Informacje o funkcjach systemu iOS 6 dotyczących zabezpieczeń

Dowiedz się na temat zawartości związanej z zabezpieczeniami w systemie iOS 6.

System iOS 6 można pobrać i zainstalować przy użyciu programu iTunes.

Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w systemie iOS 6.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

iOS 6

  • CFNetwork

    Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do ujawnienia poufnych informacji.

    Opis: w procedurze obsługi zniekształconych adresów URL przez środowisko CFNetwork występował błąd. Środowisko CFNetwork może wysyłać żądania przy użyciu nieprawidłowej nazwy hosta, co może skutkować ujawnieniem poufnych informacji. Ten problem rozwiązano przez ulepszenie procedur obsługi adresów URL.

    Identyfikator CVE

    CVE-2012-3724: Erling Ellingsen z firmy Facebook

  • CoreGraphics

    Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: wiele luk w zabezpieczeniach programu FreeType.

    Opis: w programie FreeType występuje wiele luk w zabezpieczeniach, z których najpoważniejsze mogą spowodować wykonanie dowolnego kodu podczas przetwarzania złośliwie spreparowanej czcionki. Rozwiązanie tych problemów polega na uaktualnieniu programu FreeType do wersji 2.4.9. Więcej informacji można znaleźć w witrynie programu FreeType pod adresem http://www.freetype.org/.

    Identyfikator CVE

    CVE-2012-1126

    CVE-2012-1127

    CVE-2012-1128

    CVE-2012-1129

    CVE-2012-1130

    CVE-2012-1131

    CVE-2012-1132

    CVE-2012-1133

    CVE-2012-1134

    CVE-2012-1135

    CVE-2012-1136

    CVE-2012-1137

    CVE-2012-1138

    CVE-2012-1139

    CVE-2012-1140

    CVE-2012-1141

    CVE-2012-1142

    CVE-2012-1143

    CVE-2012-1144

  • CoreMedia

    Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu

    Opis: w procedurach obsługi plików filmów zakodowanych w formacie Sorenson występuje błąd niezainicjowanego dostępu do pamięci. Ten problem rozwiązano przez poprawienie procedur inicjowania pamięci.

    Identyfikator CVE

    CVE-2012-3722: Will Dormann z organizacji CERT/CC

  • DHCP

    Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: złośliwa sieć Wi-Fi może określić sieci, z którymi łączyło się urządzenie.

    Opis: po połączeniu się z siecią Wi-Fi system iOS może rozsyłać adresy MAC sieci, do których uzyskano wcześniej dostęp za pośrednictwem protokołu DNAv4. Rozwiązanie tego problemu polega na wyłączeniu protokołu DNAv4 w nieszyfrowanych sieciach Wi-Fi.

    Identyfikator CVE

    CVE-2012-3725: Mark Wuergler z firmy Immunity, Inc.

  • ImageIO

    Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: wyświetlenie złośliwie spreparowanego pliku TIFF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurach obsługi przez bibliotekę libtiff obrazów TIFF zakodowanych za pomocą algorytmu ThunderScan występuje błąd powodujący przepełnienie buforu. Ten problem rozwiązano przez uaktualnienie biblioteki libtiff do wersji 3.9.5.

    Identyfikator CVE

    CVE-2011-1167

  • ImageIO

    Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: wyświetlenie złośliwie spreparowanego obrazu PNG może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurach obsługi obrazów PNG przez bibliotekę libpng występuje wiele błędów powodujących uszkodzenie zawartości pamięci. Rozwiązanie tych problemów polega na poprawieniu procedury sprawdzania poprawności obrazów PNG.

    Identyfikator CVE

    CVE-2011-3026: Jüri Aedla

    CVE-2011-3048

    CVE-2011-3328

  • ImageIO

    Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: wyświetlenie złośliwie spreparowanego obrazu JPEG może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.

    Opis: w procedurach obsługi obrazów JPEG przez pakiet ImageIO występuje błąd dotyczący podwójnego zwolnienia pamięci. Ten problem rozwiązano przez poprawienie procedur zarządzania pamięcią.

    Identyfikator CVE

    CVE-2012-3726: Phil z organizacji PKJE Consulting

  • ImageIO

    Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: wyświetlenie złośliwie spreparowanego obrazu TIFF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurach obsługi obrazów TIFF przez bibliotekę libTIFF występuje błąd powodujący przepełnienie całkowitoliczbowe. Ten problem rozwiązano przez poprawienie procedur sprawdzania poprawności obrazów TIFF.

    Identyfikator CVE

    CVE-2012-1173: Alexander Gavrun pracujący w ramach programu Zero Day Initiative firmy HP

  • Biblioteka ICU (International Components for Unicode)

    Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: aplikacje stosujące bibliotekę ICU mogą być narażone na nieoczekiwane zakończenie działania lub wykonanie dowolnego kodu.

    Opis: w procedurze obsługi identyfikatorów ustawień regionalnych biblioteki ICU występował błąd powodujący przepełnienie buforu stosu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2011-4599

  • IPSec

    Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: załadowanie złośliwie spreparowanej konfiguracji demona racoon może doprowadzić do wykonania dowolnego kodu.

    Opis: w procedurach obsługi plików konfiguracji demona racoon występuje błąd powodujący przepełnienie buforu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2012-3727: zespół iOS Jailbreak Dream Team

  • Jądro

    Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami systemowymi

    Opis: w procedurze obsługi filtru pakietów ioctls w jądrze występuje błędna dereferencja wskaźnika. Może to pozwolić osobie atakującej na zmodyfikowanie pamięci jądra. Ten problem rozwiązano przez poprawienie procedur obsługi błędów.

    Identyfikator CVE

    CVE-2012-3728: zespół iOS Jailbreak Dream Team

  • Jądro

    Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: użytkownik lokalny może być w stanie określić rozkład pamięci jądra.

    Opis: w interpreterze filtru pakietów Berkeley występuje problem z dostępem do niezainicjowanej pamięci, który może prowadzić do ujawnienia zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur inicjowania pamięci.

    Identyfikator CVE

    CVE-2012-3729: Dan Rosenberg

  • libxml

    Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: wyświetlenie złośliwie spreparowanej strony internetowej może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w bibliotece libxml występuje wiele luk w zabezpieczeniach, z których najpoważniejsze mogą spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu. Rozwiązanie tych problemów polega na zastosowaniu odpowiednich poprawek typu upstream.

    Identyfikator CVE

    CVE-2011-1944: Chris Evans z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2011-2821: Yang Dingning z firmy NCNIPC, Graduate University of Chinese Academy of Sciences

    CVE-2011-2834: Yang Dingning z firmy NCNIPC, Graduate University of Chinese Academy of Sciences

    CVE-2011-3919: Jüri Aedla

  • Mail

    Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: program Mail może wyświetlić niewłaściwy załącznik w wiadomości.

    Opis: w procedurach obsługi załączników przez program Mail istnieje błąd logiczny. Jeśli kolejny załącznik pocztowy zawiera ten sam identyfikator Content-ID co poprzedni, jest wyświetlany poprzedni załącznik, nawet jeśli dwie wiadomości pochodzą od różnych nadawców. Ten błąd może ułatwić wykonywanie ataków polegających na podszywaniu się lub ataków typu phishing (wyłudzanie informacji). Ten problem rozwiązano przez poprawienie procedur obsługi załączników.

    Identyfikator CVE

    CVE-2012-3730: Angelo Prado z zespołu ds. zabezpieczeń produktów witryny salesforce.com

  • Mail

    Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: można odczytać załączniki do wiadomości e-mail bez kodu użytkownika.

    Opis: procedura używania mechanizmu ochrony danych załączników do wiadomości e-mail w programie Mail zawierała błąd logiczny. Ten problem rozwiązano przez poprawienie procedury ustawiania klasy ochrony danych dla załączników do wiadomości e-mail.

    Identyfikator CVE

    CVE-2012-3731: Stephen Prairie z firmy Travelers Insurance, Erich Stuntebeck z firmy AirWatch

  • Mail

    Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: osoba atakująca może podszyć się pod nadawcę podpisanej wiadomości S/MIME.

    Opis: podpisane wiadomości S/MIME są wyświetlane z niezaufanym adresem „Od” zamiast z nazwą skojarzoną z tożsamością osoby, która podpisała wiadomość. Rozwiązanie tego problemu polega na wyświetlaniu adresu skojarzonego z tożsamością osoby, która podpisała wiadomość, jeśli jest on dostępny.

    Identyfikator CVE

    CVE-2012-3732: anonimowy badacz.

  • Wiadomości

    Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: użytkownik może niechcący ujawnić istnienie swojego adresu e-mail.

    Opis: gdy użytkownik ma wiele adresów e-mail skojarzonych z programem iMessage, do wysłania odpowiedzi na wiadomość może zostać użyty inny adres e-mail. Może to skutkować ujawnieniem innego adresu e-mail skojarzonego z kontem użytkownika. Rozwiązanie tego problemu polega na odpowiadaniu zawsze przy użyciu adresu e-mail, na który została wysłana pierwotna wiadomość.

    Identyfikator CVE

    CVE-2012-3733: Rodney S. Foley z firmy Gnomesoft, LLC

  • Office Viewer

    Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: w pliku tymczasowym mogą zostać zapisane niezaszyfrowane dane dokumentu.

    Opis: w procedurach obsługi wyświetlania plików pakietu Microsoft Office występuje błąd powodujący ujawnianie informacji. Podczas wyświetlania informacji program Office Viewer zapisuje plik tymczasowy z danymi tego dokumentu w katalogu tymczasowym procesu wywołującego. Jeśli aplikacja używa mechanizmu ochrony danych użytkownika lub funkcji szyfrowania plików użytkownika, może to prowadzić do ujawnienia informacji. Rozwiązanie tego problemu polega na unikaniu tworzenia plików tymczasowych podczas wyświetlania dokumentów pakietu Office.

    Identyfikator CVE

    CVE-2012-3734: Salvatore Cataudella z firmy Open Systems Technologies

  • OpenGL

    Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: programy korzystające z implementacji biblioteki OpenGL w systemie OS X mogą być narażone na nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurach obsługi kompilacji GLSL występuje wiele błędów powodujących uszkodzenie zawartości pamięci. Rozwiązanie tych problemów polega na poprawieniu procedur sprawdzania poprawności modułów cieniujących GLSL.

    Identyfikator CVE

    CVE-2011-3457: Chris Evans z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome i Marc Schoenefeld z zespołu firmy Red Hat do spraw bezpieczeństwa

  • Kod blokady

    Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: osoba posiadająca fizyczny dostęp do zablokowanego urządzenia może na chwilę wyświetlić ostatnią używaną aplikację innej firmy.

    Opis: procedury wyświetlania suwaka „wyłącz” na ekranie blokady zawierają błąd logiczny. Ten problem rozwiązano przez poprawienie procedur zarządzania stanem blokady.

    Identyfikator CVE

    CVE-2012-3735: Chris Lawrence DBB

  • Kod blokady

    Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: osoba posiadająca fizyczny dostęp do urządzenia może ominąć blokadę ekranu.

    Opis: procedury kończenia połączeń FaceTime z poziomu ekranu blokady zawierają błąd logiczny. Ten problem rozwiązano przez poprawienie procedur zarządzania stanem blokady.

    Identyfikator CVE

    CVE-2012-3736: Ian Vitek z firmy 2Secure AB

  • Kod blokady

    Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: na ekranie blokady mogą być dostępne wszystkie zdjęcia.

    Opis: procedury obsługi wyświetlania zdjęć wykonanych na ekranie blokady zawierają błąd projektowy. W celu ustalenia, do których zdjęć umożliwić dostęp, blokada wymagająca kodu porównuje czas zablokowania urządzenia z czasem zrobienia zdjęcia. Sfałszowanie bieżącego czasu może pozwolić osobie atakującej na uzyskanie dostępu do zdjęć zrobionych przed zablokowaniem urządzenia. Ten problem rozwiązano przez wprowadzenie jawnego śledzenia zdjęć zrobionych po zablokowaniu urządzenia.

    Identyfikator CVE

    CVE-2012-3737: Ade Barkah z firmy BlueWax Inc.

  • Kod blokady

    Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: osoba z fizycznym dostępem do zablokowanego urządzenia może wykonywać połączenia FaceTime.

    Opis: ekran wybierania numerów w nagłych wypadkach zawiera błąd logiczny, który pozwala wykonywać połączenia FaceTime przez użycie wybierania głosowego na zablokowanym urządzeniu. Dodatkowo ten błąd może skutkować ujawnieniem kontaktów użytkownika przez funkcję sugerowania kontaktów. Rozwiązanie tego problemu polega na wyłączeniu wybierania głosowego na ekranie wybierania numerów w nagłych wypadkach.

    Identyfikator CVE

    CVE-2012-3738: Ade Barkah z firmy BlueWax Inc.

  • Kod blokady

    Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: osoba posiadająca fizyczny dostęp do urządzenia może ominąć blokadę ekranu.

    Opis: użycie kamery na ekranie blokady może czasami wywołać nieprawidłowe działanie funkcji blokady automatycznej, a tym samym pozwolić osobie z fizycznym dostępem do urządzenia na ominięcie ekranu blokady kodem. Ten problem rozwiązano przez poprawienie procedur zarządzania stanem blokady.

    Identyfikator CVE

    CVE-2012-3739: Sebastian Spanninger z Federalnego Centrum Obliczeniowego Austrii (BRZ)

  • Kod blokady

    Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: osoba posiadająca fizyczny dostęp do urządzenia może ominąć blokadę ekranu.

    Opis: w procedurach obsługi blokady ekranu występuje błąd dotyczący zarządzania stanem. Ten problem rozwiązano przez poprawienie procedur zarządzania stanem blokady.

    Identyfikator CVE

    CVE-2012-3740: Ian Vitek z firmy 2Secure AB

  • Ograniczenia

    Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: użytkownik może być w stanie realizować zakupy bez wprowadzania danych logowania konta Apple ID.

    Opis: po wyłączeniu funkcji Ograniczenia system iOS może nie prosić o podanie hasła użytkownika podczas transakcji. Rozwiązanie tego problemu polega na dodaniu nowych procedur wymuszania autoryzacji zakupów.

    Identyfikator CVE

    CVE-2012-3741: Kevin Makens ze szkoły średniej w Redwood

  • Safari

    Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: w tytułach witryn mogą być używane znaki podobne do ikony blokady.

    Opis: w tytułach stron witryn mogą być używane znaki Unicode przypominające ikonę blokady. Ta ikona jest podobna do ikony służącej do wskazywania bezpiecznego połączenia, dlatego może sugerować użytkownikowi, iż nawiązano bezpieczne połączenie. Ten problem rozwiązano przez usunięcie omawianych znaków z tytułów stron.

    Identyfikator CVE

    CVE-2012-3742: Boku Kihara z firmy Lepidum

  • Safari

    Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: hasła mogą być automatycznie uzupełniane nawet wtedy, gdy w ustawieniach witryny funkcja automatycznego uzupełniania jest wyłączona.

    Opis: elementy wprowadzania haseł z wyłączonym atrybutem automatycznego uzupełniania są automatycznie uzupełniane. Ten problem rozwiązano przez poprawienie procedur obsługi atrybutu autocomplete.

    Identyfikator CVE

    CVE-2012-0680: Dan Poltawski z organizacji Moodle

  • Dzienniki systemowe

    Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: aplikacje z ograniczeniami piaskownicy mogą uzyskać dostęp do zawartości dziennika systemowego.

    Opis: aplikacje z ograniczeniami piaskownicy mają dostęp do katalogu /var/log, co może pozwolić im na uzyskanie poufnych informacji zawartych w dziennikach systemowych. Rozwiązanie tego problemu polega na odmawianiu aplikacjom z ograniczeniami piaskownicy dostępu do katalogu /var/log.

    Identyfikator CVE

    CVE-2012-3743

  • Telefon

    Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: wiadomość SMS może sprawiać wrażenie, jakby wysłał ją dowolnie zdefiniowany użytkownik.

    Opis: jako adres nadawcy wiadomości SMS jest wyświetlany jej adres zwrotny. Pozwala to na fałszowanie adresów zwrotnych. Rozwiązanie tego problemu polega na wyświetlaniu zawsze adresu źródłowego, a nie adresu zwrotnego.

    Identyfikator CVE

    CVE-2012-3744: użytkownik pod2g

  • Telefon

    Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: wiadomość SMS może zakłócić łączność z siecią komórkową

    Opis: w procedurach obsługi nagłówków danych użytkownika w wiadomościach SMS występuje przepełnienie buforu (przesunięcie o jedną pozycję). Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2012-3745: użytkownik pod2g

  • UIKit

    Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: osoba atakująca z dostępem do systemu plików urządzenia może odczytać pliki wyświetlane w obiekcie UIWebView.

    Opis: aplikacje korzystające z obiektów UIWebView mogą pozostawić w systemie plików niezaszyfrowane pliki, gdy jest włączony kod. Ten problem rozwiązano przez poprawienie procedur używania mechanizmu ochrony danych.

    Identyfikator CVE

    CVE-2012-3746: Ben Smith z firmy Box

  • WebKit

    Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    Opis: w oprogramowaniu WebKit występowało kilka błędów powodujących uszkodzenie zawartości pamięci. Te problemy rozwiązano przez poprawienie obsługi pamięci.

    Identyfikator CVE

    CVE-2011-3016: użytkownik miaubiz

    CVE-2011-3021: Arthur Gerkis

    CVE-2011-3027: użytkownik miaubiz

    CVE-2011-3032: Arthur Gerkis

    CVE-2011-3034: Arthur Gerkis

    CVE-2011-3035: użytkownik wushi z grupy team509 pracujący w ramach programu iDefense VCP i Arthur Gerkis

    CVE-2011-3036: użytkownik miaubiz

    CVE-2011-3037: użytkownik miaubiz

    CVE-2011-3038: użytkownik miaubiz

    CVE-2011-3039: użytkownik miaubiz

    CVE-2011-3040: użytkownik miaubiz

    CVE-2011-3041: użytkownik miaubiz

    CVE-2011-3042: użytkownik miaubiz

    CVE-2011-3043: użytkownik miaubiz

    CVE-2011-3044: Arthur Gerkis

    CVE-2011-3050: użytkownik miaubiz

    CVE-2011-3053: użytkownik miaubiz

    CVE-2011-3059: Arthur Gerkis

    CVE-2011-3060: użytkownik miaubiz

    CVE-2011-3064: Atte Kettunen z firmy OUSPG

    CVE-2011-3068: użytkownik miaubiz

    CVE-2011-3069: użytkownik miaubiz

    CVE-2011-3071: użytkownik pa_kt pracujący w ramach programu Zero Day Initiative firmy HP

    CVE-2011-3073: Arthur Gerkis

    CVE-2011-3074: Sławomir Błażek

    CVE-2011-3075: użytkownik miaubiz

    CVE-2011-3076: użytkownik miaubiz

    CVE-2011-3078: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2011-3081: użytkownik miaubiz

    CVE-2011-3086: Arthur Gerkis

    CVE-2011-3089: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome i użytkownik miaubiz

    CVE-2011-3090: Arthur Gerkis

    CVE-2011-3105: użytkownik miaubiz

    CVE-2011-3913: Arthur Gerkis

    CVE-2011-3924: Arthur Gerkis

    CVE-2011-3926: Arthur Gerkis

    CVE-2011-3958: użytkownik miaubiz

    CVE-2011-3966: Aki Helin z firmy OUSPG

    CVE-2011-3968: Arthur Gerkis

    CVE-2011-3969: Arthur Gerkis

    CVE-2011-3971: Arthur Gerkis

    CVE-2012-0682: zespół do spraw bezpieczeństwa produktów firmy Apple

    CVE-2012-0683: Dave Mandelin z firmy Mozilla

    CVE-2012-1520: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer i Jose A. Vazquez z serwisu spa-s3c.blogspot.com pracujący w ramach programu iDefense VCP

    CVE-2012-1521: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome i Jose A. Vazquez z serwisu spa-s3c.blogspot.com pracujący w ramach programu iDefense VCP

    CVE-2012-2818: użytkownik miaubiz

    CVE-2012-3589: Dave Mandelin z firmy Mozilla

    CVE-2012-3590: zespół do spraw bezpieczeństwa produktów firmy Apple

    CVE-2012-3591: zespół do spraw bezpieczeństwa produktów firmy Apple

    CVE-2012-3592: zespół do spraw bezpieczeństwa produktów firmy Apple

    CVE-2012-3593: zespół do spraw bezpieczeństwa produktów firmy Apple

    CVE-2012-3594: użytkownik miaubiz

    CVE-2012-3595: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3596: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3597: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3598: zespół do spraw bezpieczeństwa produktów firmy Apple

    CVE-2012-3599: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3600: David Levin ze społeczności rozwoju Chromium

    CVE-2012-3601: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer

    CVE-2012-3602: użytkownik miaubiz

    CVE-2012-3603: zespół do spraw bezpieczeństwa produktów firmy Apple

    CVE-2012-3604: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3605: Cris Neckar z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3608: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3609: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3610: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3611: zespół do spraw bezpieczeństwa produktów firmy Apple

    CVE-2012-3612: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3613: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3614: Yong Li z firmy Research In Motion, Inc.

    CVE-2012-3615: Stephen Chenney ze społeczności rozwoju Chromium

    CVE-2012-3617: zespół do spraw bezpieczeństwa produktów firmy Apple

    CVE-2012-3618: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3620: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3624: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3625: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3626: zespół do spraw bezpieczeństwa produktów firmy Apple

    CVE-2012-3627: użytkownik SkyLined i Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3628: zespół do spraw bezpieczeństwa produktów firmy Apple

    CVE-2012-3629: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3630: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3631: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3633: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer

    CVE-2012-3634: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer

    CVE-2012-3635: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer

    CVE-2012-3636: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer

    CVE-2012-3637: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer

    CVE-2012-3638: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer

    CVE-2012-3639: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer

    CVE-2012-3640: użytkownik miaubiz

    CVE-2012-3641: Sławomir Błażek

    CVE-2012-3642: użytkownik miaubiz

    CVE-2012-3644: użytkownik miaubiz

    CVE-2012-3645: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer

    CVE-2012-3646: Julien Chaffraix ze społeczności rozwoju Chromium, Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer

    CVE-2012-3647: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3648: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3651: Abhishek Arya (Inferno) i Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3652: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3653: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer

    CVE-2012-3655: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3656: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3658: firma Apple

    CVE-2012-3659: Mario Gomes z blogu netfuzzer.blogspot.com, Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3660: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3661: zespół do spraw bezpieczeństwa produktów firmy Apple

    CVE-2012-3663: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3664: Thomas Sepez ze społeczności rozwoju Chromium

    CVE-2012-3665: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer

    CVE-2012-3666: firma Apple

    CVE-2012-3667: Trevor Squires z serwisu propaneapp.com

    CVE-2012-3668: zespół do spraw bezpieczeństwa produktów firmy Apple

    CVE-2012-3669: zespół do spraw bezpieczeństwa produktów firmy Apple

    CVE-2012-3670: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome, Arthur Gerkis

    CVE-2012-3671: Skylined i Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3672: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3673: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3674: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3676: Julien Chaffraix ze społeczności rozwoju systemu Chromium

    CVE-2012-3677: firma Apple

    CVE-2012-3678: zespół do spraw bezpieczeństwa produktów firmy Apple

    CVE-2012-3679: Chris Leary z firmy Mozilla

    CVE-2012-3680: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3681: firma Apple

    CVE-2012-3682: Adam Barth z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3683: użytkownik wushi z grupy team509 pracujący w ramach programu iDefense VCP

    CVE-2012-3684: użytkownik kuzzcc

    CVE-2012-3686: Robin Cao z firmy Torch Mobile (Pekin)

    CVE-2012-3703: zespół do spraw bezpieczeństwa produktów firmy Apple

    CVE-2012-3704: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3706: zespół do spraw bezpieczeństwa produktów firmy Apple

    CVE-2012-3708: firma Apple

    CVE-2012-3710: James Robinson z firmy Google

    CVE-2012-3747: David Bloom z organizacji Cue

  • WebKit

    Dostępne dla: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generacji lub nowszy), iPad, iPad 2

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do ujawnienia informacji z różnych witryn.

    Opis: w procedurach obsługi wartości właściwości arkuszy CSS występuje błąd związany z obsługą różnych źródeł. Ten problem rozwiązano przez poprawienie procedur śledzenia źródeł.

    Identyfikator CVE

    CVE-2012-3691: firma Apple

  • WebKit

    Dostępne dla: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generacji lub nowszy), iPad, iPad 2

    Zagrożenie: złośliwa witryna może zamienić zawartość elementu iframe w innej witrynie.

    Opis: w procedurach obsługi elementów iframe w oknach podręcznych występuje błąd związany z obsługą różnych źródeł. Ten problem rozwiązano przez poprawienie procedur śledzenia źródeł.

    Identyfikator CVE

    CVE-2011-3067: Sergey Glazunov

  • WebKit

    Dostępne dla: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generacji lub nowszy), iPad, iPad 2

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do ujawnienia informacji z różnych witryn.

    Opis: w procedurach obsługi elementów iframe i identyfikatorów fragmentów występuje błąd związany z obsługą różnych źródeł. Ten problem rozwiązano przez poprawienie procedur śledzenia źródeł.

    Identyfikator CVE

    CVE-2012-2815: Elie Bursztein, Baptiste Gourdin, Gustav Rydstedt i Dan Boneh z laboratorium do spraw bezpieczeństwa uczelni Stanford University

  • WebKit

    Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: podobne znaki w adresie URL mogą zostać użyte do podszycia się pod witrynę.

    Opis: osadzona w przeglądarce Safari obsługa nazw IDN (International Domain Name) i czcionki Unicode mogą zostać użyte w celu utworzenia adresu URL, który zawiera podobne znaki. Przy użyciu tych znaków złośliwa witryna może skierować użytkownika do fałszywej witryny, której domena wygląda na prawdziwą. Ten problem rozwiązano przez dołączenie listy znanych podobnych znaków oprogramowania WebKit. Podobne znaki są renderowane w formacie Punycode na pasku adresu.

    Identyfikator CVE

    CVE-2012-3693: Matt Cooley z firmy Symantec

  • WebKit

    Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować atak XSS (cross-site scripting).

    Opis: w procedurach obsługi adresów URL występuje błąd sprowadzania do postaci kanonicznej. Może to powodować ataki XSS (cross-site scripting) w witrynach korzystających z właściwości location.href. Ten problem rozwiązano przez poprawienie procedur sprowadzania adresów URL do postaci kanonicznej.

    Identyfikator CVE

    CVE-2012-3695: Masato Kinugawa

  • WebKit

    Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może powodować podział żądań HTTP.

    Opis: w procedurach obsługi oprogramowania WebSockets występuje błąd umożliwiający wstawienie nagłówka HTTP. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania poprawności identyfikatora URI oprogramowania WebSockets.

    Identyfikator CVE

    CVE-2012-3696: David Belcher z zespołu reagowania na zdarzenia naruszające bezpieczeństwo urządzeń BlackBerry

  • WebKit

    Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: złośliwie spreparowana witryna internetowa może zastąpić wartość na pasku adresu URL.

    Opis: w procedurach obsługi historii sesji występuje błąd zarządzania stanem. Przejście do fragmentu na bieżącej stronie może powodować wyświetlanie nieprawidłowych informacji na pasku adresu URL przeglądarki Safari. Ten problem rozwiązano przez poprawienie procedur śledzenia stanu sesji.

    Identyfikator CVE

    CVE-2011-2845: Jordi Chancel

  • WebKit

    Dostępne dla: iPhone 3GS lub nowszy, iPod touch (4. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny internetowej może spowodować ujawnienie zawartości pamięci.

    Opis: w procedurach obsługi obrazów SVG występuje błąd niezainicjowanego dostępu do pamięci. Ten problem rozwiązano przez poprawienie procedur inicjowania pamięci.

    Identyfikator CVE

    CVE-2012-3650: firma Apple


Funkcja FaceTime nie jest dostępna we wszystkich krajach i regionach.

Informacje o produktach niewytworzonych przez Apple lub o niezależnych witrynach internetowych, których Apple nie kontroluje ani nie testuje, są udostępniane bez żadnej rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności za wybór, działanie lub wykorzystanie takich witryn lub produktów innych firm. Apple nie składa żadnych oświadczeń dotyczących dokładności lub wiarygodności witryn internetowych innych firm. Ryzyko jest wpisane w korzystanie z Internetu. Skontaktuj się z dostawcą, aby uzyskać więcej informacji. Pozostałe nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów.

Data publikacji: