Despre conţinutul de securitate din iOS 4.2

În acest document este descris conţinutul de securitate din actualizarea iOS 4.2, care poate fi descărcată şi instalată utilizându-se iTunes.

În acest document este descris conţinutul de securitate din actualizarea iOS 4.2, care poate fi descărcată şi instalată utilizându-se iTunes.

Pentru protecţia clienţilor noştri, Apple nu divulgă, nu discută şi nu confirmă problemele de securitate înainte de a face o investigaţie completă şi de a pune la dispoziţie corecţiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul Web Securitatea produselor Apple.

Pentru informaţii despre cheia PGP pentru securitatea produselor Apple, consultă „Utilizarea cheii PGP pentru securitatea produselor Apple”.

Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilităţi pentru mai multe informaţii.

Pentru a afla mai multe despre alte actualizări de securitate, consultă „Actualizările de securitate Apple”.

iOS 4.2

  • Profiluri de configurare

    CVE-ID: CVE-2010-3827

    Disponibilitate pentru: iOS 2.0 - 4.1 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.1 pentru iPod touch (a 2-a generaţie) şi modele ulterioare, iOS 3.2 - 3.2.2 pentru iPad

    Impact: un utilizator poate fi păcălit să instaleze un profil de configurare creat cu rea intenţie

    Descriere: a existat o problemă de validare a semnăturilor la tratarea profilurilor de configurare. Un profil de configurare creat cu rea intenţie putea părea să aibă o semnătură validă în utilitarul de instalare a configuraţiei. Această problemă a fost rezolvată prin îmbunătăţirea validării semnăturilor de profiluri. Mulţumim lui Barry Simpson (Bomgar Corporation) pentru raportarea acestei probleme.

  • CoreGraphics

    CVE-ID: CVE-2010-2805, CVE-2010-2806, CVE-2010-2807, CVE-2010-2808, CVE-2010-3053, CVE-2010-3054

    Disponibilitate pentru: iOS 2.0 - 4.1 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.1 pentru iPod touch (a 2-a generaţie) şi modele ulterioare, iOS 3.2 - 3.2.2 pentru iPad

    Impact: vulnerabilităţi multiple în FreeType 2.4.1

    Descriere: au existat vulnerabilităţi multiple în FreeType 2.4.1, cele mai grave putând cauza executarea unui cod arbitrar la procesarea unui font creat cu rea intenţie. Aceste probleme au fost rezolvate prin actualizarea bibliotecii FreeType la versiunea 2.4.2. Informaţii suplimentare sunt disponibile în site-ul web FreeType la http://www.freetype.org/

  • FreeType

    CVE-ID: CVE-2010-3814

    Disponibilitate pentru: iOS 2.0 - 4.1 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.1 pentru iPod touch (a 2-a generaţie) şi modele ulterioare, iOS 3.2 - 3.2.2 pentru iPad

    Impact: vizualizarea unui document PDF cu fonturi încorporate modificate cu rea intenţie poate permite executarea unui cod arbitrar

    Descriere: există o depăşire a zonei-tampon a structurii de date la tratarea de către FreeType a opcodurilor TrueType. Vizualizarea unui fişier PDF creat cu rea intenţie poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această actualizare rezolvă problema prin îmbunătăţirea verificării limitelor.

  • iAd Content Display

    CVE-ID: CVE-2010-3828

    Disponibilitate pentru: iOS 2.0 - 4.1 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.1 pentru iPod touch (a 2-a generaţie) şi modele ulterioare, iOS 3.2 - 3.2.2 pentru iPad

    Impact: un atacator cu poziţie privilegiată în reţea putea cauza iniţierea unui apel

    Descriere: a existat o problemă de tratare a URL-urilor în iAd Content Display. Un iAd este solicitat de o aplicaţie fie automat, fie printr-o acţiune explicită a utilizatorului. Prin injectarea conţinutului unei reclame solicitate cu un link conţinând o schemă de URL-uri utilizată pentru iniţierea unui apel, un atacator cu poziţie privilegiată în reţea putea cauza producerea unui apel. Această problemă a fost rezolvată prin asigurarea unei interacţiuni cu utilizatorul înainte de iniţierea unui apel dintr-un link. Mulţumim lui Aaron Sigel (vtty.com) pentru raportarea acestei probleme.

  • ImageIO

    CVE-ID: CVE-2010-2249, CVE-2010-1205

    Disponibilitate pentru: iOS 2.0 - 4.1 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.1 pentru iPod touch (a 2-a generaţie) şi modele ulterioare, iOS 3.2 - 3.2.2 pentru iPad

    Impact: vulnerabilităţi multiple în libpng

    Descriere: libpng a fost actualizat la versiunea 1.4.3 pentru rezolvarea vulnerabilităţilor multiple, cea mai gravă putând cauza executarea unui cod arbitrar. Informaţii suplimentare pot fi găsite în site-ul web libpng la http://www.libpng.org/pub/png/libpng.html

  • libxml

    CVE-ID: CVE-2010-4008

    Disponibilitate pentru: iOS 2.0 - 4.1 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.1 pentru iPod touch (a 2-a generaţie) şi modele ulterioare, iOS 3.2 - 3.2.2 pentru iPad

    Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o problemă de alterare a memoriei la tratarea de către libxml a expresiilor XPath. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea tratării căilor XPath. Mulţumim lui Bui Quang Minh (Bkis) (www.bkis.com) pentru raportarea acestei probleme.

  • Mail

    CVE-ID: CVE-2010-3829

    Disponibilitate pentru: iOS 2.0 - 4.1 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.1 pentru iPod touch (a 2-a generaţie) şi modele ulterioare, iOS 3.2 - 3.2.2 pentru iPad

    Impact: Mail poate rezolva nume DNS atunci când încărcarea la distanţă a imaginilor este dezactivată

    Descriere: atunci când WebKit întâlneşte un HTML Link Element care solicită preîncărcare numelor DNS, va efectua preîncărcarea chiar dacă încărcarea la distanţă a imaginilor este dezactivată. Acest lucru poate cauza solicitări nedorite către servere la distanţă. Expeditorul unui mesaj de e-mail formatat HTML putea utiliza acest lucru pentru a determina dacă mesajul a fost vizualizat. Această problemă a fost rezolvată prin dezactivarea preîncărcării numelor DNS atunci când încărcarea la distanţă a imaginilor este dezactivată. Mulţumim lui Mike Cardwell (Cardwell IT Ltd.) pentru raportarea acestei probleme.

  • Comunicaţii în reţea

    CVE-ID: CVE-2010-1843

    Disponibilitate pentru: iOS 4.0 - 4.1 pentru iPhone 3GS şi modele ulterioare, iOS 4.0 - 4.1 pentru iPod touch (a 3-a generaţie), iOS 3.2 - 3.2.2 pentru iPad

    Impact: un atacator la distanţă putea cauza o închidere neaşteptată a sistemului

    Descriere: a existat o problemă de indirectare NULL la tratarea pachetelor Protocol Independent Multicast (PIM). Prin trimiterea unui pachet PIM creat cu rea intenţie, un atacator la distanţă putea cauza o închidere neaşteptată a sistemului. Această problemă a fost rezolvată prin îmbunătăţirea validării pachetelor PIM. Mulţumim unui cercetător anonim, în colaborare cu programul Zero Day Initiative (TippingPoint), pentru raportarea acestei probleme. Această problemă nu afectează dispozitivele pe care se execută iOS cu versiuni anterioare versiunii 3.2.

  • Comunicaţii în reţea

    CVE-ID: CVE-2010-3830

    Disponibilitate pentru: iOS 2.0 - 4.1 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.1 pentru iPod touch (a 2-a generaţie) şi modele ulterioare, iOS 3.2 - 3.2.2 pentru iPad

    Impact: un cod rău intenţionat putea obţine privilegii de sistem

    Descriere: a existat o referinţă nevalidă la pointeri în comunicaţiile în reţea la tratarea regulilor de filtrare a pachetelor. Acest lucru putea permite executarea unui cod rău intenţionat în sesiunea utilizatorului pentru obţinerea de privilegii de sistem. Această problemă a fost rezolvată prin îmbunătăţirea tratării regulilor de filtrare a pachetelor.

  • OfficeImport

    CVE-ID: CVE-2010-3786

    Disponibilitate pentru: iOS 3.2 - 3.2.2 pentru iPad

    Impact: vizualizarea unui fişier Excel creat cu rea intenţie poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o problemă de alterare a memoriei la tratarea de către OfficeImport a fişierelor Excel. Vizualizarea unui fişier Excel creat cu rea intenţie poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată printr-o verificare îmbunătăţită a limitelor. Această problemă a fost rezolvată pentru dispozitive iPhone în iOS 4. Mulţumim lui Tobias Klein, în colaborare cu VeriSign iDefense Labs, pentru raportarea acestei probleme.
  • Blocare a codului de acces

    CVE-ID: CVE-2010-4012

    Disponibilitate pentru: iOS 4.0 - 4.1 pentru iPhone 3G şi modele ulterioare

    Impact: o persoană cu acces fizic la un dispozitiv putea accesa datele utilizatorului

    Descriere: a existat o problemă de condiţie de rulare la tratarea apelurilor de urgenţă. Apăsând pe butonul Adormire/Trezire la scurt timp după pornirea unui apel din ecranul Apel de urgenţă, o persoană putea ocoli blocarea cu cod de acces. Această problemă a fost rezolvată prin îmbunătăţirea verificării stării de blocare.

  • Poze

    CVE-ID: CVE-2010-3831

    Disponibilitate pentru: iOS 2.0 - 4.1 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.1 pentru iPod touch (a 2-a generaţie) şi modele ulterioare, iOS 3.2 - 3.2.2 pentru iPad

    Impact: folosirea butonului „Trimitere la MobileMe” putea cauza divulgarea parolei contului MobileMe

    Descriere: aplicaţia Poze permite utilizatorilor să-şi partajeze fotografiile şi videoclipurile prin diverse metode. Una dintre acestea este utilizarea butonului „Trimitere la MobileMe”, care încarcă conţinutul selectat în MobileMe Gallery. Aplicaţia Poze va utiliza HTTP Basic Authentication dacă serverul nu prezintă ca disponibil alt mecanism de autentificare. Un atacator cu o poziţie favorabilă în reţea putea manipula răspunsul de la MobileMe Gallery pentru a solicita autentificare de bază, acest lucru cauzând divulgarea parolei contului MobileMe. Această problemă a fost rezolvată prin dezactivarea suportului pentru HTTP Basic Authentication. Mulţumim lui Aaron Sigel (vtty.com) pentru raportarea acestei probleme.

  • Safari

    CVE-ID: CVE-2009-1707

    Disponibilitate pentru: iOS 2.0 - 4.1 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.1 pentru iPod touch (a 2-a generaţie) şi modele ulterioare, iOS 3.2 - 3.2.2 pentru iPad

    Impact: era posibil ca o comandă „Resetare Safari” să nu elimine imediat din memorie parolele pentru site-uri web

    Descriere: după efectuarea de clic pe butonul „Resetare” pentru „Resetare nume de utilizator şi parole salvate” în opţiunea de meniu „Resetare Safari...” putea dura până la 30 de secunde ca safari să elimine parolele din memorie. Un utilizator cu acces la dispozitiv în acest interval de timp putea accesa acreditările stocate. Această problemă a fost eliminată prin rezolvarea condiţiei de rulare care cauza întârzierea. Mulţumim lui Philippe Couturier (izypage.com) şi Andrew Wellington (The Australian National University) pentru raportarea acestei probleme.

  • Telefonie

    CVE-ID: CVE-2010-3832

    Disponibilitate pentru: iOS 2.0 - 4.1 pentru iPhone 3G şi modele ulterioare, iOS 3.2 - 3.2.2 pentru iPad

    Impact: un atacator la distanţă poate cauza executarea unui cod arbitrar

    Descriere: a existat o depăşire a zonei-tampon a structurii de date la tratarea câmpurilor Temporary Mobile Subscriber Identity (TMSI) în gestionarea mobilităţii GSM. Acest lucru putea permite unui atacator la distanţă să cauzeze executarea unui cod arbitrar în procesorul de bandă de bază. Această problemă a fost rezolvată printr-o verificare îmbunătăţită a limitelor. Mulţumim lui Ralf-Philipp Weinmann de la University of Luxembourg pentru raportarea acestei probleme.

  • WebKit

    CVE-ID: CVE-2010-3803

    Disponibilitate pentru: iOS 2.0 - 4.1 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.1 pentru iPod touch (a 2-a generaţie) şi modele ulterioare, iOS 3.2 - 3.2.2 pentru iPad

    Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: există o depăşire de valoare întreagă la tratarea de către WebKit a şirurilor. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată printr-o verificare îmbunătăţită a limitelor. Mulţumim lui J23 pentru raportarea acestei probleme.

  • WebKit

    CVE-ID: CVE-2010-3824

    Disponibilitate pentru: iOS 2.0 - 4.1 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.1 pentru iPod touch (a 2-a generaţie) şi modele ulterioare, iOS 3.2 - 3.2.2 pentru iPad

    Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o problemă „utilizare după eliberare” la tratarea de către WebKit a elementelor „use” în documentele SVG. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea utilizării memoriei. Mulţumim lui wushi (team509) pentru raportarea acestei probleme.

  • WebKit

    CVE-ID: CVE-2010-3816

    Disponibilitate pentru: iOS 2.0 - 4.1 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.1 pentru iPod touch (a 2-a generaţie) şi modele ulterioare, iOS 3.2 - 3.2.2 pentru iPad

    Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o problemă „utilizare după eliberare” la tratarea de către WebKit a barelor de derulare. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea utilizării memoriei. Mulţumim lui Rohit Makasana (Google Inc.) pentru raportarea acestei probleme.

  • WebKit

    CVE-ID: CVE-2010-3809

    Disponibilitate pentru: iOS 2.0 - 4.1 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.1 pentru iPod touch (a 2-a generaţie) şi modele ulterioare, iOS 3.2 - 3.2.2 pentru iPad

    Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o problemă de distribuţie nevalidă la tratarea de către WebKit a stilurilor în linie. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea tratării stilurilor în linie. Mulţumim lui Abhishek Arya (Inferno) (Google Chrome Security Team) pentru raportarea acestei probleme.

  • WebKit

    CVE-ID: CVE-2010-3810

    Disponibilitate pentru: iOS 2.0 - 4.1 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.1 pentru iPod touch (a 2-a generaţie) şi modele ulterioare, iOS 3.2 - 3.2.2 pentru iPad

    Impact: un site web rău intenţionat putea să falsifice adresa din bara de locaţii sau să adauge locaţii arbitrare la istoric

    Descriere: a existat o problemă de origine încrucişată în tratarea de către WebKit a obiectului History. Un site web rău intenţionat putea să falsifice adresa din bara de locaţii sau să adauge locaţii arbitrare la istoric. Această problemă a fost rezolvată prin îmbunătăţirea urmăririi originilor securităţii. Mulţumim lui Mike Taylor (Opera Software) pentru raportarea acestei probleme.

  • WebKit

    CVE-ID: CVE-2010-3805

    Disponibilitate pentru: iOS 2.0 - 4.1 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.1 pentru iPod touch (a 2-a generaţie) şi modele ulterioare, iOS 3.2 - 3.2.2 pentru iPad

    Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o depăşire de valoare întreagă în tratarea de către WebKit a protocolului WebSocket. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată printr-o verificare îmbunătăţită a limitelor. Mulţumiri lui Keith Campbell şi Cris Neckar (Google Chrome Security Team) pentru raportarea acestei probleme.

  • WebKit

    CVE-ID: CVE-2010-3823

    Disponibilitate pentru: iOS 2.0 - 4.1 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.1 pentru iPod touch (a 2-a generaţie) şi modele ulterioare, iOS 3.2 - 3.2.2 pentru iPad

    Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o problemă „utilizare după eliberare” la tratarea de către WebKit a obiectelor Geolocation. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea utilizării memoriei. Mulţumim lui kizzcc pentru raportarea acestei probleme.

  • WebKit

    CVE-ID: CVE-2010-3116

    Disponibilitate pentru: iOS 2.0 - 4.1 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.1 pentru iPod touch (a 2-a generaţie) şi modele ulterioare, iOS 3.2 - 3.2.2 pentru iPad

    Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: au existat probleme multiple de „utilizare după eliberare” la tratarea de către WebKit a plug-in-urilor. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Aceste probleme au fost rezolvate prin îmbunătăţirea utilizării memoriei.

  • WebKit

    CVE-ID: CVE-2010-3812

    Disponibilitate pentru: iOS 2.0 - 4.1 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.1 pentru iPod touch (a 2-a generaţie) şi modele ulterioare, iOS 3.2 - 3.2.2 pentru iPad

    Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o depăşire de valoare întreagă la tratarea de către WebKit a obiectelor Text. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată printr-o verificare îmbunătăţită a limitelor. Mulţumim lui J23, în colaborare cu Zero Day Initiative (TippingPoint), pentru raportarea acestei probleme.

  • WebKit

    CVE-ID: CVE-2010-3808

    Disponibilitate pentru: iOS 2.0 - 4.1 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.1 pentru iPod touch (a 2-a generaţie) şi modele ulterioare, iOS 3.2 - 3.2.2 pentru iPad

    Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o problemă de distribuţie nevalidă la tratarea de către WebKit a comenzilor de editare. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea tratării comenzilor de editare. Mulţumim lui wushi (team509) pentru raportarea acestei probleme.

  • WebKit

    CVE-ID: CVE-2010-3259

    Disponibilitate pentru: iOS 2.0 - 4.1 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.1 pentru iPod touch (a 2-a generaţie) şi modele ulterioare, iOS 3.2 - 3.2.2 pentru iPad

    Impact: accesarea unui site web rău intenţionat putea cauza divulgarea de date de imagini din alt site web

    Descriere: a existat o problemă de origine încrucişată la tratarea de către WebKit a imaginilor create din elemente „canvas”. Accesarea unui site web rău intenţionat putea cauza divulgarea de date de imagini din alt site web. Această problemă a fost rezolvată prin îmbunătăţirea urmăririi originilor securităţii. Mulţumim lui Isaac Dawson şi James Qiu (Microsoft şi Microsoft Vulnerability Research (MSVR)) pentru raportarea acestei probleme.

  • WebKit

    CVE-ID: CVE-2010-1822

    Disponibilitate pentru: iOS 2.0 - 4.1 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.1 pentru iPod touch (a 2-a generaţie) şi modele ulterioare, iOS 3.2 - 3.2.2 pentru iPad

    Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o problemă de distribuţie nevalidă la tratarea de către WebKit a elementelor SVG din documente non-SVG. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea tratării elementelor SVG. Mulţumim lui wushi (team509) pentru raportarea acestei probleme.

  • WebKit

    CVE-ID: CVE-2010-3811

    Disponibilitate pentru: iOS 2.0 - 4.1 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.1 pentru iPod touch (a 2-a generaţie) şi modele ulterioare, iOS 3.2 - 3.2.2 pentru iPad

    Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o problemă „utilizare după eliberare” la tratarea de către WebKit a atributelor elementelor. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea utilizării memoriei. Mulţumim lui Michal Zalewski pentru raportarea acestei probleme.

  • WebKit

    CVE-ID: CVE-2010-3817

    Disponibilitate pentru: iOS 2.0 - 4.1 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.1 pentru iPod touch (a 2-a generaţie) şi modele ulterioare, iOS 3.2 - 3.2.2 pentru iPad

    Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o problemă de distribuţie nevalidă la tratarea de către WebKit a transformărilor 3D CSS. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea tratării transformărilor 3D CSS. Mulţumim lui Abhishek Arya (Inferno) (Google Chrome Security Team) pentru raportarea acestei probleme.

  • WebKit

    CVE-ID: CVE-2010-3818

    Disponibilitate pentru: iOS 2.0 - 4.1 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.1 pentru iPod touch (a 2-a generaţie) şi modele ulterioare, iOS 3.2 - 3.2.2 pentru iPad

    Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o problemă „utilizare după eliberare” la tratarea de către WebKit a casetelor de text în linie. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea utilizării memoriei. Mulţumim lui Abhishek Arya (Inferno) (Google Chrome Security Team) pentru raportarea acestei probleme.

  • WebKit

    CVE-ID: CVE-2010-3819

    Disponibilitate pentru: iOS 2.0 - 4.1 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.1 pentru iPod touch (a 2-a generaţie) şi modele ulterioare, iOS 3.2 - 3.2.2 pentru iPad

    Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o problemă de distribuţie nevalidă la tratarea de către WebKit a casetelor CSS. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea tratării casetelor CSS. Mulţumim lui Abhishek Arya (Inferno) (Google Chrome Security Team) pentru raportarea acestei probleme.

  • WebKit

    CVE-ID: CVE-2010-3820

    Disponibilitate pentru: iOS 2.0 - 4.1 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.1 pentru iPod touch (a 2-a generaţie) şi modele ulterioare, iOS 3.2 - 3.2.2 pentru iPad

    Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o problemă de accesare a memoriei neiniţializate la tratarea de către WebKit a elementelor editabile. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea tratării elementelor editabile. Mulţumim companiei Apple.

  • WebKit

    CVE-ID: CVE-2010-1789

    Disponibilitate pentru: iOS 2.0 - 4.1 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.1 pentru iPod touch (a 2-a generaţie) şi modele ulterioare, iOS 3.2 - 3.2.2 pentru iPad

    Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: există o depăşire a zonei-tampon a structurii de date la tratarea de către WebKit a obiectelor de tipul şir JavaScript. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată printr-o verificare îmbunătăţită a limitelor. Mulţumim companiei Apple.

  • WebKit

    CVE-ID: CVE-2010-1806

    Disponibilitate pentru: iOS 2.0 - 4.1 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.1 pentru iPod touch (a 2-a generaţie) şi modele ulterioare, iOS 3.2 - 3.2.2 pentru iPad

    Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: există o problemă „utilizare după eliberare” în tratarea de către WebKit a elementelor cu modelare preliminare. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea tratării pointerilor către obiecte. Mulţumim lui wushi (team509), în colaborare cu programul Zero Day Initiative (TippingPoint), pentru raportarea acestei probleme.

  • WebKit

    CVE-ID: CVE-2010-3257

    Disponibilitate pentru: iOS 2.0 - 4.1 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.1 pentru iPod touch (a 2-a generaţie) şi modele ulterioare, iOS 3.2 - 3.2.2 pentru iPad

    Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o problemă „utilizare după eliberare” la tratarea de către WebKit a focalizării elementelor. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea gestionării memoriei. Mulţumim VUPEN Vulnerability Research Team pentru raportarea acestei probleme.

  • WebKit

    CVE-ID: CVE-2010-3826

    Disponibilitate pentru: iOS 2.0 - 4.1 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.1 pentru iPod touch (a 2-a generaţie) şi modele ulterioare, iOS 3.2 - 3.2.2 pentru iPad

    Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o problemă de distribuţie nevalidă la tratarea de către WebKit a culorilor din documente SVG. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea tratării culorilor în documentele SVG. Mulţumim lui Abhishek Arya (Inferno) (Google Chrome Security Team) pentru raportarea acestei probleme.

  • WebKit

    CVE-ID: CVE-2010-1807

    Disponibilitate pentru: iOS 2.0 - 4.1 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.1 pentru iPod touch (a 2-a generaţie) şi modele ulterioare, iOS 3.2 - 3.2.2 pentru iPad

    Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: există o problemă la validarea intrării în tratarea de către WebKit a tipurilor de date cu virgulă mobilă. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea tratării valorilor cu virgulă mobilă. Mulţumim lui Luke Wagner (Mozilla) pentru raportarea acestei probleme.

  • WebKit

    CVE-ID: CVE-2010-3821

    Disponibilitate pentru: iOS 2.0 - 4.1 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.1 pentru iPod touch (a 2-a generaţie) şi modele ulterioare, iOS 3.2 - 3.2.2 pentru iPad

    Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o problemă de alterare a memoriei la tratarea de către WebKit a pseudoelementului ':first-letter' în foile de stiluri în cascadă. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea tratării pseudoelementului ':first-letter'. Mulţumim lui Cris Neckar şi Abhishek Arya (Inferno) (Google Chrome Security Team) pentru raportarea acestei probleme.

  • WebKit

    CVE-ID: CVE-2010-3804

    Disponibilitate pentru: iOS 2.0 - 4.1 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.1 pentru iPod touch (a 2-a generaţie) şi modele ulterioare, iOS 3.2 - 3.2.2 pentru iPad

    Impact: un site web putea urmări utilizatori pe ascuns

    Descriere: Safari generează numere aleatoare pentru aplicaţii JavaScript utilizând un algoritm predictibil. Acest lucru poate permite unui site web să urmărească o anumită sesiune Safari fără a utiliza cookie-uri, elemente de formular ascunse, adrese IP sau alte tehnici. Această actualizare rezolvă problema prin utilizarea unui generator de numere aleatoare mai puternic. Mulţumim lui Amit Klein (Trusteer) pentru raportarea acestei probleme.

  • WebKit

    CVE-ID: CVE-2010-3813

    Disponibilitate pentru: iOS 2.0 - 4.1 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.1 pentru iPod touch (a 2-a generaţie) şi modele ulterioare, iOS 3.2 - 3.2.2 pentru iPad

    Impact: WebKit poate efectua preîncărcări de nume DNS chiar dacă acestea sunt dezactivate

    Descriere: atunci când WebKit întâlneşte un HTML Link Element care solicită preîncărcare numelor DNS, va efectua operaţia chiar dacă preîncărcarea este dezactivată. Acest lucru poate cauza solicitări nedorite către servere la distanţă. Ca exemplu, expeditorul unui mesaj de e-mail formatat HTML putea utiliza acest lucru pentru a determina dacă mesajul a fost citit. Această problemă a fost rezolvată prin îmbunătăţirea tratării solicitărilor de preîncărcare a numelor DNS. Mulţumim lui Jeff Johnson (Rogue Amoeba Software) pentru raportarea acestei probleme.

  • WebKit

    CVE-ID: CVE-2010-3822

    Disponibilitate pentru: iOS 2.0 - 4.1 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.1 pentru iPod touch (a 2-a generaţie) şi modele ulterioare, iOS 3.2 - 3.2.2 pentru iPad

    Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o problemă de pointer neiniţializat la tratarea de către WebKit a stilurilor de contoare CSS. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea tratării stilurilor de contoare CSS. Mulţumim lui kizzcc pentru raportarea acestei probleme.

  • WebKit

    Disponibilitate pentru: iOS 2.0 - 4.1 pentru iPhone 3G şi modele ulterioare, iOS 2.1 - 4.1 pentru iPod touch (a 2-a generaţie) şi modele ulterioare, iOS 3.2 - 3.2.2 pentru iPad

    Impact: un site web rău intenţionat putea determina ce site-uri a accesat un utilizator

    Descriere: a existat o problemă de proiectare la tratarea de către WebKit a pseudoclasei CSS :visited. Un site web rău intenţionat putea determina ce site-uri a accesat un utilizator. Această actualizare limitează capacitatea site-urilor web de a-şi adapta paginile în funcţie de accesarea unor linkuri.

  • Componente multiple

    CVE-ID: CVE-2010-0051, CVE-2010-0544, CVE-2010-0042, CVE-2010-1384, CVE-2010-1387, CVE-2010-1392, CVE-2010-1394, CVE-2010-1403, CVE-2010-1405, CVE-2010-1407, CVE-2010-1408, CVE-2010-1410, CVE-2010-1414, CVE-2010-1415, CVE-2010-1416, CVE-2010-1417, CVE-2010-1418, CVE-2010-1421, CVE-2010-1422, CVE-2010-1757, CVE-2010-1758, CVE-2010-1764, CVE-2010-1770, CVE-2010-1771, CVE-2010-1780, CVE-2010-1781, CVE-2010-1782, CVE-2010-1783, CVE-2010-1784, CVE-2010-1785, CVE-2010-1786, CVE-2010-1787, CVE-2010-1788, CVE-2010-1791, CVE-2010-1793, CVE-2010-1811, CVE-2010-1812, CVE-2010-1813, CVE-2010-1814, CVE-2010-1815

    Disponibilitate pentru: iOS 3.2 - 3.2.2 pentru iPad

    Impact: remedieri de securitate multiple în iOS pentru iPad

    Descriere: această actualizare include remedieri de securitate care au fost furnizate pentru dispozitive iPhone şi iPod touch în iOS 4 şi iOS 4.1.

 

Informaţiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu îşi asumă nicio responsabilitate în ceea ce priveşte selectarea, funcţionarea sau utilizarea site-urilor web sau produselor de la terţi. Apple nu face niciun fel de declaraţii privind acurateţea sau fiabilitatea site-urilor web terţe. La utilizarea Internetului, riscurile sunt inerente. Contactează distribuitorul pentru informaţii suplimentare. Alte nume de companii şi produse pot fi mărci comerciale ale proprietarilor respectivi.

Data publicării: