    CVE-ID

    CVE-2011-0192: Apple

  • libxml

    Pieejamība: operētājsistēmām iOS 3.0 līdz 4.2.1 tālruņiem iPhone 3GS un jaunākiem modeļiem, operētājsistēmām iOS 3.1 līdz 4.2.1 ierīcēm iPod touch (3. paaudzes) un jaunākiem modeļiem, operētājsistēmām iOS 3.2 līdz 4.2.1 planšetdatoriem iPad.

    Ietekme: apmeklējot ļaunprātīgu tīmekļa vietni, var tikt neparedzēti pārtraukta programmatūras darbība vai izpildīts patvaļīgs kods.

    Apraksts: XPath izteiksmju apstrādes laikā libxml bibliotēkā radās “double free” kļūda. Apmeklējot ļaunprātīgu tīmekļa vietni, var tikt neparedzēti pārtraukta programmatūras darbība vai izpildīts patvaļīgs kods.

    CVE-ID

    CVE-2010-4494: Jangs Dinņins no NCNIPC, Graduate University of Chinese Academy of Sciences

  • Tīkls

    Pieejamība: operētājsistēmām iOS 3.0 līdz 4.2.1 tālruņiem iPhone 3GS un jaunākiem modeļiem, operētājsistēmām iOS 3.1 līdz 4.2.1 ierīcēm iPod touch (3. paaudzes) un jaunākiem modeļiem, operētājsistēmām iOS 3.2 līdz 4.2.1 planšetdatoriem iPad.

    Ietekme: serveris var identificēt ierīci dažādos savienojumos.

    Apraksts: izmantojot bezstāvokļa adreses automātisko konfigurāciju (SLAAC), ierīces izvēlētā IPv6 adrese satur ierīces MAC adresi. Serveris, kurā ir iespējota IPv6 un ar kuru ierīce sazinās, var izmantot šo adresi, lai izsekotu ierīci dažādos savienojumos. Instalējot šo atjauninājumu, tiek ieviests IPv6 paplašinājums, kas aprakstīts rakstā RFC 3041, pievienojot īslaicīgu, nejauši izvēlētu adresi, kas tiek izmantota izejošajiem savienojumiem.

  • Safari

    Pieejamība: operētājsistēmām iOS 3.0 līdz 4.2.1 tālruņiem iPhone 3GS un jaunākiem modeļiem, operētājsistēmām iOS 3.1 līdz 4.2.1 ierīcēm iPod touch (3. paaudzes) un jaunākiem modeļiem, operētājsistēmām iOS 3.2 līdz 4.2.1 planšetdatoriem iPad.

    Ietekme: apmeklējot ļaunprātīgu tīmekļa vietni, palaišanas laikā pārlūprogramma MobileSafari var tikt aizvērta.

    Apraksts: ļaunprātīgā tīmekļa vietnē var būt JavaScript kods, kas atkārtoti izraisa citas programmas palaišanu ierīcē, izmantojot tā URL apdarinātāju. Apmeklējot šo vietni pārlūkā MobileSafari, pārlūks tiek aizvērts un tiek palaista mērķa programma. Šī secība tiek izpildīta katrā MobileSafari atvēršanas reizē. Šo problēmu risina, atgriežoties iepriekšējā lapā, kad Safari ir atkārtoti atvērts pēc citas programmas palaišanas, izmantojot tā URL apdarinātāju.

    CVE-ID

    CVE-2011-0158: Nitešs Dhanjani no Ernst & Young LLP

  • Safari

    Pieejamība: operētājsistēmām iOS 4.0 līdz 4.2.1 tālruņiem iPhone 3GS un jaunākiem modeļiem, operētājsistēmām iOS 4.0 līdz 4.2.1 ierīcēm iPod touch (3. paaudzes) un jaunākiem modeļiem, operētājsistēmām iOS 4.2 līdz 4.2.1 planšetdatoriem iPad.

    Ietekme: sīkfailu dzēšanai Safari iestatījumos var nebūt ietekmes.

    Apraksts: noteiktos gadījumos sīkfailu dzēšanai Safari iestatījumos, kamēr Safari darbojas, nav ietekmes. Šī problēma ir novērsta, uzlabojot sīkfailu apstrādi. Šī problēma neietekmē sistēmas, kas ir jaunākas par iOS 4.0.

    CVE-ID

    CVE-2011-0159: Ēriks Vongs no Google Inc.

  • WebKit

    Pieejamība: operētājsistēmām iOS 3.0 līdz 4.2.1 tālruņiem iPhone 3GS un jaunākiem modeļiem, operētājsistēmām iOS 3.1 līdz 4.2.1 ierīcēm iPod touch (3. paaudzes) un jaunākiem modeļiem, operētājsistēmām iOS 3.2 līdz 4.2.1 planšetdatoriem iPad.

    Ietekme: apmeklējot ļaunprātīgu tīmekļa vietni, var tikt neparedzēti pārtraukta programmatūras darbība vai izpildīts patvaļīgs kods.

    Apraksts: programmā WebKit pastāv vairākas ar bojātu atmiņu saistītas kļūdas. Apmeklējot ļaunprātīgu tīmekļa vietni, var tikt neparedzēti pārtraukta programmatūras darbība vai izpildīts patvaļīgs kods.

    CVE-ID

    CVE-2010-1792

    CVE-2010-1824: kuzzcc un wushi no team509 sadarbībā ar TippingPoint Zero Day Initiative

    CVE-2011-0111: Sergejs Glazunovs

    CVE-2011-0112: Juzo Fudzisima no Google Inc.

    CVE-2011-0113: Andreass Klings no Nokia

    CVE-2011-0114: Kriss Evanss no Google Chrome drošības komandas

    CVE-2011-0115: J23 sadarbībā ar TippingPoint Zero Day Initiative un Emils A. Eklunds no Google, Inc.

    CVE-2011-0116: anonīms pētnieks sadarbībā ar TippingPoint Zero Day Initiative

    CVE-2011-0117: Abīšeks Arjia (Inferno) no Google, Inc.

    CVE-2011-0118: Abīšeks Arjia (Inferno) no Google, Inc.

    CVE-2011-0119: Abīšeks Arjia (Inferno) no Google, Inc.

    CVE-2011-0120: Abīšeks Arjia (Inferno) no Google, Inc.

    CVE-2011-0121: Abīšeks Arjia (Inferno) no Google, Inc.

    CVE-2011-0122: Slavomirs Blazeks

    CVE-2011-0123: Abīšeks Arjia (Inferno) no Google, Inc.

    CVE-2011-0124: Juzo Fudzisima no Google Inc.

    CVE-2011-0125: Abīšeks Arjia (Inferno) no Google, Inc.

    CVE-2011-0126: Mihajs Parparita no Google, Inc.

    CVE-2011-0127: Abīšeks Arjia (Inferno) no Google, Inc.

    CVE-2011-0128: Deivids Blūms

    CVE-2011-0129: Famlam

    CVE-2011-0130: Apple

    CVE-2011-0131: wushi no team509

    CVE-2011-0132: wushi no team509 sadarbībā ar TippingPoint Zero Day Initiative

    CVE-2011-0133: wushi no team509 sadarbībā ar TippingPoint Zero Day Initiative

    CVE-2011-0134: Jans Tosovskis

    CVE-2011-0135: anonīms ziņotājs

    CVE-2011-0136: Sergejs Glazunovs

    CVE-2011-0137: Sergejs Glazunovs

    CVE-2011-0138: kuzzcc

    CVE-2011-0140: Sergejs Glazunovs

    CVE-2011-0141: Kriss Rolfs no Matasano Security

    CVE-2011-0142: Abīšeks Arjia (Inferno) no Google, Inc.

    CVE-2011-0143: Slavomirs Blazeks un Sergejs Glazunovs

    CVE-2011-0144: Emils A. Eklunds no Google, Inc.

    CVE-2011-0145: Abīšeks Arjia (Inferno) no Google, Inc.

    CVE-2011-0146: Abīšeks Arjia (Inferno) no Google, Inc.

    CVE-2011-0147: Dirks Šulce

    CVE-2011-0148: Mihals Zalevskis no Google, Inc.

    CVE-2011-0149: wushi no team509 sadarbībā ar TippingPoint Zero Day Initiative un SkyLined no Google Chrome drošības komandas

    CVE-2011-0150: Maikls Gundlahs no safariadblock.com

    CVE-2011-0151: Abīšeks Arjia (Inferno) no Google, Inc.

    CVE-2011-0152: Skylined no Google Chrome drošības komandas

    CVE-2011-0153: Abīšeks Arjia (Inferno) no Google, Inc.

    CVE-2011-0154: anonīms pētnieks sadarbībā ar TippingPoint Zero Day Initiative

    CVE-2011-0155 : Aki Helins no OUSPG

    CVE-2011-0156: Abīšeks Arjia (Inferno) no Google, Inc.

    CVE-2011-0157: Benuā Jakobs no Mozilla

    CVE-2011-0168: Sergejs Glazunovs

  • WebKit

    Pieejamība: operētājsistēmām iOS 3.0 līdz 4.2.1 tālruņiem iPhone 3GS un jaunākiem modeļiem, operētājsistēmām iOS 3.1 līdz 4.2.1 ierīcēm iPod touch (3. paaudzes) un jaunākiem modeļiem, operētājsistēmām iOS 3.2 līdz 4.2.1 planšetdatoriem iPad.

    Ietekme: HTTP pamata autentifikācijas akreditācijas dati neuzmanības dēļ var tikt atklāti citā vietnē.

    Apraksts: ja vietnē tiek izmantota HTTP pamata autentifikācija un apmeklētājs no tās tiek novirzīts uz citu vietni, autentifikācijas akreditācijas dati var tikt nosūtīti uz citu vieni. Šī problēma ir novērsta, uzlabojot akreditācijas datu apstrādi.

    CVE-ID

    CVE-2011-0160: Makintošs Kūijs no Twelve Hundred Group, Haralds Hanke-Olsens, Čaks Hons no 1111 Internet LLC sadarbībā ar CERT un Pauls Hinze no Braintree

  • WebKit

    Pieejamība: operētājsistēmām iOS 3.0 līdz 4.2.1 tālruņiem iPhone 3GS un jaunākiem modeļiem, operētājsistēmām iOS 3.1 līdz 4.2.1 ierīcēm iPod touch (3. paaudzes) un jaunākiem modeļiem, operētājsistēmām iOS 3.2 līdz 4.2.1 planšetdatoriem iPad.

    Ietekme: apmeklējot ļaunprātīgu tīmekļa vietni, var izraisīt starpvietņu stila paziņojumus.

    Apraksts: Attr.style piekļuvēja apstrādes laikā WebKit programmā radās bufera pārpilde. Apmeklējot ļaunprātīgu tīmekļa vietni, vietnei var tikt atļauts ievadīt CSS citos dokumentos. Šī problēma ir novērsta, noņemot Attr.style piekļuvēju.

    CVE-ID

    CVE-2011-0161: Apple

  • WebKit

    Pieejamība: operētājsistēmām iOS 3.0 līdz 4.2.1 tālruņiem iPhone 3GS un jaunākiem modeļiem, operētājsistēmām iOS 3.1 līdz 4.2.1 ierīcēm iPod touch (3. paaudzes) un jaunākiem modeļiem, operētājsistēmām iOS 3.2 līdz 4.2.1 planšetdatoriem iPad.

    Ietekme: ļaunprātīga tīmekļa vietne var liegt citām vietnēm pieprasīt noteiktus resursus.

    Apraksts: kešoto resursu apstrādes laikā WebKit programmā radās kešatmiņas piesārņošanas problēma. Ļaunprātīga tīmekļa vietne var liegt citām vietnēm pieprasīt noteiktus resursus. Šī problēma ir novērsta, uzlabojot veida pārbaudi.

    CVE-ID

    CVE-2011-0163: Apple

  • Wi-Fi

    Pieejamība: operētājsistēmām iOS 3.0 līdz 4.2.1 tālruņiem iPhone 3GS un jaunākiem modeļiem, operētājsistēmām iOS 3.1 līdz 4.2.1 ierīcēm iPod touch (3. paaudzes) un jaunākiem modeļiem, operētājsistēmām iOS 3.2 līdz 4.2.1 planšetdatoriem iPad.

    Ietekme: izveidojot savienojumu ar Wi-Fi, uzbrucējs tajā pašā tīklā var izraisīt ierīces atiestatīšanu.

    Apraksts: Wi-Fi kadru apstrādes laikā pastāvēja robežu pārbaudes problēma. Izveidojot savienojumu ar Wi-Fi, uzbrucējs tajā pašā tīklā var izraisīt ierīces atiestatīšanu.

    CVE-ID

    CVE-2011-0162: Skots Boids no ePlus Technology, inc.

Informācija par produktiem, kas nav ražoti uzņēmumā Apple, vai informācija neatkarīgās vietnēs, kā darbību uzņēmums Apple nepārvalda un nepārbauda, nav apstiprināta un nav uzskatāma par ieteikumu. Uzņēmums Apple neatbild par trešās puses vietņu vai produktu izlasi, veiktspēju vai lietošanu. Uzņēmums Apple neatbild par informācijas precizitāti vai uzticamību trešās puses vietnēs. Interneta lietošana var radīt noteiktus riskus. Lai iegūtu papildinformāciju, sazinieties ar piegādātāju.

Publicēšanas datums: