Despre conţinutul de securitate din iOS 4.1 pentru iPhone şi iPod touch
În acest document este descris conţinutul de securitate din iOS 4.1 pentru iPhone şi iPod touch.
Pentru protecţia clienţilor noştri, Apple nu divulgă, nu discută şi nu confirmă problemele de securitate înainte de a face o investigaţie completă şi de a pune la dispoziţie corecţiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul web Securitatea produselor Apple.
Pentru informaţii despre cheia PGP pentru securitatea produselor Apple, consultă „Utilizarea cheii PGP pentru securitatea produselor Apple”.
Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilităţi pentru mai multe informaţii.
Pentru a afla mai multe despre alte actualizări de securitate, consultă „Actualizările de securitate Apple”.
iOS 4.1 pentru iPhone şi iPod touch
Accesibilitate
CVE-ID: CVE-2010-1809
Disponibilitate pentru: iOS 3.0 - 4.0.2 pentru iPhone 3GS şi modele ulterioare, iOS 3.0 - 4.0.2 pentru iPod touch (a 3-a generaţie)
Impact: este posibil ca utilizarea de către o aplicaţie a serviciilor de localizare să nu fie anunţată prin VoiceOver
Descriere: a existat o problemă de accesibilitate a interfeţei în panoul de configurări pentru caracteristica Servicii de localizare. Funcţia VoiceOver nu anunţă prezenţa pictogramei pentru serviciile de localizare, care este afişată lângă o aplicaţie care a solicitat locaţia utilizatorului în ultimele 24 de ore. Această problemă a fost rezolvată prin asigurarea faptului că funcţia VoiceOver anunţă prezenţa pictogramei. Mulţumim lui Robin Kipp (Forever Living Products Europe) pentru raportarea acestei probleme.
FaceTime
CVE-ID: CVE-2010-1810
Disponibilitate pentru: iOS 2.0 - 4.0.2 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.0.2 pentru iPod touch (a 2-a generaţie) şi modele ulterioare
Impact: un atacator dintr-o poziţie privilegiată în reţea poate redirecţiona apeluri FaceTime
Descriere: o problemă la tratarea certificatelor nevalide putea permite unui atacator dintr-o poziţie privilegiată în reţea să redirecţioneze apeluri FaceTime. Această problemă a fost rezolvată prin îmbunătăţirea tratării certificatelor. Mulţumim lui Aaron Sigel (vtty.com) pentru raportarea acestei probleme.
ImageIO
CVE-ID: CVE-2010-1811
Disponibilitate pentru: iOS 2.0 - 4.0.2 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.0.2 pentru iPod touch (a 2-a generaţie) şi modele ulterioare
Impact: procesarea unei imagini TIFF create cu rea intenţie poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar
Descriere: a existat o problemă de alterare a memoriei la tratarea imaginilor TIFF. Procesarea unei imagini TIFF create cu rea intenţie poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea tratării imaginilor TIFF. Mulţumim companiei Apple.
ImageIO
CVE-ID: CVE-2010-1817
Disponibilitate pentru: iOS 2.0 - 4.0.2 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.0.2 pentru iPod touch (a 2-a generaţie) şi modele ulterioare
Impact: procesarea unei imagini GIF create cu rea intenţie poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar
Descriere: a existat o depăşire a tamponului de stivă la tratarea imaginilor GIF. Procesarea unei imagini GIF create cu rea intenţie poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată printr-o verificare îmbunătăţită a limitelor. Mulţumim lui Tom Ferris (Adobe PSIRT) pentru raportarea acestei probleme.
WebKit
CVE-ID: CVE-2010-1786
Disponibilitate pentru: iOS 2.0 - 4.0.2 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.0.2 pentru iPod touch (a 2-a generaţie) şi modele ulterioare
Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar
Descriere: a existat o problemă „utilizare după eliberare” la tratarea de către WebKit a elementelor „foreignObject” în documentele SVG. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin validarea suplimentară a documentelor SVG. Mulţumim lui wushi (team509), în colaborare cu programul Zero Day Initiative (TippingPoint), pentru raportarea acestei probleme.
WebKit
CVE-ID: CVE-2010-1770
Disponibilitate pentru: iOS 2.0 - 4.0.2 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.0.2 pentru iPod touch (a 2-a generaţie) şi modele ulterioare
Impact: accesarea unui site rău intenţionat poate duce la închiderea neaşteptată a aplicaţiei sau la executarea unui cod aleatoriu
Descriere: a existat o problemă la verificarea tipului la tratarea de către WebKit a nodurilor de text. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată printr-o verificare îmbunătăţită a tipurilor. Mulţumim lui wushi (team509), în colaborare cu programul Zero Day Initiative (TippingPoint), pentru raportarea acestei probleme.
WebKit
CVE-ID: CVE-2010-1785
Disponibilitate pentru: iOS 2.0 - 4.0.2 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.0.2 pentru iPod touch (a 2-a generaţie) şi modele ulterioare
Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar
Descriere: a existat o problemă de accesare a memoriei neiniţializate la tratarea de către WebKit a pseudoelementelor „:first-letter” şi „:first-line” în elementele de text SVG. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin neredarea pseudoelementelor „:first-letter” şi „:first-line” în elementele de text SVG. Mulţumim lui wushi (team509), în colaborare cu programul Zero Day Initiative (TippingPoint), pentru raportarea acestei probleme.
WebKit
CVE-ID: CVE-2010-1780
Disponibilitate pentru: iOS 2.0 - 4.0.2 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.0.2 pentru iPod touch (a 2-a generaţie) şi modele ulterioare
Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar
Descriere: a existat o problemă „utilizare după eliberare” la tratarea de către WebKit a focalizării elementelor. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea tratării focalizării elementelor. Mulţumim lui Tony Chang (Google, Inc.) pentru raportarea acestei probleme.
WebKit
CVE-ID: CVE-2010-1793
Disponibilitate pentru: iOS 2.0 - 4.0.2 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.0.2 pentru iPod touch (a 2-a generaţie) şi modele ulterioare
Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar
Descriere: a existat o problemă „utilizare după eliberare” la tratarea de către WebKit a elementelor „font-face” şi „use” în documentele SVG. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea tratării elementelor „font-face” şi „use” în documentele SVG. Mulţumim lui Aki Helin (OUSPG) pentru raportarea acestei probleme.
WebKit
CVE-ID: CVE-2010-1421
Disponibilitate pentru: iOS 2.0 - 4.0.2 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.0.2 pentru iPod touch (a 2-a generaţie) şi modele ulterioare
Impact: accesarea unui site web rău intenţionat putea schimba conţinutul clipboardului
Descriere: a existat o problemă de proiectare la implementarea funcţiei JavaScript execCommand. O pagină web rău intenţionată putea schimba conţinutul clipboardului fără interacţionarea cu utilizatorul. Această problemă a fost rezolvată prin permiterea executării comenzilor pentru clipboard numai dacă acestea sunt iniţiate de către utilizator. Mulţumim companiei Apple.
WebKit
CVE-ID: CVE-2010-1422
Disponibilitate pentru: iOS 2.0 - 4.0.2 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.0.2 pentru iPod touch (a 2-a generaţie) şi modele ulterioare
Impact: interacţionarea cu un site web rău intenţionat putea cauza acţiuni neaşteptate în alte site-uri
Descriere: a existat o problemă de implementare la tratarea de către WebKit a focalizării tastaturii. Dacă se schimba focalizarea tastaturii în timpul procesării apăsărilor pe taste, WebKit putea să livreze un eveniment cadrului nou focalizat în locul cadrului care avea focalizare în momentul apăsării pe tastă. Un site web rău intenţionat putea manipula un utilizator în scopul efectuării unei acţiuni neaşteptate, de exemplu iniţierea unei achiziţionări. Problema a fost rezolvată prin prevenirea livrării de evenimente de apăsare pe o tastă la schimbarea focalizării tastaturii în timpul procesării. Mulţumim lui Michal Zalewski (Google, Inc.) pentru raportarea acestei probleme.
WebKit
CVE-ID: CVE-2010-1771
Disponibilitate pentru: iOS 2.0 - 4.0.2 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.0.2 pentru iPod touch (a 2-a generaţie) şi modele ulterioare
Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar
Descriere: a existat o problemă „utilizare după eliberare” la tratarea de către WebKit a fonturilor. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea tratării fonturilor. Mulţumim companiei Apple.
WebKit
CVE-ID: CVE-2010-1783
Disponibilitate pentru: iOS 2.0 - 4.0.2 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.0.2 pentru iPod touch (a 2-a generaţie) şi modele ulterioare
Impact: accesarea unui site rău intenţionat poate duce la închiderea neaşteptată a aplicaţiei sau la executarea unui cod aleatoriu
Descriere: a existat o problemă de alterare a memoriei la tratarea de către WebKit a modificării dinamice a nodurilor de text. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea gestionării memoriei.
WebKit
CVE-ID: CVE-2010-1764
Disponibilitate pentru: iOS 2.0 - 4.0.2 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.0.2 pentru iPod touch (a 2-a generaţie) şi modele ulterioare
Impact: accesarea unui site web care redirecţionează remiteri de formulare poate cauza o divulgare de informaţii
Descriere: a existat o problemă de proiectare la tratarea de către WebKit a redirecţionărilor HTTP. Atunci când era redirecţionată o remitere de formular către un site web care efectua de asemenea redirecţionări, informaţiile conţinute în formular puteau fi trimise către un site terţ. Această problemă a fost rezolvată prin îmbunătăţirea tratării redirecţionărilor HTTP. Mulţumim lui Marc Worrell (WhatWebWhat) pentru raportarea acestei probleme.
WebKit
CVE-ID: CVE-2010-1782
Disponibilitate pentru: iOS 2.0 - 4.0.2 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.0.2 pentru iPod touch (a 2-a generaţie) şi modele ulterioare
Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar
Descriere: a existat o problemă de alterare a memoriei la redarea de către WebKit a elementelor în linie. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată printr-o verificare îmbunătăţită a limitelor. Mulţumim lui wushi (team509) pentru raportarea acestei probleme.
WebKit
CVE-ID: CVE-2010-1781
Disponibilitate pentru: iOS 2.0 - 4.0.2 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.0.2 pentru iPod touch (a 2-a generaţie) şi modele ulterioare
Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar
Descriere: a existat o problemă de taxare dublă la redarea de către WebKit a elementelor în linie. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea gestionării memoriei. Mulţumim lui James Robinson (Google, Inc.) pentru raportarea acestei probleme.
WebKit
CVE-ID: CVE-2010-1784
Disponibilitate pentru: iOS 2.0 - 4.0.2 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.0.2 pentru iPod touch (a 2-a generaţie) şi modele ulterioare
Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar
Descriere: a existat o problemă de alterare a memoriei la tratarea de către WebKit a contoarelor CSS. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea gestionării memoriei. Mulţumim lui wushi (team509), în colaborare cu programul Zero Day Initiative (TippingPoint), pentru raportarea acestei probleme.
WebKit
CVE-ID: CVE-2010-1787
Disponibilitate pentru: iOS 2.0 - 4.0.2 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.0.2 pentru iPod touch (a 2-a generaţie) şi modele ulterioare
Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar
Descriere: a existat o problemă de alterare a memoriei la tratarea de către WebKit a elementelor flotante în documentele SVG. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea gestionării memoriei.
WebKit
CVE-ID: CVE-2010-1791
Disponibilitate pentru: iOS 2.0 - 4.0.2 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.0.2 pentru iPod touch (a 2-a generaţie) şi modele ulterioare
Impact: accesarea unui site rău intenționat poate duce la închiderea neașteptată a aplicației sau la executarea unui cod aleatoriu
Descriere: a existat o problemă de existenţă a semnăturii la tratarea de către WebKit a matricelor JavaScript. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea tratării indecşilor de matrice JavaScript. Mulţumim lui Natalie Silvanovich pentru raportarea acestei probleme.
WebKit
CVE-ID: CVE-2010-1788
Disponibilitate pentru: iOS 2.0 - 4.0.2 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.0.2 pentru iPod touch (a 2-a generaţie) şi modele ulterioare
Impact: accesarea unui site rău intenţionat poate duce la închiderea neaşteptată a aplicaţiei sau la executarea unui cod arbitrar
Descriere: a existat o problemă de alterare a memoriei la tratarea de către WebKit a elementelor „use” în documentele SVG. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea tratării elementelor „use” în documentele SVG. Mulţumim lui Justin Schuh (Google, Inc.) pentru raportarea acestei probleme.
WebKit
CVE-ID: CVE-2010-1812
Disponibilitate pentru: iOS 2.0 - 4.0.2 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.0.2 pentru iPod touch (a 2-a generaţie) şi modele ulterioare
Impact: accesarea unui site rău intenţionat poate duce la închiderea neaşteptată a aplicaţiei sau la executarea unui cod aleatoriu
Descriere: a existat o problemă „utilizare după eliberare” la tratarea de către WebKit a selecţiilor. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea tratării selecţiilor. Mulţumim lui chipplyman pentru raportarea acestei probleme.
WebKit
CVE-ID: CVE-2010-1813
Disponibilitate pentru: iOS 2.0 - 4.0.2 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.0.2 pentru iPod touch (a 2-a generaţie) şi modele ulterioare
Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar
Descriere: a existat o problemă de alterare a memoriei la redarea de către WebKit a încadrărilor de obiecte HTML. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea gestionării memoriei. Mulţumim lui Jose A. Vazquez (spa-s3c.blogspot.com) pentru raportarea acestei probleme.
WebKit
CVE-ID: CVE-2010-1814
Disponibilitate pentru: iOS 2.0 - 4.0.2 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.0.2 pentru iPod touch (a 2-a generaţie) şi modele ulterioare
Impact: accesarea unui site rău intenţionat poate duce la închiderea neaşteptată a aplicaţiei sau la executarea unui cod aleatoriu
Descriere: a existat o problemă de alterare a memoriei la tratarea de către WebKit a meniurilor de formulare. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea tratării meniurilor de formulare. Mulţumim lui Csaba Osztrogonac (Universitatea din Szeged) pentru raportarea acestei probleme.
WebKit
CVE-ID: CVE-2010-1815
Disponibilitate pentru: iOS 2.0 - 4.0.2 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.0.2 pentru iPod touch (a 2-a generaţie) şi modele ulterioare
Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar
Descriere: a existat o problemă „utilizare după eliberare” la tratarea de către WebKit a barelor de derulare. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea gestionării memoriei. Mulţumim lui thabermann pentru raportarea acestei probleme.
Serviciul FaceTime nu este disponibil în toate țările sau regiunile.
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.