Despre conţinutul de securitate din iOS 4.1 pentru iPhone şi iPod touch

În acest document este descris conţinutul de securitate din iOS 4.1 pentru iPhone şi iPod touch.

Pentru protecţia clienţilor noştri, Apple nu divulgă, nu discută şi nu confirmă problemele de securitate înainte de a face o investigaţie completă şi de a pune la dispoziţie corecţiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul web Securitatea produselor Apple.

Pentru informaţii despre cheia PGP pentru securitatea produselor Apple, consultă „Utilizarea cheii PGP pentru securitatea produselor Apple”.

Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilităţi pentru mai multe informaţii.

Pentru a afla mai multe despre alte actualizări de securitate, consultă „Actualizările de securitate Apple”.

iOS 4.1 pentru iPhone şi iPod touch

  • Accesibilitate

    CVE-ID: CVE-2010-1809

    Disponibilitate pentru: iOS 3.0 - 4.0.2 pentru iPhone 3GS şi modele ulterioare, iOS 3.0 - 4.0.2 pentru iPod touch (a 3-a generaţie)

    Impact: este posibil ca utilizarea de către o aplicaţie a serviciilor de localizare să nu fie anunţată prin VoiceOver

    Descriere: a existat o problemă de accesibilitate a interfeţei în panoul de configurări pentru caracteristica Servicii de localizare. Funcţia VoiceOver nu anunţă prezenţa pictogramei pentru serviciile de localizare, care este afişată lângă o aplicaţie care a solicitat locaţia utilizatorului în ultimele 24 de ore. Această problemă a fost rezolvată prin asigurarea faptului că funcţia VoiceOver anunţă prezenţa pictogramei. Mulţumim lui Robin Kipp (Forever Living Products Europe) pentru raportarea acestei probleme.

  • FaceTime

    CVE-ID: CVE-2010-1810

    Disponibilitate pentru: iOS 2.0 - 4.0.2 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.0.2 pentru iPod touch (a 2-a generaţie) şi modele ulterioare

    Impact: un atacator dintr-o poziţie privilegiată în reţea poate redirecţiona apeluri FaceTime

    Descriere: o problemă la tratarea certificatelor nevalide putea permite unui atacator dintr-o poziţie privilegiată în reţea să redirecţioneze apeluri FaceTime. Această problemă a fost rezolvată prin îmbunătăţirea tratării certificatelor. Mulţumim lui Aaron Sigel (vtty.com) pentru raportarea acestei probleme.

  • ImageIO

    CVE-ID: CVE-2010-1811

    Disponibilitate pentru: iOS 2.0 - 4.0.2 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.0.2 pentru iPod touch (a 2-a generaţie) şi modele ulterioare

    Impact: procesarea unei imagini TIFF create cu rea intenţie poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o problemă de alterare a memoriei la tratarea imaginilor TIFF. Procesarea unei imagini TIFF create cu rea intenţie poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea tratării imaginilor TIFF. Mulţumim companiei Apple.

  • ImageIO

    CVE-ID: CVE-2010-1817

    Disponibilitate pentru: iOS 2.0 - 4.0.2 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.0.2 pentru iPod touch (a 2-a generaţie) şi modele ulterioare

    Impact: procesarea unei imagini GIF create cu rea intenţie poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o depăşire a tamponului de stivă la tratarea imaginilor GIF. Procesarea unei imagini GIF create cu rea intenţie poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată printr-o verificare îmbunătăţită a limitelor. Mulţumim lui Tom Ferris (Adobe PSIRT) pentru raportarea acestei probleme.

  • WebKit

    CVE-ID: CVE-2010-1786

    Disponibilitate pentru: iOS 2.0 - 4.0.2 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.0.2 pentru iPod touch (a 2-a generaţie) şi modele ulterioare

    Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o problemă „utilizare după eliberare” la tratarea de către WebKit a elementelor „foreignObject” în documentele SVG. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin validarea suplimentară a documentelor SVG. Mulţumim lui wushi (team509), în colaborare cu programul Zero Day Initiative (TippingPoint), pentru raportarea acestei probleme.

  • WebKit

    CVE-ID: CVE-2010-1770

    Disponibilitate pentru: iOS 2.0 - 4.0.2 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.0.2 pentru iPod touch (a 2-a generaţie) şi modele ulterioare

    Impact: accesarea unui site rău intenţionat poate duce la închiderea neaşteptată a aplicaţiei sau la executarea unui cod aleatoriu

    Descriere: a existat o problemă la verificarea tipului la tratarea de către WebKit a nodurilor de text. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată printr-o verificare îmbunătăţită a tipurilor. Mulţumim lui wushi (team509), în colaborare cu programul Zero Day Initiative (TippingPoint), pentru raportarea acestei probleme.

  • WebKit

    CVE-ID: CVE-2010-1785

    Disponibilitate pentru: iOS 2.0 - 4.0.2 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.0.2 pentru iPod touch (a 2-a generaţie) şi modele ulterioare

    Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o problemă de accesare a memoriei neiniţializate la tratarea de către WebKit a pseudoelementelor „:first-letter” şi „:first-line” în elementele de text SVG. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin neredarea pseudoelementelor „:first-letter” şi „:first-line” în elementele de text SVG. Mulţumim lui wushi (team509), în colaborare cu programul Zero Day Initiative (TippingPoint), pentru raportarea acestei probleme.

  • WebKit

    CVE-ID: CVE-2010-1780

    Disponibilitate pentru: iOS 2.0 - 4.0.2 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.0.2 pentru iPod touch (a 2-a generaţie) şi modele ulterioare

    Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o problemă „utilizare după eliberare” la tratarea de către WebKit a focalizării elementelor. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea tratării focalizării elementelor. Mulţumim lui Tony Chang (Google, Inc.) pentru raportarea acestei probleme.

  • WebKit

    CVE-ID: CVE-2010-1793

    Disponibilitate pentru: iOS 2.0 - 4.0.2 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.0.2 pentru iPod touch (a 2-a generaţie) şi modele ulterioare

    Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o problemă „utilizare după eliberare” la tratarea de către WebKit a elementelor „font-face” şi „use” în documentele SVG. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea tratării elementelor „font-face” şi „use” în documentele SVG. Mulţumim lui Aki Helin (OUSPG) pentru raportarea acestei probleme.

  • WebKit

    CVE-ID: CVE-2010-1421

    Disponibilitate pentru: iOS 2.0 - 4.0.2 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.0.2 pentru iPod touch (a 2-a generaţie) şi modele ulterioare

    Impact: accesarea unui site web rău intenţionat putea schimba conţinutul clipboardului

    Descriere: a existat o problemă de proiectare la implementarea funcţiei JavaScript execCommand. O pagină web rău intenţionată putea schimba conţinutul clipboardului fără interacţionarea cu utilizatorul. Această problemă a fost rezolvată prin permiterea executării comenzilor pentru clipboard numai dacă acestea sunt iniţiate de către utilizator. Mulţumim companiei Apple.

  • WebKit

    CVE-ID: CVE-2010-1422

    Disponibilitate pentru: iOS 2.0 - 4.0.2 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.0.2 pentru iPod touch (a 2-a generaţie) şi modele ulterioare

    Impact: interacţionarea cu un site web rău intenţionat putea cauza acţiuni neaşteptate în alte site-uri

    Descriere: a existat o problemă de implementare la tratarea de către WebKit a focalizării tastaturii. Dacă se schimba focalizarea tastaturii în timpul procesării apăsărilor pe taste, WebKit putea să livreze un eveniment cadrului nou focalizat în locul cadrului care avea focalizare în momentul apăsării pe tastă. Un site web rău intenţionat putea manipula un utilizator în scopul efectuării unei acţiuni neaşteptate, de exemplu iniţierea unei achiziţionări. Problema a fost rezolvată prin prevenirea livrării de evenimente de apăsare pe o tastă la schimbarea focalizării tastaturii în timpul procesării. Mulţumim lui Michal Zalewski (Google, Inc.) pentru raportarea acestei probleme.

  • WebKit

    CVE-ID: CVE-2010-1771

    Disponibilitate pentru: iOS 2.0 - 4.0.2 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.0.2 pentru iPod touch (a 2-a generaţie) şi modele ulterioare

    Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o problemă „utilizare după eliberare” la tratarea de către WebKit a fonturilor. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea tratării fonturilor. Mulţumim companiei Apple.

  • WebKit

    CVE-ID: CVE-2010-1783

    Disponibilitate pentru: iOS 2.0 - 4.0.2 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.0.2 pentru iPod touch (a 2-a generaţie) şi modele ulterioare

    Impact: accesarea unui site rău intenţionat poate duce la închiderea neaşteptată a aplicaţiei sau la executarea unui cod aleatoriu

    Descriere: a existat o problemă de alterare a memoriei la tratarea de către WebKit a modificării dinamice a nodurilor de text. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea gestionării memoriei.

  • WebKit

    CVE-ID: CVE-2010-1764

    Disponibilitate pentru: iOS 2.0 - 4.0.2 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.0.2 pentru iPod touch (a 2-a generaţie) şi modele ulterioare

    Impact: accesarea unui site web care redirecţionează remiteri de formulare poate cauza o divulgare de informaţii

    Descriere: a existat o problemă de proiectare la tratarea de către WebKit a redirecţionărilor HTTP. Atunci când era redirecţionată o remitere de formular către un site web care efectua de asemenea redirecţionări, informaţiile conţinute în formular puteau fi trimise către un site terţ. Această problemă a fost rezolvată prin îmbunătăţirea tratării redirecţionărilor HTTP. Mulţumim lui Marc Worrell (WhatWebWhat) pentru raportarea acestei probleme.

  • WebKit

    CVE-ID: CVE-2010-1782

    Disponibilitate pentru: iOS 2.0 - 4.0.2 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.0.2 pentru iPod touch (a 2-a generaţie) şi modele ulterioare

    Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o problemă de alterare a memoriei la redarea de către WebKit a elementelor în linie. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată printr-o verificare îmbunătăţită a limitelor. Mulţumim lui wushi (team509) pentru raportarea acestei probleme.

  • WebKit

    CVE-ID: CVE-2010-1781

    Disponibilitate pentru: iOS 2.0 - 4.0.2 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.0.2 pentru iPod touch (a 2-a generaţie) şi modele ulterioare

    Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o problemă de taxare dublă la redarea de către WebKit a elementelor în linie. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea gestionării memoriei. Mulţumim lui James Robinson (Google, Inc.) pentru raportarea acestei probleme.

  • WebKit

    CVE-ID: CVE-2010-1784

    Disponibilitate pentru: iOS 2.0 - 4.0.2 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.0.2 pentru iPod touch (a 2-a generaţie) şi modele ulterioare

    Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o problemă de alterare a memoriei la tratarea de către WebKit a contoarelor CSS. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea gestionării memoriei. Mulţumim lui wushi (team509), în colaborare cu programul Zero Day Initiative (TippingPoint), pentru raportarea acestei probleme.

  • WebKit

    CVE-ID: CVE-2010-1787

    Disponibilitate pentru: iOS 2.0 - 4.0.2 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.0.2 pentru iPod touch (a 2-a generaţie) şi modele ulterioare

    Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o problemă de alterare a memoriei la tratarea de către WebKit a elementelor flotante în documentele SVG. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea gestionării memoriei.

  • WebKit

    CVE-ID: CVE-2010-1791

    Disponibilitate pentru: iOS 2.0 - 4.0.2 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.0.2 pentru iPod touch (a 2-a generaţie) şi modele ulterioare

    Impact: accesarea unui site rău intenționat poate duce la închiderea neașteptată a aplicației sau la executarea unui cod aleatoriu

    Descriere: a existat o problemă de existenţă a semnăturii la tratarea de către WebKit a matricelor JavaScript. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea tratării indecşilor de matrice JavaScript. Mulţumim lui Natalie Silvanovich pentru raportarea acestei probleme.

  • WebKit

    CVE-ID: CVE-2010-1788

    Disponibilitate pentru: iOS 2.0 - 4.0.2 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.0.2 pentru iPod touch (a 2-a generaţie) şi modele ulterioare

    Impact: accesarea unui site rău intenţionat poate duce la închiderea neaşteptată a aplicaţiei sau la executarea unui cod arbitrar

    Descriere: a existat o problemă de alterare a memoriei la tratarea de către WebKit a elementelor „use” în documentele SVG. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea tratării elementelor „use” în documentele SVG. Mulţumim lui Justin Schuh (Google, Inc.) pentru raportarea acestei probleme.

  • WebKit

    CVE-ID: CVE-2010-1812

    Disponibilitate pentru: iOS 2.0 - 4.0.2 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.0.2 pentru iPod touch (a 2-a generaţie) şi modele ulterioare

    Impact: accesarea unui site rău intenţionat poate duce la închiderea neaşteptată a aplicaţiei sau la executarea unui cod aleatoriu

    Descriere: a existat o problemă „utilizare după eliberare” la tratarea de către WebKit a selecţiilor. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea tratării selecţiilor. Mulţumim lui chipplyman pentru raportarea acestei probleme.

  • WebKit

    CVE-ID: CVE-2010-1813

    Disponibilitate pentru: iOS 2.0 - 4.0.2 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.0.2 pentru iPod touch (a 2-a generaţie) şi modele ulterioare

    Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o problemă de alterare a memoriei la redarea de către WebKit a încadrărilor de obiecte HTML. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea gestionării memoriei. Mulţumim lui Jose A. Vazquez (spa-s3c.blogspot.com) pentru raportarea acestei probleme.

  • WebKit

    CVE-ID: CVE-2010-1814

    Disponibilitate pentru: iOS 2.0 - 4.0.2 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.0.2 pentru iPod touch (a 2-a generaţie) şi modele ulterioare

    Impact: accesarea unui site rău intenţionat poate duce la închiderea neaşteptată a aplicaţiei sau la executarea unui cod aleatoriu

    Descriere: a existat o problemă de alterare a memoriei la tratarea de către WebKit a meniurilor de formulare. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea tratării meniurilor de formulare. Mulţumim lui Csaba Osztrogonac (Universitatea din Szeged) pentru raportarea acestei probleme.

  • WebKit

    CVE-ID: CVE-2010-1815

    Disponibilitate pentru: iOS 2.0 - 4.0.2 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.0.2 pentru iPod touch (a 2-a generaţie) şi modele ulterioare

    Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o problemă „utilizare după eliberare” la tratarea de către WebKit a barelor de derulare. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea gestionării memoriei. Mulţumim lui thabermann pentru raportarea acestei probleme.

Serviciul FaceTime nu este disponibil în toate țările sau regiunile.

Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.

Data publicării: