Zawartość związana z zabezpieczeniami w uaktualnieniu systemu iPhone 1.1.1
W tym dokumencie opisano zawartość związaną z zabezpieczeniami w uaktualnieniu systemu iPhone 1.1.1.
W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów Apple można znaleźć na tej stronie
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń Apple.
Uaktualnienie systemu iPhone 1.1.1
Bluetooth
Identyfikator CVE: CVE-2007-3753
Zagrożenie: osoba atakująca znajdująca się w zasięgu sieci Bluetooth może być w stanie spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w serwerze Bluetooth iPhone’a występuje błąd sprawdzania poprawności danych wejściowych. Wysyłając złośliwie spreparowane pakiety protokołu SDP (Service Discovery Protocol) do iPhone’a z włączoną funkcją Bluetooth, osoba atakująca może wywołać błąd, który może prowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. To uaktualnienie rozwiązuje ten problem, przeprowadzając dodatkowe sprawdzanie poprawności pakietów SDP. Problem zgłosili Kevin Mahaffey i John Hering z Flexilis Mobile Security.
Identyfikator CVE: CVE-2007-3754
Zagrożenie: sprawdzanie poczty e-mail za pośrednictwem niezaufanych sieci może prowadzić do ujawnienia informacji poprzez atak typu man-in-the-middle.
Opis: gdy aplikacja Poczta jest skonfigurowana do korzystania z protokołu SSL dla połączeń przychodzących i wychodzących, nie ostrzega użytkownika, gdy tożsamość serwera poczty uległa zmianie lub nie można mu ufać. Osoba atakująca zdolna do przechwycenia połączenia może być w stanie podszyć się pod serwer poczty użytkownika i uzyskać jego dane uwierzytelniające poczty e-mail lub inne poufne informacje. To uaktualnienie rozwiązuje ten problem, odpowiednio ostrzegając, gdy tożsamość zdalnego serwera poczty uległa zmianie.
Identyfikator CVE: CVE-2007-3755
Zagrożenie: skorzystanie z łącza telefonicznego („tel:”) w aplikacji Poczta spowoduje wybranie numeru telefonu bez potwierdzenia.
Opis: aplikacja Poczta obsługuje łącza telefoniczne („tel:”) do wybierania numerów telefonów. Nakłaniając użytkownika do skorzystania z łącza telefonicznego zawartego w wiadomości e-mail, osoba atakująca może spowodować, że iPhone nawiąże połączenie bez potwierdzenia użytkownika. To uaktualnienie rozwiązuje ten problem, wyświetlając okno potwierdzenia przed wybraniem numeru telefonu za pomocą łącza telefonicznego w aplikacji Poczta. Problem zgłosił Andi Baritchi z McAfee.
Safari
Identyfikator CVE: CVE-2007-3756
Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do ujawnienia zawartości adresu URL.
Opis: problem projektowy w przeglądarce Safari umożliwia stronie internetowej odczytanie adresu URL, który jest obecnie wyświetlany w oknie nadrzędnym. Nakłaniając użytkownika do odwiedzenia złośliwie spreparowanej strony internetowej, osoba atakująca może uzyskać adres URL niepowiązanej strony. To uaktualnienie rozwiązuje ten problem przez ulepszoną kontrolę bezpieczeństwa między domenami. Problem zgłosili Michał Zalewski z Google Inc. i Secunia Research.
Safari
Identyfikator CVE: CVE-2007-3757
Zagrożenie: odwiedzenie złośliwej witryny może spowodować nieoczekiwane wybranie numeru lub wybranie innego numeru niż oczekiwano.
Opis: przeglądarka Safari obsługuje łącza telefoniczne („tel:”) do wybierania numerów telefonów. Po wybraniu łącza telefonicznego przeglądarka Safari potwierdzi, czy numer powinien zostać wybrany. Złośliwie spreparowane łącze telefoniczne może spowodować wyświetlenie podczas potwierdzania innego numeru niż ten, który został faktycznie wybrany. Wyjście z przeglądarki Safari w trakcie procesu potwierdzania może spowodować niezamierzone potwierdzenie. To uaktualnienie rozwiązuje ten problem, wyświetlając prawidłowo wybrany numer i wymagając potwierdzania łączy telefonicznych. Problem zgłosili Billy Hoffman i Bryan Sullivan z HP Security Labs (dawniej SPI Labs) oraz Eduardo Tang.
Safari
Identyfikator CVE: CVE-2007-3758
Zagrożenie: odwiedzenie złośliwej witryny może doprowadzić do uruchomienia skryptu międzylokacyjnego.
Opis: w przeglądarce Safari występuje luka w zabezpieczeniach dotycząca skryptów międzylokacyjnych, która umożliwia złośliwym witrynom ustawianie właściwości okna JavaScript witryn udostępnianych z innej domeny. Nakłaniając użytkownika do odwiedzenia złośliwie spreparowanej strony internetowej, osoba atakująca może wywołać problem, powodując uzyskanie lub ustawienie statusu okna i lokalizacji stron udostępnianych z innych witryn. To uaktualnienie rozwiązuje ten problem, zapewniając ulepszone mechanizmy kontroli dostępu do tych właściwości. Problem zgłosił Michał Zalewski z Google Inc.
Safari
Identyfikator CVE: CVE-2007-3759
Zagrożenie: wyłączenie obsługi JavaScript nie działa, dopóki przeglądarka Safari nie zostanie ponownie uruchomiona.
Opis: przeglądarkę Safari można skonfigurować tak, aby włączała lub wyłączała obsługę JavaScript. Ta preferencja nie zacznie działać, dopóki przeglądarka Safari nie zostanie ponownie uruchomiona. Zwykle występuje to po ponownym uruchomieniu iPhone’a. Może to wprowadzać użytkowników w błąd, że obsługa JavaScript jest wyłączona, gdy tak nie jest. To uaktualnienie rozwiązuje ten problem, stosując nową preferencję przed wczytaniem nowych stron internetowych.
Safari
Identyfikator CVE: CVE-2007-3760
Zagrożenie: odwiedzenie złośliwej witryny może skutkować uruchomieniem skryptu międzylokacyjnego.
Opis: błąd skryptów międzylokacyjnych w przeglądarce Safari pozwala złośliwie spreparowanej witrynie ominąć zasadę tego samego źródła przy użyciu tagów ramki. Nakłaniając użytkownika do odwiedzenia złośliwie spreparowanej strony internetowej, osoba atakująca może wywołać problem, który może doprowadzić do wykonania skryptu JavaScript w kontekście innej witryny. To uaktualnienie rozwiązuje ten problem, uniemożliwiając obsługę JavaScript jako źródła „iframe” i ograniczając skrypt JavaScript w tagach ramki do takiego samego dostępu, jak witryna, z której został on udostępniony. Problem zgłosili Michał Zalewski z Google Inc. i Secunia Research.
Safari
Identyfikator CVE: CVE-2007-3761
Zagrożenie: odwiedzenie złośliwej witryny może skutkować uruchomieniem skryptu międzylokacyjnego.
Opis: błąd skryptów międzylokacyjnych w przeglądarce Safari umożliwia powiązanie zdarzeń JavaScript z niewłaściwą ramką. Nakłaniając użytkownika do odwiedzenia złośliwie spreparowanej strony internetowej, osoba atakująca może doprowadzić do wykonania skryptu JavaScript w kontekście innej witryny. To uaktualnienie rozwiązuje ten problem przez powiązanie zdarzeń JavaScript z prawidłową ramką źródłową.
Safari
Identyfikator CVE: CVE-2007-4671
Zagrożenie: JavaScript na stronach internetowych może uzyskiwać dostęp do treści dokumentów przesyłanych za pośrednictwem protokołu HTTPS lub manipulować nimi.
Opis: problem w przeglądarce Safari umożliwia modyfikowanie zawartości udostępnianej przez protokół HTTP lub uzyskiwanie do niej dostępu w tej samej domenie za pośrednictwem protokołu HTTPS. Nakłaniając użytkownika do odwiedzenia złośliwie spreparowanej strony internetowej, osoba atakująca może doprowadzić do wykonania skryptu JavaScript w kontekście stron internetowych HTTPS w tej domenie. To uaktualnienie rozwiązuje ten problem, ograniczając dostęp między skryptami JavaScript wykonywanymi w ramkach HTTP i HTTPS. Problem zgłosił Keigo Yamazaki z LAC Co., Ltd. (Little eArth Corporation Co., Ltd.).
Uwaga dotycząca instalacji:
To uaktualnienie jest dostępne tylko w aplikacji iTunes i nie będzie wyświetlane w aplikacji Uaktualnienie oprogramowania na komputerze ani w witrynie Materiały do pobrania Apple. Upewnij się, że masz połączenie z Internetem i masz zainstalowaną najnowszą wersję aplikacji iTunes z witryny www.apple.com/pl/itunes.
Aplikacja iTunes będzie automatycznie sprawdzać serwer uaktualnień Apple zgodnie z cotygodniowym harmonogramem. Po wykryciu uaktualnienia zostanie ono pobrane. Po zadokowaniu iPhone’a aplikacja iTunes wyświetli użytkownikowi opcję zainstalowania uaktualnienia. Jeśli to możliwe, zalecamy natychmiastowe zastosowanie uaktualnienia. Wybranie opcji „Nie instaluj” spowoduje wyświetlenie opcji przy następnym podłączeniu iPhone’a.
Proces automatycznego uaktualniania może potrwać do tygodnia, w zależności od dnia, w którym aplikacja iTunes sprawdza dostępność uaktualnień. Uaktualnienie można uzyskać ręcznie za pomocą przycisku „Sprawdź dostępność uaktualnień” w aplikacji iTunes. Po wykonaniu tej czynności uaktualnienie można zastosować, gdy iPhone jest zadokowany w komputerze.
Aby sprawdzić, czy iPhone został uaktualniony:
Otwórz Ustawienia.
Kliknij opcję Ogólne.
Kliknij opcję To urządzenie. Wersja po zastosowaniu tego uaktualnienia będzie mieć numer „1.1.1 (3A109a)”.