Informacje o funkcjach systemu iOS 6 dotyczących zabezpieczeń
Dowiedz się na temat zawartości związanej z zabezpieczeniami w systemie iOS 6.
System iOS 6 można pobrać i zainstalować przy użyciu programu iTunes.
Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w systemie iOS 6.
W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.
iOS 6
CFNetwork
Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do ujawnienia poufnych informacji.
Opis: w procedurze obsługi zniekształconych adresów URL przez środowisko CFNetwork występował błąd. Środowisko CFNetwork może wysyłać żądania przy użyciu nieprawidłowej nazwy hosta, co może skutkować ujawnieniem poufnych informacji. Ten problem rozwiązano przez ulepszenie procedur obsługi adresów URL.
Identyfikator CVE
CVE-2012-3724: Erling Ellingsen z firmy Facebook
CoreGraphics
Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: wiele luk w zabezpieczeniach programu FreeType.
Opis: w programie FreeType występuje wiele luk w zabezpieczeniach, z których najpoważniejsze mogą spowodować wykonanie dowolnego kodu podczas przetwarzania złośliwie spreparowanej czcionki. Rozwiązanie tych problemów polega na uaktualnieniu programu FreeType do wersji 2.4.9. Więcej informacji można znaleźć w witrynie programu FreeType pod adresem http://www.freetype.org/.
Identyfikator CVE
CVE-2012-1126
CVE-2012-1127
CVE-2012-1128
CVE-2012-1129
CVE-2012-1130
CVE-2012-1131
CVE-2012-1132
CVE-2012-1133
CVE-2012-1134
CVE-2012-1135
CVE-2012-1136
CVE-2012-1137
CVE-2012-1138
CVE-2012-1139
CVE-2012-1140
CVE-2012-1141
CVE-2012-1142
CVE-2012-1143
CVE-2012-1144
CoreMedia
Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu
Opis: w procedurach obsługi plików filmów zakodowanych w formacie Sorenson występuje błąd niezainicjowanego dostępu do pamięci. Ten problem rozwiązano przez poprawienie procedur inicjowania pamięci.
Identyfikator CVE
CVE-2012-3722: Will Dormann z organizacji CERT/CC
DHCP
Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: złośliwa sieć Wi-Fi może określić sieci, z którymi łączyło się urządzenie.
Opis: po połączeniu się z siecią Wi-Fi system iOS może rozsyłać adresy MAC sieci, do których uzyskano wcześniej dostęp za pośrednictwem protokołu DNAv4. Rozwiązanie tego problemu polega na wyłączeniu protokołu DNAv4 w nieszyfrowanych sieciach Wi-Fi.
Identyfikator CVE
CVE-2012-3725: Mark Wuergler z firmy Immunity, Inc.
ImageIO
Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku TIFF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurach obsługi przez bibliotekę libtiff obrazów TIFF zakodowanych za pomocą algorytmu ThunderScan występuje błąd powodujący przepełnienie buforu. Ten problem rozwiązano przez uaktualnienie biblioteki libtiff do wersji 3.9.5.
Identyfikator CVE
CVE-2011-1167
ImageIO
Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: wyświetlenie złośliwie spreparowanego obrazu PNG może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurach obsługi obrazów PNG przez bibliotekę libpng występuje wiele błędów powodujących uszkodzenie zawartości pamięci. Rozwiązanie tych problemów polega na poprawieniu procedury sprawdzania poprawności obrazów PNG.
Identyfikator CVE
CVE-2011-3026: Jüri Aedla
CVE-2011-3048
CVE-2011-3328
ImageIO
Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: wyświetlenie złośliwie spreparowanego obrazu JPEG może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.
Opis: w procedurach obsługi obrazów JPEG przez pakiet ImageIO występuje błąd dotyczący podwójnego zwolnienia pamięci. Ten problem rozwiązano przez poprawienie procedur zarządzania pamięcią.
Identyfikator CVE
CVE-2012-3726: Phil z organizacji PKJE Consulting
ImageIO
Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: wyświetlenie złośliwie spreparowanego obrazu TIFF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurach obsługi obrazów TIFF przez bibliotekę libTIFF występuje błąd powodujący przepełnienie całkowitoliczbowe. Ten problem rozwiązano przez poprawienie procedur sprawdzania poprawności obrazów TIFF.
Identyfikator CVE
CVE-2012-1173: Alexander Gavrun pracujący w ramach programu Zero Day Initiative firmy HP
Biblioteka ICU (International Components for Unicode)
Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: aplikacje stosujące bibliotekę ICU mogą być narażone na nieoczekiwane zakończenie działania lub wykonanie dowolnego kodu.
Opis: w procedurze obsługi identyfikatorów ustawień regionalnych biblioteki ICU występował błąd powodujący przepełnienie buforu stosu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2011-4599
IPSec
Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: załadowanie złośliwie spreparowanej konfiguracji demona racoon może doprowadzić do wykonania dowolnego kodu.
Opis: w procedurach obsługi plików konfiguracji demona racoon występuje błąd powodujący przepełnienie buforu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2012-3727: zespół iOS Jailbreak Dream Team
Jądro
Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami systemowymi
Opis: w procedurze obsługi filtru pakietów ioctls w jądrze występuje błędna dereferencja wskaźnika. Może to pozwolić osobie atakującej na zmodyfikowanie pamięci jądra. Ten problem rozwiązano przez poprawienie procedur obsługi błędów.
Identyfikator CVE
CVE-2012-3728: zespół iOS Jailbreak Dream Team
Jądro
Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: użytkownik lokalny może być w stanie określić rozkład pamięci jądra.
Opis: w interpreterze filtru pakietów Berkeley występuje problem z dostępem do niezainicjowanej pamięci, który może prowadzić do ujawnienia zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur inicjowania pamięci.
Identyfikator CVE
CVE-2012-3729: Dan Rosenberg
libxml
Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: wyświetlenie złośliwie spreparowanej strony internetowej może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w bibliotece libxml występuje wiele luk w zabezpieczeniach, z których najpoważniejsze mogą spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu. Rozwiązanie tych problemów polega na zastosowaniu odpowiednich poprawek typu upstream.
Identyfikator CVE
CVE-2011-1944: Chris Evans z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2011-2821: Yang Dingning z firmy NCNIPC, Graduate University of Chinese Academy of Sciences
CVE-2011-2834: Yang Dingning z firmy NCNIPC, Graduate University of Chinese Academy of Sciences
CVE-2011-3919: Jüri Aedla
Mail
Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: program Mail może wyświetlić niewłaściwy załącznik w wiadomości.
Opis: w procedurach obsługi załączników przez program Mail istnieje błąd logiczny. Jeśli kolejny załącznik pocztowy zawiera ten sam identyfikator Content-ID co poprzedni, jest wyświetlany poprzedni załącznik, nawet jeśli dwie wiadomości pochodzą od różnych nadawców. Ten błąd może ułatwić wykonywanie ataków polegających na podszywaniu się lub ataków typu phishing (wyłudzanie informacji). Ten problem rozwiązano przez poprawienie procedur obsługi załączników.
Identyfikator CVE
CVE-2012-3730: Angelo Prado z zespołu ds. zabezpieczeń produktów witryny salesforce.com
Mail
Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: można odczytać załączniki do wiadomości e-mail bez kodu użytkownika.
Opis: procedura używania mechanizmu ochrony danych załączników do wiadomości e-mail w programie Mail zawierała błąd logiczny. Ten problem rozwiązano przez poprawienie procedury ustawiania klasy ochrony danych dla załączników do wiadomości e-mail.
Identyfikator CVE
CVE-2012-3731: Stephen Prairie z firmy Travelers Insurance, Erich Stuntebeck z firmy AirWatch
Mail
Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: osoba atakująca może podszyć się pod nadawcę podpisanej wiadomości S/MIME.
Opis: podpisane wiadomości S/MIME są wyświetlane z niezaufanym adresem „Od” zamiast z nazwą skojarzoną z tożsamością osoby, która podpisała wiadomość. Rozwiązanie tego problemu polega na wyświetlaniu adresu skojarzonego z tożsamością osoby, która podpisała wiadomość, jeśli jest on dostępny.
Identyfikator CVE
CVE-2012-3732: anonimowy badacz.
Wiadomości
Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: użytkownik może niechcący ujawnić istnienie swojego adresu e-mail.
Opis: gdy użytkownik ma wiele adresów e-mail skojarzonych z programem iMessage, do wysłania odpowiedzi na wiadomość może zostać użyty inny adres e-mail. Może to skutkować ujawnieniem innego adresu e-mail skojarzonego z kontem użytkownika. Rozwiązanie tego problemu polega na odpowiadaniu zawsze przy użyciu adresu e-mail, na który została wysłana pierwotna wiadomość.
Identyfikator CVE
CVE-2012-3733: Rodney S. Foley z firmy Gnomesoft, LLC
Office Viewer
Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: w pliku tymczasowym mogą zostać zapisane niezaszyfrowane dane dokumentu.
Opis: w procedurach obsługi wyświetlania plików pakietu Microsoft Office występuje błąd powodujący ujawnianie informacji. Podczas wyświetlania informacji program Office Viewer zapisuje plik tymczasowy z danymi tego dokumentu w katalogu tymczasowym procesu wywołującego. Jeśli aplikacja używa mechanizmu ochrony danych użytkownika lub funkcji szyfrowania plików użytkownika, może to prowadzić do ujawnienia informacji. Rozwiązanie tego problemu polega na unikaniu tworzenia plików tymczasowych podczas wyświetlania dokumentów pakietu Office.
Identyfikator CVE
CVE-2012-3734: Salvatore Cataudella z firmy Open Systems Technologies
OpenGL
Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: programy korzystające z implementacji biblioteki OpenGL w systemie OS X mogą być narażone na nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurach obsługi kompilacji GLSL występuje wiele błędów powodujących uszkodzenie zawartości pamięci. Rozwiązanie tych problemów polega na poprawieniu procedur sprawdzania poprawności modułów cieniujących GLSL.
Identyfikator CVE
CVE-2011-3457: Chris Evans z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome i Marc Schoenefeld z zespołu firmy Red Hat do spraw bezpieczeństwa
Kod blokady
Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: osoba posiadająca fizyczny dostęp do zablokowanego urządzenia może na chwilę wyświetlić ostatnią używaną aplikację innej firmy.
Opis: procedury wyświetlania suwaka „wyłącz” na ekranie blokady zawierają błąd logiczny. Ten problem rozwiązano przez poprawienie procedur zarządzania stanem blokady.
Identyfikator CVE
CVE-2012-3735: Chris Lawrence DBB
Kod blokady
Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: osoba posiadająca fizyczny dostęp do urządzenia może ominąć blokadę ekranu.
Opis: procedury kończenia połączeń FaceTime z poziomu ekranu blokady zawierają błąd logiczny. Ten problem rozwiązano przez poprawienie procedur zarządzania stanem blokady.
Identyfikator CVE
CVE-2012-3736: Ian Vitek z firmy 2Secure AB
Kod blokady
Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: na ekranie blokady mogą być dostępne wszystkie zdjęcia.
Opis: procedury obsługi wyświetlania zdjęć wykonanych na ekranie blokady zawierają błąd projektowy. W celu ustalenia, do których zdjęć umożliwić dostęp, blokada wymagająca kodu porównuje czas zablokowania urządzenia z czasem zrobienia zdjęcia. Sfałszowanie bieżącego czasu może pozwolić osobie atakującej na uzyskanie dostępu do zdjęć zrobionych przed zablokowaniem urządzenia. Ten problem rozwiązano przez wprowadzenie jawnego śledzenia zdjęć zrobionych po zablokowaniu urządzenia.
Identyfikator CVE
CVE-2012-3737: Ade Barkah z firmy BlueWax Inc.
Kod blokady
Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: osoba z fizycznym dostępem do zablokowanego urządzenia może wykonywać połączenia FaceTime.
Opis: ekran wybierania numerów w nagłych wypadkach zawiera błąd logiczny, który pozwala wykonywać połączenia FaceTime przez użycie wybierania głosowego na zablokowanym urządzeniu. Dodatkowo ten błąd może skutkować ujawnieniem kontaktów użytkownika przez funkcję sugerowania kontaktów. Rozwiązanie tego problemu polega na wyłączeniu wybierania głosowego na ekranie wybierania numerów w nagłych wypadkach.
Identyfikator CVE
CVE-2012-3738: Ade Barkah z firmy BlueWax Inc.
Kod blokady
Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: osoba posiadająca fizyczny dostęp do urządzenia może ominąć blokadę ekranu.
Opis: użycie kamery na ekranie blokady może czasami wywołać nieprawidłowe działanie funkcji blokady automatycznej, a tym samym pozwolić osobie z fizycznym dostępem do urządzenia na ominięcie ekranu blokady kodem. Ten problem rozwiązano przez poprawienie procedur zarządzania stanem blokady.
Identyfikator CVE
CVE-2012-3739: Sebastian Spanninger z Federalnego Centrum Obliczeniowego Austrii (BRZ)
Kod blokady
Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: osoba posiadająca fizyczny dostęp do urządzenia może ominąć blokadę ekranu.
Opis: w procedurach obsługi blokady ekranu występuje błąd dotyczący zarządzania stanem. Ten problem rozwiązano przez poprawienie procedur zarządzania stanem blokady.
Identyfikator CVE
CVE-2012-3740: Ian Vitek z firmy 2Secure AB
Ograniczenia
Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: użytkownik może być w stanie realizować zakupy bez wprowadzania danych logowania konta Apple ID.
Opis: po wyłączeniu funkcji Ograniczenia system iOS może nie prosić o podanie hasła użytkownika podczas transakcji. Rozwiązanie tego problemu polega na dodaniu nowych procedur wymuszania autoryzacji zakupów.
Identyfikator CVE
CVE-2012-3741: Kevin Makens ze szkoły średniej w Redwood
Safari
Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: w tytułach witryn mogą być używane znaki podobne do ikony blokady.
Opis: w tytułach stron witryn mogą być używane znaki Unicode przypominające ikonę blokady. Ta ikona jest podobna do ikony służącej do wskazywania bezpiecznego połączenia, dlatego może sugerować użytkownikowi, iż nawiązano bezpieczne połączenie. Ten problem rozwiązano przez usunięcie omawianych znaków z tytułów stron.
Identyfikator CVE
CVE-2012-3742: Boku Kihara z firmy Lepidum
Safari
Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: hasła mogą być automatycznie uzupełniane nawet wtedy, gdy w ustawieniach witryny funkcja automatycznego uzupełniania jest wyłączona.
Opis: elementy wprowadzania haseł z wyłączonym atrybutem automatycznego uzupełniania są automatycznie uzupełniane. Ten problem rozwiązano przez poprawienie procedur obsługi atrybutu autocomplete.
Identyfikator CVE
CVE-2012-0680: Dan Poltawski z organizacji Moodle
Dzienniki systemowe
Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: aplikacje z ograniczeniami piaskownicy mogą uzyskać dostęp do zawartości dziennika systemowego.
Opis: aplikacje z ograniczeniami piaskownicy mają dostęp do katalogu /var/log, co może pozwolić im na uzyskanie poufnych informacji zawartych w dziennikach systemowych. Rozwiązanie tego problemu polega na odmawianiu aplikacjom z ograniczeniami piaskownicy dostępu do katalogu /var/log.
Identyfikator CVE
CVE-2012-3743
Telefon
Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: wiadomość SMS może sprawiać wrażenie, jakby wysłał ją dowolnie zdefiniowany użytkownik.
Opis: jako adres nadawcy wiadomości SMS jest wyświetlany jej adres zwrotny. Pozwala to na fałszowanie adresów zwrotnych. Rozwiązanie tego problemu polega na wyświetlaniu zawsze adresu źródłowego, a nie adresu zwrotnego.
Identyfikator CVE
CVE-2012-3744: użytkownik pod2g
Telefon
Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: wiadomość SMS może zakłócić łączność z siecią komórkową
Opis: w procedurach obsługi nagłówków danych użytkownika w wiadomościach SMS występuje przepełnienie buforu (przesunięcie o jedną pozycję). Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2012-3745: użytkownik pod2g
UIKit
Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: osoba atakująca z dostępem do systemu plików urządzenia może odczytać pliki wyświetlane w obiekcie UIWebView.
Opis: aplikacje korzystające z obiektów UIWebView mogą pozostawić w systemie plików niezaszyfrowane pliki, gdy jest włączony kod. Ten problem rozwiązano przez poprawienie procedur używania mechanizmu ochrony danych.
Identyfikator CVE
CVE-2012-3746: Ben Smith z firmy Box
WebKit
Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w oprogramowaniu WebKit występowało kilka błędów powodujących uszkodzenie zawartości pamięci. Te problemy rozwiązano przez poprawienie obsługi pamięci.
Identyfikator CVE
CVE-2011-3016: użytkownik miaubiz
CVE-2011-3021: Arthur Gerkis
CVE-2011-3027: użytkownik miaubiz
CVE-2011-3032: Arthur Gerkis
CVE-2011-3034: Arthur Gerkis
CVE-2011-3035: użytkownik wushi z grupy team509 pracujący w ramach programu iDefense VCP i Arthur Gerkis
CVE-2011-3036: użytkownik miaubiz
CVE-2011-3037: użytkownik miaubiz
CVE-2011-3038: użytkownik miaubiz
CVE-2011-3039: użytkownik miaubiz
CVE-2011-3040: użytkownik miaubiz
CVE-2011-3041: użytkownik miaubiz
CVE-2011-3042: użytkownik miaubiz
CVE-2011-3043: użytkownik miaubiz
CVE-2011-3044: Arthur Gerkis
CVE-2011-3050: użytkownik miaubiz
CVE-2011-3053: użytkownik miaubiz
CVE-2011-3059: Arthur Gerkis
CVE-2011-3060: użytkownik miaubiz
CVE-2011-3064: Atte Kettunen z firmy OUSPG
CVE-2011-3068: użytkownik miaubiz
CVE-2011-3069: użytkownik miaubiz
CVE-2011-3071: użytkownik pa_kt pracujący w ramach programu Zero Day Initiative firmy HP
CVE-2011-3073: Arthur Gerkis
CVE-2011-3074: Sławomir Błażek
CVE-2011-3075: użytkownik miaubiz
CVE-2011-3076: użytkownik miaubiz
CVE-2011-3078: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2011-3081: użytkownik miaubiz
CVE-2011-3086: Arthur Gerkis
CVE-2011-3089: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome i użytkownik miaubiz
CVE-2011-3090: Arthur Gerkis
CVE-2011-3105: użytkownik miaubiz
CVE-2011-3913: Arthur Gerkis
CVE-2011-3924: Arthur Gerkis
CVE-2011-3926: Arthur Gerkis
CVE-2011-3958: użytkownik miaubiz
CVE-2011-3966: Aki Helin z firmy OUSPG
CVE-2011-3968: Arthur Gerkis
CVE-2011-3969: Arthur Gerkis
CVE-2011-3971: Arthur Gerkis
CVE-2012-0682: zespół do spraw bezpieczeństwa produktów firmy Apple
CVE-2012-0683: Dave Mandelin z firmy Mozilla
CVE-2012-1520: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer i Jose A. Vazquez z serwisu spa-s3c.blogspot.com pracujący w ramach programu iDefense VCP
CVE-2012-1521: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome i Jose A. Vazquez z serwisu spa-s3c.blogspot.com pracujący w ramach programu iDefense VCP
CVE-2012-2818: użytkownik miaubiz
CVE-2012-3589: Dave Mandelin z firmy Mozilla
CVE-2012-3590: zespół do spraw bezpieczeństwa produktów firmy Apple
CVE-2012-3591: zespół do spraw bezpieczeństwa produktów firmy Apple
CVE-2012-3592: zespół do spraw bezpieczeństwa produktów firmy Apple
CVE-2012-3593: zespół do spraw bezpieczeństwa produktów firmy Apple
CVE-2012-3594: użytkownik miaubiz
CVE-2012-3595: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3596: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3597: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3598: zespół do spraw bezpieczeństwa produktów firmy Apple
CVE-2012-3599: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3600: David Levin ze społeczności rozwoju Chromium
CVE-2012-3601: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer
CVE-2012-3602: użytkownik miaubiz
CVE-2012-3603: zespół do spraw bezpieczeństwa produktów firmy Apple
CVE-2012-3604: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3605: Cris Neckar z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3608: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3609: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3610: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3611: zespół do spraw bezpieczeństwa produktów firmy Apple
CVE-2012-3612: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3613: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3614: Yong Li z firmy Research In Motion, Inc.
CVE-2012-3615: Stephen Chenney ze społeczności rozwoju Chromium
CVE-2012-3617: zespół do spraw bezpieczeństwa produktów firmy Apple
CVE-2012-3618: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3620: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3624: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3625: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3626: zespół do spraw bezpieczeństwa produktów firmy Apple
CVE-2012-3627: użytkownik SkyLined i Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3628: zespół do spraw bezpieczeństwa produktów firmy Apple
CVE-2012-3629: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3630: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3631: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3633: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer
CVE-2012-3634: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer
CVE-2012-3635: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer
CVE-2012-3636: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer
CVE-2012-3637: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer
CVE-2012-3638: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer
CVE-2012-3639: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer
CVE-2012-3640: użytkownik miaubiz
CVE-2012-3641: Sławomir Błażek
CVE-2012-3642: użytkownik miaubiz
CVE-2012-3644: użytkownik miaubiz
CVE-2012-3645: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer
CVE-2012-3646: Julien Chaffraix ze społeczności rozwoju Chromium, Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer
CVE-2012-3647: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3648: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3651: Abhishek Arya (Inferno) i Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3652: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3653: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer
CVE-2012-3655: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3656: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3658: firma Apple
CVE-2012-3659: Mario Gomes z blogu netfuzzer.blogspot.com, Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3660: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3661: zespół do spraw bezpieczeństwa produktów firmy Apple
CVE-2012-3663: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3664: Thomas Sepez ze społeczności rozwoju Chromium
CVE-2012-3665: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer
CVE-2012-3666: firma Apple
CVE-2012-3667: Trevor Squires z serwisu propaneapp.com
CVE-2012-3668: zespół do spraw bezpieczeństwa produktów firmy Apple
CVE-2012-3669: zespół do spraw bezpieczeństwa produktów firmy Apple
CVE-2012-3670: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome, Arthur Gerkis
CVE-2012-3671: Skylined i Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3672: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3673: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3674: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3676: Julien Chaffraix ze społeczności rozwoju systemu Chromium
CVE-2012-3677: firma Apple
CVE-2012-3678: zespół do spraw bezpieczeństwa produktów firmy Apple
CVE-2012-3679: Chris Leary z firmy Mozilla
CVE-2012-3680: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3681: firma Apple
CVE-2012-3682: Adam Barth z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3683: użytkownik wushi z grupy team509 pracujący w ramach programu iDefense VCP
CVE-2012-3684: użytkownik kuzzcc
CVE-2012-3686: Robin Cao z firmy Torch Mobile (Pekin)
CVE-2012-3703: zespół do spraw bezpieczeństwa produktów firmy Apple
CVE-2012-3704: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3706: zespół do spraw bezpieczeństwa produktów firmy Apple
CVE-2012-3708: firma Apple
CVE-2012-3710: James Robinson z firmy Google
CVE-2012-3747: David Bloom z organizacji Cue
WebKit
Dostępne dla: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generacji lub nowszy), iPad, iPad 2
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do ujawnienia informacji z różnych witryn.
Opis: w procedurach obsługi wartości właściwości arkuszy CSS występuje błąd związany z obsługą różnych źródeł. Ten problem rozwiązano przez poprawienie procedur śledzenia źródeł.
Identyfikator CVE
CVE-2012-3691: firma Apple
WebKit
Dostępne dla: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generacji lub nowszy), iPad, iPad 2
Zagrożenie: złośliwa witryna może zamienić zawartość elementu iframe w innej witrynie.
Opis: w procedurach obsługi elementów iframe w oknach podręcznych występuje błąd związany z obsługą różnych źródeł. Ten problem rozwiązano przez poprawienie procedur śledzenia źródeł.
Identyfikator CVE
CVE-2011-3067: Sergey Glazunov
WebKit
Dostępne dla: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generacji lub nowszy), iPad, iPad 2
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do ujawnienia informacji z różnych witryn.
Opis: w procedurach obsługi elementów iframe i identyfikatorów fragmentów występuje błąd związany z obsługą różnych źródeł. Ten problem rozwiązano przez poprawienie procedur śledzenia źródeł.
Identyfikator CVE
CVE-2012-2815: Elie Bursztein, Baptiste Gourdin, Gustav Rydstedt i Dan Boneh z laboratorium do spraw bezpieczeństwa uczelni Stanford University
WebKit
Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: podobne znaki w adresie URL mogą zostać użyte do podszycia się pod witrynę.
Opis: osadzona w przeglądarce Safari obsługa nazw IDN (International Domain Name) i czcionki Unicode mogą zostać użyte w celu utworzenia adresu URL, który zawiera podobne znaki. Przy użyciu tych znaków złośliwa witryna może skierować użytkownika do fałszywej witryny, której domena wygląda na prawdziwą. Ten problem rozwiązano przez dołączenie listy znanych podobnych znaków oprogramowania WebKit. Podobne znaki są renderowane w formacie Punycode na pasku adresu.
Identyfikator CVE
CVE-2012-3693: Matt Cooley z firmy Symantec
WebKit
Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować atak XSS (cross-site scripting).
Opis: w procedurach obsługi adresów URL występuje błąd sprowadzania do postaci kanonicznej. Może to powodować ataki XSS (cross-site scripting) w witrynach korzystających z właściwości location.href. Ten problem rozwiązano przez poprawienie procedur sprowadzania adresów URL do postaci kanonicznej.
Identyfikator CVE
CVE-2012-3695: Masato Kinugawa
WebKit
Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może powodować podział żądań HTTP.
Opis: w procedurach obsługi oprogramowania WebSockets występuje błąd umożliwiający wstawienie nagłówka HTTP. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania poprawności identyfikatora URI oprogramowania WebSockets.
Identyfikator CVE
CVE-2012-3696: David Belcher z zespołu reagowania na zdarzenia naruszające bezpieczeństwo urządzeń BlackBerry
WebKit
Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: złośliwie spreparowana witryna internetowa może zastąpić wartość na pasku adresu URL.
Opis: w procedurach obsługi historii sesji występuje błąd zarządzania stanem. Przejście do fragmentu na bieżącej stronie może powodować wyświetlanie nieprawidłowych informacji na pasku adresu URL przeglądarki Safari. Ten problem rozwiązano przez poprawienie procedur śledzenia stanu sesji.
Identyfikator CVE
CVE-2011-2845: Jordi Chancel
WebKit
Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny internetowej może spowodować ujawnienie zawartości pamięci.
Opis: w procedurach obsługi obrazów SVG występuje błąd niezainicjowanego dostępu do pamięci. Ten problem rozwiązano przez poprawienie procedur inicjowania pamięci.
Identyfikator CVE
CVE-2012-3650: firma Apple
Funkcja FaceTime nie jest dostępna we wszystkich krajach i regionach.
Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.