Despre conţinutul de securitate din iOS 4.3.2 - Actualizare software

Acest document descrie conţinutul de securitate din iOS 4.3.2 - Actualizare software.

În acest document este descris conţinutul de securitate din iOS 4.3.2 - Actualizare software, care poate fi descărcată şi instalată utilizându-se iTunes.

Pentru protecţia clienţilor noştri, Apple nu divulgă, nu discută şi nu confirmă problemele de securitate înainte de a face o investigaţie completă şi de a pune la dispoziţie corecţiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul Web Securitatea produselor Apple.

Pentru informaţii despre cheia PGP pentru securitatea produselor Apple, consultă „Utilizarea cheii PGP pentru securitatea produselor Apple”.

Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilităţi pentru mai multe informaţii.

Pentru a afla mai multe despre alte actualizări de securitate, consultă „Actualizările de securitate Apple”.

iOS 4.3.2 - Actualizare software

  • Politica de încredere în certificate

    Disponibilitate pentru: iOS 3.0 - 4.3.1 pentru iPhone 3GS şi modele ulterioare, iOS 3.1 - 4.3.1 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 4.3.1 pentru iPad

    Impact: un atacator cu o poziţie favorabilă în reţea poate intercepta datele de autentificare ale utilizatorilor sau alte informaţii confidenţiale

    Descriere: au fost emise mai multe certificate SSL frauduloase de către o autoritate de înregistrare afiliată Comodo. Astfel, un atacator care utilizează atacuri de tip „man-in-the-middle” poate să redirecţioneze conexiunile şi să intercepteze datele de autentificare ale utilizatorilor sau alte informaţii confidenţiale. Această problemă a fost rezolvată prin introducerea în lista neagră a certificatelor frauduloase.

    Notă: pentru sisteme Mac OS X, această problemă a fost rezolvată cu Actualizarea de securitate 2011-002. Pentru sisteme Windows, Safari se bazează pe depozitul de certificate al sistemului de operare gazdă pentru a determina dacă un certificat de server SSL este de încredere. Aplicarea actualizării descrise în Articolul 2524375 din Baza de cunoştinţe Microsoft va determina Safari să considere aceste certificate ca nefiind de încredere. Articolul este disponibil la http://support.microsoft.com/kb/2524375

  • libxslt

    Disponibilitate pentru: iOS 3.0 - 4.3.1 pentru iPhone 3GS şi modele ulterioare, iOS 3.1 - 4.3.1 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 4.3.1 pentru iPad

    Impact: accesarea unui site web rău intenţionat poate cauza divulgarea adreselor dintr-o zonă-tampon de structură de date

    Descriere: implementarea de către libxslt a funcţiei XPath generate-id() XPath divulga adresa unei zone-tampon de structură de date. Accesarea unui site web rău intenţionat poate cauza divulgarea adreselor din zona-tampon de structură de date, care poate ajuta la ocolirea protecţiei prin randomizarea structurii spaţiului de adrese. Această problemă a fost rezolvată prin generarea unui ID în funcţie de diferenţa dintre adresele a două zone-tampon de structuri de date.

    CVE-ID

    CVE-2011-0195: Chris Evans (Google Chrome Security Team)

  • QuickLook

    Disponibilitate pentru: iOS 3.0 - 4.3.1 pentru iPhone 3GS şi modele ulterioare, iOS 3.1 - 4.3.1 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 4.3.1 pentru iPad

    Impact: vizualizarea unui fişier Microsoft Office creat cu rea intenţie poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o problemă de alterare a memoriei la tratarea de către QuickLook a fişierelor Microsoft Office. Vizualizarea unui fişier Microsoft Office creat cu rea intenţie poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar.

    CVE-ID

    CVE-2011-1417: Charlie Miller şi Dion Blazakis, în colaborare cu Zero Day Initiative (TippingPoint)

  • WebKit

    Disponibilitate pentru: iOS 3.0 - 4.3.1 pentru iPhone 3GS şi modele ulterioare, iOS 3.1 - 4.3.1 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 4.3.1 pentru iPad

    Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o problemă de depăşire de valoare întreagă la tratarea seturilor de noduri. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar.

    CVE-ID

    CVE-2011-1290: Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp Weinmann şi un cercetător anonim care colaborează cu Zero Day Initiative (TippingPoint)

  • WebKit

    Disponibilitate pentru: iOS 3.0 - 4.3.1 pentru iPhone 3GS şi modele ulterioare, iOS 3.1 - 4.3.1 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 4.3.1 pentru iPad

    Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o problemă „utilizare după eliberare” la tratarea nodurilor de text. Accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar.

    CVE-ID

    CVE-2011-1344: Vupen Security, în colaborare cu Zero Day Initiative (TippingPoint), şi Martin Barbella

Informaţiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu îşi asumă nicio responsabilitate în ceea ce priveşte selectarea, funcţionarea sau utilizarea site-urilor web sau produselor de la terţi. Apple nu face niciun fel de declaraţii privind acurateţea sau fiabilitatea site-urilor web terţe. La utilizarea Internetului, riscurile sunt inerente. Contactează distribuitorul pentru informaţii suplimentare. Alte nume de companii şi produse pot fi mărci comerciale ale proprietarilor respectivi.

Data publicării: