Informacje o funkcjach zabezpieczeń systemu iOS 4.1 dla telefonu iPhone i iPoda touch

Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w systemie iOS 4.1 dla telefonu iPhone i iPoda touch.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

System iOS 4.1 dla telefonu iPhone i iPoda touch

  • Ułatwienia dostępu

    Identyfikator CVE: CVE-2010-1809

    Dostępne dla: iOS od 3.0 do 4.0.2 dla telefonu iPhone 3GS lub nowszego, iOS od 3.0 do 4.0.2 dla iPoda touch (3. generacji)

    Zagrożenie: funkcja VoiceOver może nie odtwarzać informacji o użyciu usług lokalizacji przez program

    Opis: w panelu ustawień usług lokalizacji występuje problem z dostępnością interfejsu użytkownika. Funkcja VoiceOver nie odtwarza informacji o obecności ikony usług lokalizacji wyświetlanej obok programu, który chce uzyskać informacje dotyczące lokalizacji użytkownika w ciągu ostatnich 24 godzin. Ten problem rozwiązano przez zapewnienie, że funkcja VoiceOver będzie odtwarzać informacje o tej ikonie. Problem zgłosił Robin Kipp z firmy Forever Living Products Europe.

  • FaceTime

    Identyfikator CVE: CVE-2010-1810

    Dostępne dla: iOS od 2.0 do 4.0.2 dla telefonu iPhone 3G lub nowszego, iOS od 2.1 do 4.0.2 dla iPoda touch (2. generacji) lub nowszego

    Zagrożenie: osoba atakująca mająca uprzywilejowany dostęp do sieci może przekierowywać połączenia w trybie FaceTime

    Opis: problem z obsługą nieprawidłowych certyfikatów może umożliwić osobie atakującej mającej uprzywilejowany dostęp do sieci przekierowywanie połączeń w trybie FaceTime. Ten problem rozwiązano przez poprawienie procedur obsługi nieprawidłowych certyfikatów. Problem zgłosił Aaron Sigel (vtty.com).

  • ImageIO

    Identyfikator CVE: CVE-2010-1811

    Dostępne dla: iOS od 2.0 do 4.0.2 dla telefonu iPhone 3G lub nowszego, iOS od 2.1 do 4.0.2 dla iPoda touch (2. generacji) lub nowszego

    Zagrożenie: przetworzenie złośliwie spreparowanego obrazu TIFF może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu

    Opis: w procedurach obsługi obrazów TIFF występuje błąd powodujący uszkodzenie zawartości pamięci. Przetworzenie złośliwie spreparowanego obrazu TIFF może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu. Ten problem rozwiązano przez poprawienie procedur obsługi obrazów TIFF. Problem został wykryty przez firmę Apple.

  • ImageIO

    Identyfikator CVE: CVE-2010-1817

    Dostępne dla: iOS od 2.0 do 4.0.2 dla telefonu iPhone 3G lub nowszego, iOS od 2.1 do 4.0.2 dla iPoda touch (2. generacji) lub nowszego

    Zagrożenie: przetworzenie złośliwie spreparowanego obrazu GIF może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu

    Opis: w procedurach obsługi obrazów GIF następuje przepełnienie buforu. Przetworzenie złośliwie spreparowanego obrazu GIF może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń. Problem zgłosił Tom Ferris z zespołu Adobe PSIRT.

  • WebKit

    Identyfikator CVE: CVE-2010-1786

    Dostępne dla: iOS od 2.0 do 4.0.2 dla telefonu iPhone 3G lub nowszego, iOS od 2.1 do 4.0.2 dla iPoda touch (2. generacji) lub nowszego

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu

    Opis: procedury obsługi obiektów foreignObject w dokumentach SVG przez oprogramowanie WebKit zawierają błąd dotyczący użycia po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten problem rozwiązano przez wprowadzenie dodatkowych procedur sprawdzania poprawności dokumentów SVG. Problem zgłosił użytkownik wushi z grupy team509 w ramach programu Zero Day Initiative firmy TippingPoint.

  • WebKit

    Identyfikator CVE: CVE-2010-1770

    Dostępne dla: iOS od 2.0 do 4.0.2 dla telefonu iPhone 3G lub nowszego, iOS od 2.1 do 4.0.2 dla iPoda touch (2. generacji) lub nowszego

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu

    Opis: w procedurach obsługi węzłów tekstowych przez oprogramowanie WebKit istnieje błąd dotyczący sprawdzania typu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten problem rozwiązano przez poprawienie procedur sprawdzania typu. Problem zgłosił użytkownik wushi z grupy team509 w ramach programu Zero Day Initiative firmy TippingPoint.

  • WebKit

    Identyfikator CVE: CVE-2010-1785

    Dostępne dla: iOS od 2.0 do 4.0.2 dla telefonu iPhone 3G lub nowszego, iOS od 2.1 do 4.0.2 dla iPoda touch (2. generacji) lub nowszego

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu

    Opis: procedury obsługi pseudoelementów :first-letter i :first-line w elementach tekstowych SVG przez oprogramowanie WebKit zawierają błąd dotyczący niezainicjowanego dostępu do pamięci. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten problem rozwiązano przez wyłączenie renderowania pseudoelementów :first-letter i :first-line w elementach tekstowych SVG. Problem zgłosił użytkownik wushi z grupy team509 w ramach programu Zero Day Initiative firmy TippingPoint.

  • WebKit

    Identyfikator CVE: CVE-2010-1780

    Dostępne dla: iOS od 2.0 do 4.0.2 dla telefonu iPhone 3G lub nowszego, iOS od 2.1 do 4.0.2 dla iPoda touch (2. generacji) lub nowszego

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu

    Opis: procedury obsługi fokusu elementów przez oprogramowanie WebKit zawierają błąd dotyczący użycia po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten problem rozwiązano przez poprawienie procedur obsługi fokusu elementów. Problem zgłosił Tony Chang z firmy Google Inc.

  • WebKit

    Identyfikator CVE: CVE-2010-1793

    Dostępne dla: iOS od 2.0 do 4.0.2 dla telefonu iPhone 3G lub nowszego, iOS od 2.1 do 4.0.2 dla iPoda touch (2. generacji) lub nowszego

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu

    Opis: zawarte w oprogramowaniu WebKit procedury obsługi elementów typów „font-face” i „use” w dokumentach SVG zawierają błąd dotyczący używania po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten problem rozwiązano przez poprawienie procedur obsługi elementów typów „font-face” i „use” w dokumentach SVG. Problem zgłosił Aki Helin z grupy OUSPG.

  • WebKit

    Identyfikator CVE: CVE-2010-1421

    Dostępne dla: iOS od 2.0 do 4.0.2 dla telefonu iPhone 3G lub nowszego, iOS od 2.1 do 4.0.2 dla iPoda touch (2. generacji) lub nowszego

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować zmianę zawartości schowka

    Opis: w implementacji funkcji execCommand języka JavaScript występuje błąd projektowy. Złośliwie spreparowana strona internetowa może zmodyfikować zawartość schowka bez udziału użytkownika. Ten problem rozwiązano przez zezwolenie na wykonywanie wyłącznie tych poleceń dotyczących schowka, które zainicjował użytkownik. Problem został wykryty przez firmę Apple.

  • WebKit

    Identyfikator CVE: CVE-2010-1422

    Dostępne dla: iOS od 2.0 do 4.0.2 dla telefonu iPhone 3G lub nowszego, iOS od 2.1 do 4.0.2 dla iPoda touch (2. generacji) lub nowszego

    Zagrożenie: interakcja ze złośliwie spreparowaną witryną internetową może doprowadzić do wykonywania nieoczekiwanych czynności w innych witrynach

    Opis: w procedurach obsługi fokusu klawiatury przez oprogramowanie WebKit istnieje błąd implementacji. Jeśli fokus klawiatury zmieni się podczas przetwarzania naciśnięć klawiszy, oprogramowanie WebKit może dostarczyć zdarzenie do ramki, na której został ustawiony fokus, zamiast do ramki, na której fokus był ustawiony w chwili naciśnięcia klawisza. Złośliwie spreparowana witryna może doprowadzić do wykonania przez użytkownika nieoczekiwanej czynności, na przykład dokonania zakupu. Ten problem rozwiązano przez uniemożliwienie dostarczania zdarzeń naciśnięć klawiszy, jeśli fokus klawiatury zmieni się podczas przetwarzania. Problem zgłosił Michał Zalewski z firmy Google Inc.

  • WebKit

    Identyfikator CVE: CVE-2010-1771

    Dostępne dla: iOS od 2.0 do 4.0.2 dla telefonu iPhone 3G lub nowszego, iOS od 2.1 do 4.0.2 dla iPoda touch (2. generacji) lub nowszego

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu

    Opis: w procedurach obsługi czcionek przez oprogramowanie WebKit istnieje błąd dotyczący używania po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten problem rozwiązano przez poprawienie procedur obsługi czcionek. Problem został wykryty przez firmę Apple.

  • WebKit

    Identyfikator CVE: CVE-2010-1783

    Dostępne dla: iOS od 2.0 do 4.0.2 dla telefonu iPhone 3G lub nowszego, iOS od 2.1 do 4.0.2 dla iPoda touch (2. generacji) lub nowszego

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu

    Opis: procedury obsługi dynamicznych modyfikacji węzłów tekstu w oprogramowaniu WebKit zawierają błąd powodujący uszkodzenie zawartości pamięci. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten problem rozwiązano przez poprawienie procedury zarządzania pamięcią.

  • WebKit

    Identyfikator CVE: CVE-2010-1764

    Dostępne dla: iOS od 2.0 do 4.0.2 dla telefonu iPhone 3G lub nowszego, iOS od 2.1 do 4.0.2 dla iPoda touch (2. generacji) lub nowszego

    Zagrożenie: odwiedzenie złośliwie przygotowanej witryny, która przekierowuje przesyłane formularze, może spowodować ujawnienie informacji

    Opis: w procedurach obsługi przekierowań HTTP przez oprogramowanie WebKit istnieje błąd projektowy. Gdy przesyłany formularz zostanie przekierowany do witryny, która także go przekieruje, informacje zawarte w tym formularzu mogą zostać przesłane do kolejnej witryny. Ten problem rozwiązano przez poprawienie procedur obsługi przekierowań HTTP. Problem zgłosił Marc Worrell z projektu WhatWebWhat.

  • WebKit

    Identyfikator CVE: CVE-2010-1782

    Dostępne dla: iOS od 2.0 do 4.0.2 dla telefonu iPhone 3G lub nowszego, iOS od 2.1 do 4.0.2 dla iPoda touch (2. generacji) lub nowszego

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu

    Opis: mechanizm renderowania elementów umieszczonych w tekście przez oprogramowanie WebKit zawiera błąd powodujący uszkodzenie zawartości pamięci. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń. Problem zgłosił użytkownik wushi z grupy team509.

  • WebKit

    Identyfikator CVE: CVE-2010-1781

    Dostępne dla: iOS od 2.0 do 4.0.2 dla telefonu iPhone 3G lub nowszego, iOS od 2.1 do 4.0.2 dla iPoda touch (2. generacji) lub nowszego

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu

    Opis: mechanizm renderowania elementów umieszczonych w tekście przez oprogramowanie WebKit zawiera błąd dotyczący podwójnego zwolnienia pamięci. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten problem rozwiązano przez poprawienie procedury zarządzania pamięcią. Problem zgłosił James Robinson z firmy Google, Inc.

  • WebKit

    Identyfikator CVE: CVE-2010-1784

    Dostępne dla: iOS od 2.0 do 4.0.2 dla telefonu iPhone 3G lub nowszego, iOS od 2.1 do 4.0.2 dla iPoda touch (2. generacji) lub nowszego

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu

    Opis: procedury obsługi liczników CSS w oprogramowaniu WebKit zawierają błąd powodujący uszkodzenie zawartości pamięci. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten problem rozwiązano przez poprawienie procedury zarządzania pamięcią. Problem zgłosił użytkownik wushi z grupy team509 w ramach programu Zero Day Initiative firmy TippingPoint.

  • WebKit

    Identyfikator CVE: CVE-2010-1787

    Dostępne dla: iOS od 2.0 do 4.0.2 dla telefonu iPhone 3G lub nowszego, iOS od 2.1 do 4.0.2 dla iPoda touch (2. generacji) lub nowszego

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu

    Opis: procedury obsługi obiektów przenoszonych nad tekstem w dokumentach SVG przez oprogramowanie WebKit zawierają błąd powodujący uszkodzenie zawartości pamięci. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten problem rozwiązano przez poprawienie procedury zarządzania pamięcią.

  • WebKit

    Identyfikator CVE: CVE-2010-1791

    Dostępne dla: iOS od 2.0 do 4.0.2 dla telefonu iPhone 3G lub nowszego, iOS od 2.1 do 4.0.2 dla iPoda touch (2. generacji) lub nowszego

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu

    Opis: procedury obsługi tablic języka JavaScript przez oprogramowanie WebKit zawierają błąd interpretacji znaku liczby. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten problem rozwiązano przez poprawienie obsługi indeksów tablic języka JavaScript. Problem zgłosiła Natalie Silvanovich.

  • WebKit

    Identyfikator CVE: CVE-2010-1788

    Dostępne dla: iOS od 2.0 do 4.0.2 dla telefonu iPhone 3G lub nowszego, iOS od 2.1 do 4.0.2 dla iPoda touch (2. generacji) lub nowszego

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu

    Opis: procedury obsługi elementów use w dokumentach SVG przez oprogramowanie WebKit zawierają błąd powodujący uszkodzenie zawartości pamięci. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten problem rozwiązano przez poprawienie procedur obsługi elementów use w dokumentach SVG. Problem zgłosił Justin Schuh z firmy Google Inc.

  • WebKit

    Identyfikator CVE: CVE-2010-1812

    Dostępne dla: iOS od 2.0 do 4.0.2 dla telefonu iPhone 3G lub nowszego, iOS od 2.1 do 4.0.2 dla iPoda touch (2. generacji) lub nowszego

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu

    Opis: procedury obsługi zaznaczeń przez oprogramowanie WebKit zawierają błąd dotyczący użycia po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten problem rozwiązano przez poprawienie procedur obsługi zaznaczeń. Problem zgłosił użytkownik chipplyman.

  • WebKit

    Identyfikator CVE: CVE-2010-1813

    Dostępne dla: iOS od 2.0 do 4.0.2 dla telefonu iPhone 3G lub nowszego, iOS od 2.1 do 4.0.2 dla iPoda touch (2. generacji) lub nowszego

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu

    Opis: mechanizm renderowania obramowań obiektów HTML przez oprogramowanie WebKit zawiera błąd powodujący uszkodzenie zawartości pamięci. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten problem rozwiązano przez poprawienie procedury zarządzania pamięcią. Problem zgłosił Jose A. Vazquez (spa-s3c.blogspot.com).

  • WebKit

    Identyfikator CVE: CVE-2010-1814

    Dostępne dla: iOS od 2.0 do 4.0.2 dla telefonu iPhone 3G lub nowszego, iOS od 2.1 do 4.0.2 dla iPoda touch (2. generacji) lub nowszego

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu

    Opis: procedury obsługi menu formularzy przez oprogramowanie WebKit zawierają błąd powodujący uszkodzenie zawartości pamięci. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten problem rozwiązano przez poprawienie procedur obsługi menu formularzy. Problem zgłosił Csaba Osztrogonac z Uniwersytetu w Segedynie.

  • WebKit

    Identyfikator CVE: CVE-2010-1815

    Dostępne dla: iOS od 2.0 do 4.0.2 dla telefonu iPhone 3G lub nowszego, iOS od 2.1 do 4.0.2 dla iPoda touch (2. generacji) lub nowszego

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu

    Opis: procedury obsługi pasków przewijania przez oprogramowanie WebKit zawierają błąd dotyczący użycia po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten problem rozwiązano przez poprawienie procedury zarządzania pamięcią. Problem zgłosił użytkownik thabermann.

Funkcja FaceTime nie jest dostępna we wszystkich krajach i regionach.

Informacje o produktach niewytworzonych przez Apple lub o niezależnych witrynach internetowych, których Apple nie kontroluje ani nie testuje, są udostępniane bez żadnej rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności za wybór, działanie lub wykorzystanie takich witryn lub produktów innych firm. Apple nie składa żadnych oświadczeń dotyczących dokładności lub wiarygodności witryn internetowych innych firm. Ryzyko jest wpisane w korzystanie z Internetu. Skontaktuj się z dostawcą, aby uzyskać więcej informacji. Pozostałe nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów.

Data publikacji: