Despre conținutul de securitate din actualizarea iPhone v1.0.1
Acest document descrie conținutul de securitate din actualizarea iPhone v1.0.1, care poate fi descărcată și instalată prin iTunes, așa cum este descris mai jos.
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate înainte de a face o investigație completă și de a pune la dispoziție corecțiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul web Securitatea produselor Apple.
Pentru informații despre cheia PGP pentru securitatea produselor Apple, consultă „Utilizarea cheii PGP pentru securitatea produselor Apple.”
Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilități pentru mai multe informații.
Pentru a afla mai multe despre alte actualizări de securitate, consultă „Actualizările de securitate Apple.”
Actualizarea iPhone v1.0.1
Safari
CVE-ID: CVE-2007-2400
Disponibilitate pentru: iPhone v1.0
Impact: accesarea unui site web rău intenționat poate permite crearea de scripturi între site-uri.
Descriere: modelul de securitate al Safari împiedică JavaScript în paginile web de la distanță să modifice paginile din afara domeniului lor. O condiție de rulare în actualizarea paginilor combinată cu redirecționarea HTTP poate permite JavaScript dintr-o pagină să modifice o pagină redirecționată. Acest lucru ar putea permite citirea sau modificarea arbitrară a cookie-urilor și a paginilor. Această actualizare soluționează problema prin corectarea controlului accesului la proprietățile ferestrelor. Le mulțumim lui Lawrence Lai, lui Stan Switzer și lui Ed Rowe de la Adobe Systems, Inc. pentru semnalarea acestei probleme.
Safari
CVE-ID: CVE-2007-3944
Disponibilitate pentru: iPhone v1.0
Impact: vizualizarea unei pagini web rău intenționate poate cauza executarea unui cod arbitrar.
Descriere: există depășiri ale zonei tampon din memoria heap în biblioteca Perl Compatible Regular Expressions (PCRE) utilizată de motorul JavaScript din Safari. Prin ademenirea unui utilizator să viziteze o pagină web creată cu rea intenție, un atacator poate declanșa problema care poate cauza executarea de cod arbitrar. Această actualizare soluționează problema prin validarea suplimentară a expresiilor regulate JavaScript. Le mulțumim lui Charlie Miller și lui Jake Honoroff de la Independent Security Evaluators pentru semnalarea acestor probleme.
WebCore
CVE-ID: CVE-2007-2401
Disponibilitate pentru: iPhone v1.0
Impact: accesarea unui site web rău intenționat poate permite solicitări între site-uri.
Descriere: există o problemă de injecție HTTP în XMLHttpRequest la serializarea anteturilor într-o cerere HTTP. Prin ademenirea unui utilizator să viziteze o pagină web creată cu rea intenție, un atacator putea declanșa o problemă legată de scripturi între site-uri. Această actualizare soluționează problema prin validarea suplimentară a parametrilor de antet. Îi mulțumim lui Richard Moore de la Westpoint Ltd. pentru semnalarea acestei probleme.
WebKit
CVE-ID: CVE-2007-3742
Disponibilitate pentru: iPhone v1.0
Impact: caracterele asemănătoare dintr-un URL ar putea fi folosite pentru a masca un site web.
Descriere: compatibilitatea cu nume de domeniu internaționale (IDN) și fonturile Unicode încorporate în Safari ar putea fi utilizate pentru a crea un URL care conține caractere care arată asemănător. Acestea ar putea fi utilizate într-un site web rău intenționat pentru a direcționa utilizatorul către un site fals care pare a fi un domeniu legitim. Această actualizare soluționează problema printr-o verificare îmbunătățită a validității numelui domeniului. Îi mulțumim lui Tomohito Yoshino de la Business Architects Inc. pentru semnalarea acestei probleme.
WebKit
CVE-ID: CVE-2007-2399
Disponibilitate pentru: iPhone v1.0
Impact: accesarea unui site creat cu rea intenție poate duce la închiderea neașteptată a aplicației sau la executarea unui cod arbitrar.
Descriere: o conversie de tip nevalidă la redarea seturilor de cadre ar putea duce la alterarea memoriei. Accesarea unei pagini web create cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar. Îi mulțumim lui Rhys Kidd de la Westnet pentru semnalarea acestei probleme.
Notă de instalare
Această actualizare este disponibilă doar prin iTunes și nu va apărea în aplicația Actualizare software de pe computer sau secțiunea de descărcări a site-ului Asistență Apple. Asigură-te că ai o conexiune la internet și că ai instalat cea mai recentă versiune de iTunes de la (www.apple.com/ro/itunes).
iTunes verifică automat serverul de actualizare al Apple conform programului săptămânal. Atunci când este detectată o actualizare, aceasta va fi descărcată. Atunci când dispozitivul iPhone este conectat la încărcător, iTunes va prezenta utilizatorului opțiunea de a instala actualizarea. Recomandăm aplicarea imediată a actualizării, dacă este posibil. Dacă selectezi „nu instalați”, opțiunea va fi prezentată data viitoare când conectezi dispozitivul iPhone. Procesul de actualizare automată poate dura până la o săptămână, în funcție de ziua în care iTunes verifică dacă există actualizări.
Poți obține manual actualizarea prin intermediul butonului "Caută actualizări" sau al opțiunii de meniu din iTunes. După ce faci acest lucru, actualizarea poate fi aplicată atunci când dispozitivul iPhone este conectat la computer.
Pentru a verifica dacă dispozitivul iPhone a fost actualizat:
Navighează la Configurări pe iPhone.
Fă clic pe General.
Fă clic pe Informații. Versiunea după aplicarea acestei actualizări va fi „1.0.1 (1C25)”.