În acest document este descris conţinutul de securitate din iOS 4.2.7 - Actualizare software, care poate fi descărcată şi instalată utilizându-se iTunes.
Pentru protecţia clienţilor noştri, Apple nu divulgă, nu discută şi nu confirmă problemele de securitate înainte de a face o investigaţie completă şi de a pune la dispoziţie corecţiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul Web Securitatea produselor Apple.
Pentru informaţii despre cheia PGP pentru securitatea produselor Apple, consultă „Utilizarea cheii PGP pentru securitatea produselor Apple”.
Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilităţi pentru mai multe informaţii.
Pentru a afla mai multe despre alte actualizări de securitate, consultă „Actualizările de securitate Apple”.
iOS 4.2.7 - Actualizare software pentru iPhone
-
Politica de încredere în certificate
Disponibilitate pentru: iOS 4.2.5 - 4.2.6 pentru iPhone 4 (CDMA)
Impact: un atacator cu o poziţie favorabilă în reţea poate intercepta datele de autentificare ale utilizatorilor sau alte informaţii confidenţiale
Descriere: au fost emise mai multe certificate SSL frauduloase de către o autoritate de înregistrare afiliată Comodo. Astfel, un atacator care utilizează atacuri de tip „man-in-the-middle” poate să redirecţioneze conexiunile şi să intercepteze datele de autentificare ale utilizatorilor sau alte informaţii confidenţiale. Această problemă a fost rezolvată prin introducerea în lista neagră a certificatelor frauduloase.
Notă: pentru sisteme Mac OS X, această problemă a fost rezolvată cu Actualizarea de securitate 2011-002. Pentru sisteme Windows, Safari se bazează pe depozitul de certificate al sistemului de operare gazdă pentru a determina dacă un certificat de server SSL este de încredere. Aplicarea actualizării descrise în Articolul 2524375 din Baza de cunoştinţe Microsoft va determina Safari să considere aceste certificate ca nefiind de încredere. Articolul este disponibil la http://support.microsoft.com/kb/2524375
-
QuickLook
Disponibilitate pentru: iOS 4.2.5 - 4.2.6 pentru iPhone 4 (CDMA)
Impact: vizualizarea unui fişier Microsoft Office creat cu rea intenţie poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar
Descriere: a existat o problemă de alterare a memoriei la tratarea de către QuickLook a fişierelor Microsoft Office. Vizualizarea unui fişier Microsoft Office creat cu rea intenţie poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar.
CVE-ID
CVE-2011-1417: Charlie Miller şi Dion Blazakis, în colaborare cu Zero Day Initiative (TippingPoint)
-
WebKit
Disponibilitate pentru: iOS 4.2.5 - 4.2.6 pentru iPhone 4 (CDMA)
Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar
Descriere: a existat o problemă de depăşire de valoare întreagă la tratarea seturilor de noduri. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar.
CVE-ID
CVE-2011-1290: Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp Weinmann şi un cercetător anonim care colaborează cu Zero Day Initiative (TippingPoint)
-
WebKit
Disponibilitate pentru: iOS 4.2.5 - 4.2.6 pentru iPhone 4 (CDMA)
Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar
Descriere: a existat o problemă „utilizare după eliberare” la tratarea nodurilor de text. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar.
CVE-ID
CVE-2011-1344: Vupen Security, în colaborare cu Zero Day Initiative (TippingPoint), şi Martin Barbella