Zawartość związana z zabezpieczeniami w uaktualnieniu iPhone’a 1.0.1

Ten dokument zawiera opis uaktualnienia zabezpieczeń iPhone’a 1.0.1, które można pobrać i zainstalować za pomocą aplikacji iTunes, jak opisano poniżej.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów Apple można znaleźć na tej stronie

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Więcej informacji o innych uaktualnieniach bezpieczeństwa znajduje się w artykule Aktualizacje zabezpieczeń Apple.

Uaktualnienie iPhone’a 1.0.1

Safari

Identyfikator CVE: CVE-2007-2400

Dostępne dla: iPhone’a 1.0

Zagrożenie: odwiedzenie złośliwej strony WWW może umożliwić przeprowadzenie ataku XSS (cross-site scripting).

Opis: model zabezpieczeń przeglądarki Safari uniemożliwia skryptowi JavaScript na zdalnych stronach WWW modyfikowanie stron poza ich domeną. Zjawisko wyścigu podczas uaktualniania strony w połączeniu z przekierowaniem HTTP może pozwolić skryptowi JavaScriptowi z jednej strony na modyfikację przekierowanej strony. Może to pozwolić na odczytanie lub dowolną modyfikację plików cookie i stron. To uaktualnienie rozwiązuje ten problem poprzez poprawę kontroli dostępu do właściwości okna. Problem zgłosili Lawrence Lai, Stan Switzer oraz Ed Rowe z firmy Adobe Systems, Inc.

Safari

Identyfikator CVE: CVE-2007-3944

Dostępne dla: iPhone’a 1.0

Zagrożenie: wyświetlenie złośliwie spreparowanej strony WWW może doprowadzić do wykonania dowolnego kodu.

Opis: w bibliotece Perl Compatible Regular Expressions (PCRE) używanej przez mechanizm skryptu JavaScript w przeglądarce Safari występują przepełnienia buforu sterty. Zachęcając użytkownika do odwiedzenia złośliwie spreparowanej strony WWW, osoba atakująca może spowodować wystąpienie problemu prowadzące do wykonania dowolnego kodu. To uaktualnienie rozwiązuje ten problem, przeprowadzając dodatkowe sprawdzanie poprawności wyrażeń regularnych skryptu JavaScript. Problem zgłosili Charlie Miller i Jake Honoroff z firmy Independent Security Evaluators.

WebCore

Identyfikator CVE: CVE-2007-2401

Dostępne dla: iPhone’a 1.0

Zagrożenie: odwiedzenie złośliwej strony WWW może umożliwić przeprowadzenie ataku cross-site.

Opis: w obiekcie XMLHttpRequest występuje błąd wstrzykiwania protokołu HTTP podczas serializacji nagłówków w żądaniu HTTP. Zachęcając użytkownika do odwiedzenia złośliwie spreparowanej strony WWW, osoba atakująca może spowodować przeprowadzenie ataku XSS (cross-site scripting). To uaktualnienie rozwiązuje ten problem przez wykonanie dodatkowej weryfikacji parametrów nagłówka. Problem zgłosił Richard Moore z firmy Westpoint Ltd.

WebKit

Identyfikator CVE: CVE-2007-3742

Dostępne dla: iPhone’a 1.0

Zagrożenie: podobne znaki w adresie URL mogą zostać użyte do podszycia się pod witrynę.

Opis: osadzona w przeglądarce Safari obsługa nazw IDN (International Domain Name) i czcionki Unicode mogła zostać użyte w celu utworzenia adresu URL, który zawiera podobne znaki. Przy użyciu tych znaków złośliwa witryna mogła skierować użytkownika do fałszywej witryny, której domena wygląda na prawdziwą. To uaktualnienie rozwiązano przez dołączenie listy znanych podobnych znaków oprogramowania WebKit. Problem zgłosił Tomohito Yoshino z firmy Business Architects Inc.

WebKit

Identyfikator CVE: CVE-2007-2399

Dostępne dla: iPhone’a 1.0

Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

Opis: nieprawidłowa konwersja typu podczas renderowania zestawów ramek może prowadzić do uszkodzenia pamięci. Odwiedzenie złośliwie spreparowanej witryny WWW może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Problem zgłosił Rhys Kidd z firmy Westnet.

Uwaga dotycząca instalacji

To uaktualnienie jest dostępne tylko za pośrednictwem aplikacji iTunes i nie pojawi się w aplikacji Uaktualnienie oprogramowania na komputerze ani w witrynie Apple z materiałami do pobrania. Upewnij się, że masz połączenie z Internetem i została zainstalowana najnowsza wersja aplikacji iTunes z witryny (www.apple.com/itunes).

iTunes automatycznie sprawdza serwer uaktualnień Apple zgodnie z tygodniowym harmonogramem. Po wykryciu uaktualnienia zostaje ono pobrane. Gdy iPhone jest podłączony do komputera, aplikacja iTunes przedstawi użytkownikowi opcję zainstalowania uaktualnienia. Jeśli to możliwe, zalecamy natychmiastowe zastosowanie uaktualnienia. Wybranie opcji nie instaluj spowoduje wyświetlenie opcji przy następnym podłączeniu iPhone’a. Proces automatycznego uaktualnienia może potrwać do tygodnia, w zależności od dnia, w którym aplikacja iTunes sprawdza dostępność uaktualnień.

Uaktualnienie można uzyskać ręcznie za pomocą przycisku Sprawdź uaktualnienia lub opcji menu w iTunes. Po wykonaniu tej czynności uaktualnienie można zastosować, gdy iPhone jest podłączony do komputera.

Aby sprawdzić, czy iPhone został uaktualniony:

1. Przejdź do Ustawień na iPhonie.

2. Kliknij opcję Ogólne.

3. Kliknij opcję To urządzenie. Wersja po zastosowaniu tego uaktualnienia to „1.0.1 (1C25)”.