Despre conținutul de securitate din Actualizarea iPhone 1.1.1
Acest document descrie conținutul de securitate din Actualizarea iPhone v1.1.1.
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate înainte de a face o investigație completă și de a pune la dispoziție corecțiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul web Securitatea produselor Apple.
Pentru informații despre cheia PGP pentru securitatea produselor Apple, consultă „Utilizarea cheii PGP pentru securitatea produselor Apple.”
Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilități pentru mai multe informații.
Pentru a afla mai multe despre alte actualizări de securitate, consultă „Actualizările de securitate Apple”.
Actualizare iPhone v1.1.1
Bluetooth
ID CVE: CVE-2007-3753
Impact: un atacator din raza de acțiune Bluetooth poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar.
Descriere: există o problemă de validare a intrării pe serverul Bluetooth al dispozitivului iPhone. Prin trimiterea de pachete Service Discovery Protocol (SDP) (SDP) create cu rea intenție către un iPhone cu Bluetooth activat, un atacator poate declanșa problema, ceea ce poate duce la închiderea neașteptată a aplicației sau la executarea unui cod arbitrar. Această actualizare rezolvă problema efectuând validarea suplimentară a pachetelor SDP. Le mulțumim lui Kevin Mahaffey și lui John Hering de la Flexilis Mobile Security pentru raportarea acestei probleme.
ID CVE: CVE-2007-3754
Impact: verificarea e-mailurilor prin rețele care nu sunt de încredere poate duce la divulgarea de informații printr-un atac de tip Man-in-the-Middle.
Descriere: atunci când aplicația Mail este configurată să utilizeze SSL pentru conexiunile de intrare și de ieșire, aceasta nu avertizează utilizatorul atunci când identitatea serverului de e-mail s-a schimbat sau nu este de încredere. Un atacator capabil să intercepteze conexiunea poate uzurpa identitatea serverului de e-mail al utilizatorului și obține acreditările de e-mail ale utilizatorului sau alte informații sensibile. Această actualizare rezolvă problema avertizând în mod corespunzător atunci când identitatea serverului de e-mail la distanță s-a schimbat.
ID CVE: CVE-2007-3755
Impact: accesarea unui link telefonic („tel:”) din aplicația Mail va apela un număr de telefon fără confirmare.
Descriere: Mail acceptă linkuri telefonice („tel:”) pentru apelarea numerelor de telefon. Prin atragerea unui utilizator să acceseze un link telefonic dintr-un mesaj din Mail, un atacator poate determina dispozitivul iPhone să efectueze un apel fără confirmarea utilizatorului. Această actualizare rezolvă problema furnizând o fereastră de confirmare înainte de apelarea unui număr de telefon prin intermediul unui link telefonic din Mail. Îi mulțumim lui Andi Baritchi de la McAfee pentru raportarea acestei probleme.
Safari
ID CVE: CVE-2007-3756
Impact: accesarea unui site web rău intenționat poate duce la divulgarea conținutului URL-ului.
Descriere: o problemă de proiectare din Safari permite unei pagini web să citească URL-ul vizualizat în acel moment în fereastra părinte. Prin atragerea unui utilizator să viziteze o pagină web creată cu rea intenție, un atacator poate obține URL-ul unei pagini fără legătură. Această actualizare rezolvă problema printr-o verificare îmbunătățită a securității între domenii. Îi mulțumim lui Michal Zalewski de la Google Inc. și Secunia Research pentru raportarea acestei probleme.
Safari
ID CVE: CVE-2007-3757
Impact: accesarea unui site web rău intenționat poate duce la apelarea neintenționată sau apelarea unui număr diferit de cel prevăzut.
Descriere: Safari acceptă linkuri telefonice („tel:”) pentru apelarea numerelor de telefon. Când se selectează un link telefonic, Safari va confirma că numărul trebuie apelat. Un link telefonic creat cu rea intenție poate cauza afișarea unui număr diferit în timpul confirmării decât cel apelat efectiv. Ieșirea din Safari în timpul procesului de confirmare poate duce la confirmarea neintenționată. Această actualizare rezolvă problema afișând corect numărul care va fi apelat și solicitând confirmarea linkurilor telefonice. Le mulțumim lui Billy Hoffman și lui Bryan Sullivan de la HP Security Labs (anterior SPI Labs) și lui Eduardo Tang pentru raportarea acestei probleme.
Safari
ID CVE: CVE-2007-3758
Impact: accesarea unui site web rău intenționat poate duce la scriptare între site-uri.
Descriere: există o vulnerabilitate de scriptare între site-uri în Safari, care permite site-urilor web rău intenționate să configureze proprietățile ferestrelor JavaScript ale site-urilor web servite dintr-un alt domeniu. Prin atragerea unui utilizator să viziteze un site web creat cu rea intenție, un atacator poate declanșa problema, ducând la obținerea sau configurarea stării ferestrelor și a locației paginilor servite de la alte site-uri web. Această actualizare rezolvă problema oferind controale de acces îmbunătățite pentru aceste proprietăți. Îi mulțumim lui Michal Zalewski de la Google Inc. pentru raportarea acestei probleme.
Safari
ID CVE: CVE-2007-3759
Impact: dezactivarea JavaScript nu are efect până când aplicația Safari nu este repornită.
Descriere: aplicația Safari poate fi configurată să activeze sau să dezactiveze JavaScript. Această preferință nu are efect până la următoarea repornire a Safari. Acest lucru se întâmplă, de obicei, la repornirea dispozitivului iPhone. Acest lucru poate induce în eroare utilizatorii, făcându-i să creadă că JavaScript este dezactivat, când de fapt nu este. Această actualizare rezolvă problema aplicând noua preferință înainte de încărcarea de pagini web noi.
Safari
ID CVE: CVE-2007-3760
Impact: accesarea unui site web rău intenționat poate determina scriptarea între site-uri.
Descriere: o problemă de scriptare între site-uri în Safari permite unui site web creat cu rea intenție să ocolească Same Origin Policy folosind etichete „cadru”. Prin atragerea unui utilizator să viziteze o pagină web creată cu rea intenție, un atacator poate declanșa problema, ceea ce poate duce la executarea JavaScript în contextul unui alt site. Această actualizare rezolvă problema nepermițând JavaScript ca sursă „iframe” și limitând JavaScript din etichetele cadru la același acces ca site-ul de la care a fost servit. Îi mulțumim lui Michal Zalewski de la Google Inc. și Secunia Research pentru raportarea acestei probleme.
Safari
ID CVE: CVE-2007-3761
Impact: accesarea unui site web rău intenționat poate determina scriptarea între site-uri.
Descriere: o problemă de scriptare între site-uri în Safari permite asocierea evenimentelor JavaScript cu cadrul greșit. Prin atragerea unui utilizator să viziteze o pagină web creată cu rea intenție, un atacator poate cauza executarea JavaScript în contextul unui alt site. Această actualizare rezolvă problema prin asocierea evenimentelor JavaScript la cadrul sursă corect.
Safari
ID CVE: CVE-2007-4671
Impact: JavaScript de pe site-urile web poate accesa sau manipula conținutul documentelor servite prin HTTPS.
Descriere: o problemă din Safari permite conținutului servit prin HTTP să modifice sau să acceseze conținutul servit prin HTTPS în același domeniu. Prin atragerea unui utilizator să viziteze o pagină web creată cu rea intenție, un atacator poate cauza executarea JavaScript în contextul paginilor web HTTPS din domeniul respectiv. Această actualizare rezolvă problema limitând accesul între JavaScript executat în cadrele HTTP și HTTPS. Îi mulțumim lui Keigo Yamazaki de la LAC Co., Ltd (Little eArth Corporation Co., Ltd.) pentru raportarea acestei probleme.
Notă de instalare:
Această actualizare este disponibilă numai prin iTunes și nu va apărea în aplicația Actualizare software a computerului sau pe site-ul Descărcări Apple. Asigură-te că ai o conexiune la internet și că ai instalat cea mai recentă versiune de iTunes de pe www.apple.com/ro/itunes.
iTunes va verifica automat serverul de actualizare Apple conform programului său săptămânal. Când este detectată o actualizare, aceasta o va descărca. În momentul în care iPhone-ul este conectat la încărcător, iTunes va oferi utilizatorului opțiunea de a instala actualizarea. Îți recomandăm să aplici actualizarea imediat, dacă este posibil. Dacă selectezi „Nu instalați”, opțiunea va fi oferită la următoarea conectare a iPhone-ului.
Procesul de actualizare automată poate dura până la o săptămână, în funcție de ziua în care iTunes verifică actualizările. Poți obține manual actualizarea prin intermediul butonului „Caută o actualizare” din iTunes. După aceasta, actualizarea poate fi aplicată în momentul în care conectezi iPhone-ul la computer.
Pentru a verifica dacă iPhone-ul a fost actualizat:
Navighează la Configurări
Fă clic pe General
Fă clic pe Informații. Versiunea după aplicarea acestei actualizări va fi „1.1.1 (3A109a)”.