Acest articol a fost arhivat şi nu mai este actualizat de Apple.

Despre conținutul de securitate din iOS 2.2 și iOS pentru iPod touch 2.2

Acest document descrie conținutul de securitate din iOS 2.2 și iOS pentru iPod touch 2.2.

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate înainte de a face o investigație completă și de a pune la dispoziție corecțiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul web Securitatea produselor Apple.

Pentru informații despre cheia PGP pentru securitatea produselor Apple, consultă „Utilizarea cheii PGP pentru securitatea produselor Apple.”

Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilități pentru mai multe informații.

Pentru a afla mai multe despre alte actualizări de securitate, consultă „Actualizările de securitate Apple”.

iOS 2.2 și iOS pentru iPod touch 2.2

  • CoreGraphics

    CVE-ID: CVE-2008-2321

    Disponibilitate pentru: iOS 1.0 până la 2.1, iOS pentru iPod touch 1.1 până la 2.1

    Impact: accesarea unui site web creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea de cod arbitrar

    Descriere: CoreGraphics conține probleme de corupere a memoriei la procesarea argumentelor. Transmiterea unor date nesigure către CoreGraphics printr-o aplicație, cum ar fi un browser web, poate duce la o închidere neașteptată a aplicației sau la executarea de cod arbitrar. Această actualizare rezolvă problema prin îmbunătățirea verificării limitelor. Îi mulțumim lui Michal Zalewski (Google) pentru raportarea acestei probleme.

  • ImageIO

    CVE-ID: CVE-2008-2327

    Disponibilitate pentru: iOS 1.0 până la 2.1, iOS pentru iPod touch 1.1 până la 2.1

    Impact: vizualizarea unei imagini TIFF create cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea de cod arbitrar.

    Descriere: există mai multe probleme de acces la memorie neinițializată la tratarea de către libTIFF a imaginilor TIFF codificate LZW. Vizualizarea unei imagini TIFF create cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea de cod arbitrar. Această actualizare rezolvă problema prin inițializarea corectă a memoriei și validarea suplimentară a imaginilor TIFF.

  • ImageIO

    CVE-ID: CVE-2008-1586

    Disponibilitate pentru: iOS 1.0 până la 2.1, iOS pentru iPod touch 1.1 până la 2.1

    Impact: vizualizarea unei imagini TIFF create cu rea intenție poate cauza o resetare neașteptată a dispozitivului

    Descriere: există o problemă de epuizare a memorieila tratarea imaginilor TIFF. Vizualizarea unei imagini TIFF create cu rea intenție poate cauza o resetare neașteptată a dispozitivului. Această actualizare rezolvă problema prin limitarea cantității de memorie alocată pentru a deschide o imagine TIFF. Mulțumiri lui Sergio 'shadown' Alvarez (Recurity Labs GmbH) AG pentru raportarea acestei probleme.

  • Networking

    CVE-ID: CVE-2008-4227

    Disponibilitate pentru: iOS 1.0 până la 2.1, iOS pentru iPod touch 1.1 până la 2.1

    Impact: nivelul de criptare pentru conexiunile VPN PPTP poate fi mai mic decât cel așteptat

    Descriere: nivelul de criptare pentru conexiunile VPN PPTP poate reveni la o configurare anterioară mai mică. Această actualizare rezolvă problema prin configurarea corectă a preferințelor de criptare. Îi mulțumim lui Stephen Butler (University of Illinois of Urbana-Champaign) pentru raportarea acestei probleme.

  • Office Viewer

    CVE-ID: CVE-2008-4211

    Disponibilitate pentru: iOS 1.0 până la 2.1, iOS pentru iPod touch 1.1 până la 2.1

    Impact: vizualizarea unui fișier Microsoft Excel creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea de cod arbitrar

    Descriere: o problemă de semnare la tratarea coloanelor din fișiere Microsoft Excel de către Office Viewer poate cauza un acces în afara limitelor de memorie. vizualizarea unui fișier Microsoft Excel creat cu rea intenție poate cauza terminarea neașteptată a aplicației sau executarea unui cod arbitrar. Această actualizare rezolvă problema prin asigurarea faptului că valorile indexului afectat nu sunt negative. Rezolvare: Apple.

  • Passcode Lock

    CVE-ID: CVE-2008-4228

    Disponibilitate pentru: iOS 1.0 până la 2.1, iOS pentru iPod touch 1.1 până la 2.1

    Impact: apelurile de urgență nu sunt limitate la numerele de urgență

    Descriere: iPhone oferă posibilitatea de a efectua un apel de urgență atunci când este blocat. În prezent, un apel de urgență poate fi efectuat la orice număr de telefon. O persoană care are acces fizic la un iPhone poate profita de această funcție pentru a efectua apeluri arbitrare care sunt debitate proprietarului dispozitivului iPhone. Această actualizare rezolvă această problemă prin restricționarea apelurilor de urgență la un set limitat de numere de telefon.

  • Passcode Lock

    CVE-ID: CVE-2008-4229

    Disponibilitate pentru: iOS 1.0 până la 2.1, iOS pentru iPod touch 1.1 până la 2.1

    Impact: este posibil ca restaurarea unui dispozitiv din backup să nu reactiveze Passcode Lock

    Descriere: funcționalitatea Passcode Lock este concepută pentru a împiedica lansarea aplicațiilor dacă nu este introdus codul de acces corect. O condiție de concurență criticî la tratarea configurărilor dispozitivului poate face ca Passcode Lock să fie eliminat atunci când dispozitivul este restaurat din backup. Acest lucru poate permite unei persoane cu acces fizic la dispozitiv să lanseze aplicații fără codul de acces. Această actualizare rezolvă această problemă prin îmbunătățirea capacității sistemului de a recunoaște preferințele lipsă. Această problemă nu afectează sistemele anterioare iOS 2.0 sau iOS pentru iPod touch 2.0. Îi mulțumim lui Nolen Scaife pentru raportarea acestei probleme.

  • Passcode Lock

    CVE-ID: CVE-2008-4230

    Disponibilitate pentru: iOS 1.0 până la 2.1, iOS pentru iPod touch 1.1 până la 2.1

    Impact: Mesajele SMS (Short Message Service) pot fi dezvăluite înainte de introducerea codului de acces.

    Descriere: dacă sosește un mesaj SMS în timp ce ecranul apelurilor de urgență este vizibil, întregul mesaj SMS este afișat, chiar dacă preferința „Afișare previzualizare SMS” a fost configurată la „Dezactivat”. Această actualizare rezolvă această problemă prin afișarea, în această situație, doar a unei notificări că a sosit un mesaj SMS, nu și a conținutului acestuia.

  • Safari

    CVE-ID: CVE-2008-4231

    Disponibilitate pentru: iOS 1.0, până la 2.1, iOS pentru iPod touch 1.1 până la 2.1

    Impact: accesarea unui site web creat cu rea intenție poate determina închiderea neașteptată a aplicației sau executarea de cod arbitrar

    Descriere: există o problemă de corupere a memoriei în tratarea elementelor de tabel HTML. Accesarea unui site web creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea de cod arbitrar. Această actualizare rezolvă problema prin îmbunătățirea tratării elementelor de tabel HTML. Îi mulțumim lui Haifei Li (Fortinet's FortiGuard Global Security Research Team) pentru raportarea acestei probleme.

  • Safari

    CVE-ID: CVE-2008-4232

    Disponibilitate pentru: iOS 1.0, până la 2.1, iOS pentru iPod touch 1.1 până la 2.1

    Impact: site-urile web cu elemente iframe încorporate pot fi vulnerabile la falsificarea interfeței cu utilizatorul

    Descriere: Safari permite unui element iframe să afișeze conținut în afara limitelor sale, ceea ce poate cauza falsificarea interfeței cu utilizatorul. Această actualizare rezolvă această problemă prin faptul că nu permite elementelor iframe să afișeze conținut în afara limitelor lor. Această problemă nu afectează sistemele anterioare iOS 2.0 sau iOS pentru iPod touch 2.0. Îi mulțumim lui John Resig (Mozilla Corporation) pentru raportarea acestei probleme.

  • CVE-ID: CVE-2008-4233Disponibilitate pentru: iOS 1.0, până la 2.1, iOS pentru iPod touch 1.1 până la 2.1:Impact: accesarea unui site web creat cu rea intenție poate iniția un apel telefonic fără interacțiune cu utilizatorulDescriere: dacă o aplicație este lansată prin Safari în timp ce este afișat un dialog de aprobare a apelului, apelul va fi efectuat. Acest lucru poate permite unui site web creat cu rea intenție să inițieze un apel telefonic fără interacțiune cu utilizatorul. În plus, în anumite circumstanțe, ar putea fi posibil ca un site web creat cu rea intenție să blocheze capacitatea utilizatorului de a anula apelarea pentru o perioadă scurtă de timp. Această actualizare rezolvă problema prin respingerea corespunzătoare a dialogului de aprobare a apelurilor din Safari atunci când o aplicație este lansată prin Safari. Îi mulțumim lui Collin Mulliner (Fraunhofer SIT) pentru raportarea acestei probleme.

    Safari

  • Webkit

    CVE-ID: CVE-2008-3644

    Disponibilitate pentru: iOS 1.0, până la 2.1, iOS pentru iPod touch 1.1 până la 2.1

    Impact: pot fi dezvăluite informații sensibile unei persoane care are acces fizic la un dispozitiv deblocat.

    Descriere: este posibil ca dezactivarea funcției de completare automată a unui câmp de formular să nu împiedice stocarea datelor din câmp în memoria cache a paginii browserului. Acest lucru poate duce la dezvăluirea de informații sensibile unei persoane care are acces fizic la un dispozitiv deblocat. Această actualizare rezolvă această problemă prin ștergerea corectă a datelor din formular. Îi mulțumim unui cercetător anonim pentru raportarea acestei probleme.

Important: informațiile despre produse care nu sunt fabricate de Apple sunt furnizate doar în scop informativ și nu constituie recomandarea sau aprobarea Apple. Pentru informații suplimentare, contactează furnizorul.

Data publicării: