Despre conținutul în materie de securitate din iOS 5 – Actualizare software

În acest document este descris conținutul de securitate din iOS 5 – Actualizare software.

În acest document este descris conținutul de securitate din iOS 5 – Actualizare software, care poate fi descărcată și instalată utilizându-se iTunes.

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate înainte de a face o investigație completă și de a pune la dispoziție corecțiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul web Securitatea produselor Apple.

Pentru informații despre cheia PGP pentru securitatea produselor Apple, consultă „Utilizarea cheii PGP pentru securitatea produselor Apple”.

Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilități pentru mai multe informații.

Pentru a afla mai multe despre alte actualizări de securitate, consultă „Actualizările de securitate Apple”.

iOS 5 – Actualizare software

  • CalDAV

    Disponibilitate pentru: iOS 3.0 – 4.3.5 pentru iPhone 3GS și iPhone 4, iOS 3.1 – 4.3.5 pentru iPod touch (a 3-a generație) și modele ulterioare, iOS 3.2 – 4.3.5 pentru iPad

    Impact: un atacator cu o poziție favorabilă în rețea poate intercepta datele de autentificare ale utilizatorilor sau alte informații confidențiale de la un server de calendar CalDAV

    Descriere: CalDAV nu a verificat dacă certificatul SSL prezentat de server era de încredere.

    CVE-ID

    CVE-2011-3253: Leszek Tasiemski (nSense)

  • Calendar

    Disponibilitate pentru: iOS 4.2.0 – 4.3.5 pentru iPhone 3GS și iPhone 4, iOS 4.2.0 – 4.3.5 pentru iPod touch (a 3-a generație) și modele ulterioare, iOS 4.2.0 – 4.3.5 pentru iPad

    Impact: vizualizarea unei invitații la calendar create cu rea intenție putea injecta un script în domeniul local

    Descriere: a existat o problemă de injectare a unui script în tratarea de către aplicația Calendar a notelor de invitații. Această problemă a fost rezolvată prin îmbunătățirea tratării ca secvențe Escape a caracterelor speciale din notele de invitații. Această problemă nu afectează sistemele anterioare iOS 4.2.0.

    CVE-ID

    CVE-2011-3254: Rick Deacon

  • CFNetwork

    Disponibilitate pentru: iOS 3.0 – 4.3.5 pentru iPhone 3GS și iPhone 4, iOS 3.1 – 4.3.5 pentru iPod touch (a 3-a generație) și modele ulterioare, iOS 3.2 – 4.3.5 pentru iPad

    Impact: este posibilă înregistrarea parolei ID-ului Apple al unui utilizator într-un fișier local

    Descriere: se înregistrau numele de utilizator și parola ID-ului Apple al unui utilizator într-un fișier cu posibilitate de citire de către aplicații din sistem. Această problemă a fost rezolvată prin anularea înregistrării acestor acreditări.

    CVE-ID

    CVE-2011-3255: Peter Quade (qdevelop)

  • CFNetwork

    Disponibilitate pentru: iOS 3.0 – 4.3.5 pentru iPhone 3GS și iPhone 4, iOS 3.1 – 4.3.5 pentru iPod touch (a 3-a generație) și modele ulterioare, iOS 3.2 – 4.3.5 pentru iPad

    Impact: vizitarea unui site web creat cu rea intenție poate conduce la divulgarea unor informații confidențiale

    Descriere: a existat o problemă la tratarea de către CFNetwork a cookie-urilor HTTP. La accesarea unui URL HTTP sau HTTPS creat cu rea intenție, CFNetwork putea trimite incorect cookie-urile pentru un domeniu unui server din afara domeniului.

    CVE-ID

    CVE-2011-3246: Erling Ellingsen (Facebook)

  • CoreFoundation

    Disponibilitate pentru: iOS 3.0 – 4.3.5 pentru iPhone 3GS și iPhone 4, iOS 3.1 – 4.3.5 pentru iPod touch (a 3-a generație) și modele ulterioare, iOS 3.2 – 4.3.5 pentru iPad

    Impact: vizualizarea unui site web sau mesaj de e-mail creat cu rea intenție poate cauza terminarea neașteptată a aplicației sau executarea unui cod arbitrar

    Descriere: a existat o problemă de alterare a memoriei la tratarea de către CoreFoundation a tokenizării șirurilor.

    CVE-ID

    CVE-2011-0259: Apple

  • CoreGraphics

    Disponibilitate pentru: iOS 3.0 – 4.3.5 pentru iPhone 3GS și iPhone 4, iOS 3.1 – 4.3.5 pentru iPod touch (a 3-a generație) și modele ulterioare, iOS 3.2 – 4.3.5 pentru iPad

    Impact: vizualizarea unui document cu fonturi modificate cu rea intenție poate cauza executarea unui cod arbitrar

    Descriere: au existat probleme multiple de alterare a memoriei în FreeType, cea mai gravă putând cauza executarea unui cod arbitrar la procesarea unui font creat cu rea intenție.

    CVE-ID

    CVE-2011-3256: Apple

  • CoreMedia

    Disponibilitate pentru: iOS 3.0 – 4.3.5 pentru iPhone 3GS și iPhone 4, iOS 3.1 – 4.3.5 pentru iPod touch (a 3-a generație) și modele ulterioare, iOS 3.2 – 4.3.5 pentru iPad

    Impact: accesarea unui site web rău intenționat poate cauza divulgarea de date video din alt site

    Descriere: a existat o problemă de origine încrucișată în tratarea de către CoreMedia a redirectărilor între site-uri. Această problemă a fost rezolvată printr-o urmărire îmbunătățită a originii.

    CVE-ID

    CVE-2011-0187: Nirankush Panchbhai și Microsoft Vulnerability Research (MSVR)

  • Acces la date

    Disponibilitate pentru: iOS 3.0 – 4.3.5 pentru iPhone 3GS și iPhone 4, iOS 3.1 – 4.3.5 pentru iPod touch (a 3-a generație) și modele ulterioare, iOS 3.2 – 4.3.5 pentru iPad

    Impact: o problemă de gestionare a cookie-urilor de schimb de mesaje de e-mail putea cauza incorect sincronizarea datelor între conturi diferite

    Descriere: atunci când sunt configurate conturi multiple de schimb de mesaje de e-mail cu conectare la același server, o sesiune putea primi un cookie valid corespunzător altui cont. Această problemă a fost rezolvată prin asigurarea separării cookie-urilor între conturi diferite.

    CVE-ID

    CVE-2011-3257: Bob Sielken (IBM)

  • Securitatea datelor

    Disponibilitate pentru: iOS 3.0 – 4.3.5 pentru iPhone 3GS și iPhone 4, iOS 3.1 – 4.3.5 pentru iPod touch (a 3-a generație) și modele ulterioare, iOS 3.2 – 4.3.5 pentru iPad

    Impact: un atacator cu o poziție privilegiată în rețea poate intercepta datele de autentificare ale utilizatorilor sau alte informații confidențiale

    Descriere: au fost emise certificate frauduloase de mai multe autorități de certificare operate de DigiNotar. Această problemă a fost rezolvată prin eliminarea DigiNotar din lista de certificate-rădăcină de încredere și din lista de autorități de certificare Extended Validation (EV), precum și prin configurarea setărilor de sistem implicite privind nivelul de încredere astfel încât certificatele DigiNotar, inclusiv cele emise de alte autorități, să nu fie considerate de încredere.

  • Securitatea datelor

    Disponibilitate pentru: iOS 3.0 – 4.3.5 pentru iPhone 3GS și iPhone 4, iOS 3.1 – 4.3.5 pentru iPod touch (a 3-a generație) și modele ulterioare, iOS 3.2 – 4.3.5 pentru iPad

    Impact: suportul pentru certificate X.509 cu coduri hash MD5 poate expune utilizatorii la falsificarea și divulgarea de informații pe măsură ce atacurile evoluează

    Descriere: certificatele semnate utilizându-se algoritmul de combinare (hashing) MD5 erau acceptate de iOS. Acest algoritm are slăbiciuni criptografice cunoscute. Cercetări suplimentare sau o autoritate de certificare configurată greșit ar fi permis crearea de certificate X.509 cu valori controlate de atacatori care ar fi fost considerate de încredere de către sistem. Acest lucru ar fi expus protocoalele bazate pe X.509 la falsificare, atacuri de tipul „man in the middle” și divulgarea de informații. Această actualizare dezactivează suportul pentru un certificat X.509 certificate cu coduri hash MD5 pentru orice altă utilizare decât cea de certificat-rădăcină de încredere.

    CVE-ID

    CVE-2011-3427

  • Securitatea datelor

    Disponibilitate pentru: iOS 3.0 – 4.3.5 pentru iPhone 3GS și iPhone 4, iOS 3.1 – 4.3.5 pentru iPod touch (a 3-a generație) și modele ulterioare, iOS 3.2 – 4.3.5 pentru iPad

    Impact: un atacator putea decripta parțial o conexiune SSL

    Descriere: erau acceptate numai versiunile SSLv3 și TLS 1.0 de protocol SSL. Aceste versiuni fac obiectul unei slăbiciuni a protocolului la utilizarea de cifruri de bloc. Un atacator de tipul „man in the middle” putea injecta date nevalide, cauzând închiderea conexiunii și dezvăluirea unor informații despre datele anterioare. Dacă aceeași conexiune era încercată în mod repetat, atacatorul putea, în final, să decripteze datele trimise, de exemplu parole. Această problemă a fost rezolvată prin adăugarea de suport pentru TLS 1.2.

    CVE-ID

    CVE-2011-3389

  • Ecranul principal

    Disponibilitate pentru: iOS 3.0 – 4.3.5 pentru iPhone 3GS și iPhone 4, iOS 3.1 – 4.3.5 pentru iPod touch (a 3-a generație) și modele ulterioare, iOS 3.2 – 4.3.5 pentru iPad

    Impact: comutarea între aplicații putea cauza divulgarea de informații sensibile din aplicații

    Descriere: la comutarea între aplicații cu gestul de comutare între aplicații cu patru degete, era posibil să se afișeze starea anterioară a aplicației. Această problemă a fost rezolvată prin asigurarea apelării corecte a metodei applicationWillResignActive: la tranziția între aplicații.

    CVE-ID

    CVE-2011-3431: Abe White (Hedonic Software Inc.)

  • ImageIO

    Disponibilitate pentru: iOS 3.0 – 4.3.5 pentru iPhone 3GS și iPhone 4, iOS 3.1 – 4.3.5 pentru iPod touch (a 3-a generație) și modele ulterioare, iOS 3.2 – 4.3.5 pentru iPad

    Impact: vizualizarea unei imagini TIFF create cu rea intenție poate cauza terminarea neașteptată a aplicației sau executarea unui cod arbitrar

    Descriere: s-a produs o depășire a memoriei tampon la tratarea de către libTIFF a imaginilor TIFF codificate CCITT Group 4.

    CVE-ID

    CVE-2011-0192: Apple

  • ImageIO

    Disponibilitate pentru: iOS 3.0 – 4.3.5 pentru iPhone 3GS și iPhone 4, iOS 3.1 – 4.3.5 pentru iPod touch (a 3-a generație) și modele ulterioare, iOS 3.2 – 4.3.5 pentru iPad

    Impact: vizualizarea unei imagini TIFF create cu rea intenție poate duce la închiderea neașteptată a aplicației sau la executarea unui cod arbitrar

    Descriere: s-a produs o depășire a memoriei-tampon a structurii de date la tratarea de către ImageIO a imaginilor TIFF codificate CCITT Group 4.

    CVE-ID

    CVE-2011-0241: Cyril CATTIAUX (Tessi Technologies)

  • Componentele internaționale pentru Unicode

    Disponibilitate pentru: iOS 3.0 – 4.3.5 pentru iPhone 3GS și iPhone 4, iOS 3.1 – 4.3.5 pentru iPod touch (a 3-a generație) și modele ulterioare, iOS 3.2 – 4.3.5 pentru iPad

    Impact: aplicațiile care utilizează ICU pot fi vulnerabile în fața unei închideri neașteptate sau a executării unui cod arbitrar

    Descriere: a existat o problemă de depășire a zonei-tampon la generarea de către ICU a cheilor de colaționare pentru șirurile lungi compuse mai ales din majuscule.

    CVE-ID

    CVE-2011-0206: David Bienvenu (Mozilla)

  • Kernel

    Disponibilitate pentru: iOS 3.0 – 4.3.5 pentru iPhone 3GS și iPhone 4, iOS 3.1 – 4.3.5 pentru iPod touch (a 3-a generație) și modele ulterioare, iOS 3.2 – 4.3.5 pentru iPad

    Impact: un atacator la distanță poate cauza o resetare a dispozitivului

    Descriere: nucleul nu reușea să revendice prompt memorie de la conectările TCP incomplete. Un atacator cu posibilitate de conectare la un serviciu de ascultare pe un dispozitiv iOS putea epuiza resursele sistemului.

    CVE-ID

    CVE-2011-3259: Wouter van der Veer (Topicus I&I) și Josh Enders

  • Kernel

    Disponibilitate pentru: iOS 3.0 – 4.3.5 pentru iPhone 3GS și iPhone 4, iOS 3.1 – 4.3.5 pentru iPod touch (a 3-a generație) și modele ulterioare, iOS 3.2 – 4.3.5 pentru iPad

    Impact: un utilizator local poate cauza o resetare a sistemului

    Descriere: a existat o problemă de indirectare NULL la tratarea de către IPv6 a opțiunilor de socket.

    CVE-ID

    CVE-2011-1132: Thomas Clement (Intego)

  • Tastaturi

    Disponibilitate pentru: iOS 3.0 – 4.3.5 pentru iPhone 3GS și iPhone 4, iOS 3.1 – 4.3.5 pentru iPod touch (a 3-a generație) și modele ulterioare, iOS 3.2 – 4.3.5 pentru iPad

    Impact: un utilizator poate afla informații despre ultimul caracter al unei parole

    Descriere: tastatura utilizată pentru tastarea ultimului caracter al unei parole se afișa pentru scurt timp la următoarea utilizare a tastaturii.

    CVE-ID

    CVE-2011-3245: Paul Mousdicas

  • libxml

    Disponibilitate pentru: iOS 3.0 – 4.3.5 pentru iPhone 3GS și iPhone 4, iOS 3.1 – 4.3.5 pentru iPod touch (a 3-a generație) și modele ulterioare, iOS 3.2 – 4.3.5 pentru iPad

    Impact: accesarea unui site rău intenționat poate duce la închiderea neașteptată a aplicației sau la executarea unui cod aleatoriu

    Descriere: a existat o problemă de depășire a zonei-tampon cu un byte la tratarea de către libxml a datelor XML.

    CVE-ID

    CVE-2011-0216: Billy Rios (Google Security Team)

  • OfficeImport

    Disponibilitate pentru: iOS 3.0 – 4.3.5 pentru iPhone 3GS și iPhone 4, iOS 3.1 – 4.3.5 pentru iPod touch (a 3-a generație) și modele ulterioare, iOS 3.2 – 4.3.5 pentru iPad

    Impact: vizualizarea unui fișier Word creat cu rea intenție poate cauza terminarea neașteptată a aplicației sau executarea unui cod arbitrar

    Descriere: a existat o depășire a tamponului de stivă la tratarea de către OfficeImport a documentelor Microsoft Word.

    CVE-ID

    CVE-2011-3260: Tobias Klein, în colaborare cu Verisign iDefense Labs

  • OfficeImport

    Disponibilitate pentru: iOS 3.0 – 4.3.5 pentru iPhone 3GS și iPhone 4, iOS 3.1 – 4.3.5 pentru iPod touch (a 3-a generație) și modele ulterioare, iOS 3.2 – 4.3.5 pentru iPad

    Impact: vizualizarea unui fișier Excel creat cu rea intenție poate cauza terminarea neașteptată a aplicației sau executarea unui cod arbitrar

    Descriere: a existat o problemă de tipul „double free” la tratarea de către OfficeImport a fișierelor Excel.

    CVE-ID

    CVE-2011-3261: Tobias Klein (www.trapkit.de)

  • OfficeImport

    Disponibilitate pentru: iOS 3.0 – 4.3.5 pentru iPhone 3GS și iPhone 4, iOS 3.1 – 4.3.5 pentru iPod touch (a 3-a generație) și modele ulterioare, iOS 3.2 – 4.3.5 pentru iPad

    Impact: vizualizarea unui fișier Microsoft Office creat cu rea intenție poate cauza terminarea neașteptată a aplicației sau executarea unui cod arbitrar

    Descriere: a existat o problemă de alterare a memoriei la tratarea de către OfficeImport a fișierelor Microsoft Office.

    CVE-ID

    CVE-2011-0208: Tobias Klein, în colaborare cu iDefense VCP

  • OfficeImport

    Disponibilitate pentru: iOS 3.0 – 4.3.5 pentru iPhone 3GS și iPhone 4, iOS 3.1 – 4.3.5 pentru iPod touch (a 3-a generație) și modele ulterioare, iOS 3.2 – 4.3.5 pentru iPad

    Impact: descărcarea unui fișier Excel creat cu rea intenție poate cauza terminarea neașteptată a aplicației sau executarea unui cod arbitrar

    Descriere: a existat o problemă de alterare a memoriei la tratarea de către OfficeImport a fișierelor Excel.

    CVE-ID

    CVE-2011-0184: Tobias Klein, în colaborare cu iDefense VCP

  • Safari

    Disponibilitate pentru: iOS 3.0 – 4.3.5 pentru iPhone 3GS și iPhone 4, iOS 3.1 – 4.3.5 pentru iPod touch (a 3-a generație) și modele ulterioare, iOS 3.2 – 4.3.5 pentru iPad

    Impact: deschiderea unor fișiere create cu rea intenție din anumite site-uri web putea cauza un atac asupra scripturilor de pe mai multe site-uri

    Descriere: iOS nu accepta valoarea 'attachment' pentru antetul HTTP Content-Disposition. Acest antet este utilizat de numeroase site-uri web pentru a servi fișiere încărcate în site de către un terț, de exemplu atașări din aplicații de e-mail bazate pe web. Orice script din fișierele servite cu această valoare a antetului se execută ca și cum fișierul ar fi fost servit inline cu acces complet la alte resurse de pe serverul de origine. Această problemă a fost rezolvată prin încărcarea atașărilor într-o origine de securitate izolată fără acces la resurse din alte site-uri.

    CVE-ID

    CVE-2011-3426: Christian Matthies, în colaborare cu iDefense VCP, și Yoshinori Oota (Business Architects Inc.), în colaborare cu JP/CERT

  • Configurări

    Disponibilitate pentru: iOS 3.0 – 4.3.5 pentru iPhone 3GS și iPhone 4, iOS 3.1 – 4.3.5 pentru iPod touch (a 3-a generație) și modele ulterioare, iOS 3.2 – 4.3.5 pentru iPad

    Impact: un atacator cu acces fizic la un dispozitiv putea recupera codul de acces pentru restricții

    Descriere: funcționalitatea de restricții parentale impune restricțiile IU. Configurarea restricțiilor parentale este protejată de un cod de acces, care, anterior, era stocat ca text simplu pe disc. Această problemă a fost rezolvată prin stocarea securizată a codului de acces pentru restricții parentale în portcheiul sistemului.

    CVE-ID

    CVE-2011-3429: un raportor anonim

  • Configurări

    Disponibilitate pentru: iOS 3.0 – 4.3.5 pentru iPhone 3GS și iPhone 4, iOS 3.1 – 4.3.5 pentru iPod touch (a 3-a generație) și modele ulterioare, iOS 3.2 – 4.3.5 pentru iPad

    Impact: interfață cu utilizatorul (IU) derutantă

    Descriere: configurările și setările aplicate prin intermediul profilurilor de configurare nu păreau să funcționeze corect în nicio altă limbă decât engleză. În consecință, setările putea fi afișate incorect. Această problemă a fost rezolvată prin remedierea unei erori de localizare.

    CVE-ID

    CVE-2011-3430: Florian Kreitmaier (Siemens CERT)

  • Alerte UIKit

    Disponibilitate pentru: iOS 3.0 – 4.3.5 pentru iPhone 3GS și iPhone 4, iOS 3.1 – 4.3.5 pentru iPod touch (a 3-a generație) și modele ulterioare, iOS 3.2 – 4.3.5 pentru iPad

    Impact: accesarea unui site web rău intenționat putea cauza o blocare neașteptată a dispozitivului

    Descriere: o lungime maximă excesivă a aspectului textului permitea site-urilor web rău intenționate să blocheze software-ul iOS la afișarea dialogurilor de acceptare pentru identificatori URI tel: foarte lungi. Această problemă a fost rezolvată prin utilizarea unei dimensiuni maxime mai rezonabile a identificatorului URI.

    CVE-ID

    CVE-2011-3432: Simon Young (Anglia Ruskin University)

  • WebKit

    Disponibilitate pentru: iOS 3.0 – 4.3.5 pentru iPhone 3GS și iPhone 4, iOS 3.1 – 4.3.5 pentru iPod touch (a 3-a generație) și modele ulterioare, iOS 3.2 – 4.3.5 pentru iPad

    Impact: accesarea unui site rău intenționat poate duce la închiderea neașteptată a aplicației sau la executarea unui cod aleatoriu

    Descriere: în WebKit erau mai multe probleme de corupere a memoriei.

    CVE-ID

    CVE-2011-0218: SkyLined (Google Chrome Security Team)

    CVE-2011-0221: Abhishek Arya (Inferno) din echipa de securitate Google Chrome

    CVE-2011-0222: Nikita Tarakanov și Alex Bazhanyuk (CISS Research Team) și Abhishek Arya (Inferno) (Google Chrome Security Team)

    CVE-2011-0225: Abhishek Arya (Inferno) din echipa de securitate Google Chrome

    CVE-2011-0232: J23, în colaborare cu Zero Day Initiative (TippingPoint)

    CVE-2011-0233: wushi (team509), în colaborare cu Zero Day Initiative (TippingPoint)

    CVE-2011-0234: Rob King, în colaborare cu Zero Day Initiative (TippingPoint), și wushi (team509), în colaborare cu Zero Day Initiative (TippingPoint)

    CVE-2011-0235: Abhishek Arya (Inferno) (Google Chrome Security Team)

    CVE-2011-0238: Adam Barth (Google Chrome Security Team)

    CVE-2011-0254: un cercetător anonim, în colaborare cu Zero Day Initiative (TippingPoint)

    CVE-2011-0255: un raportor anonim, în colaborare cu Zero Day Initiative (TippingPoint)

    CVE-2011-0981: Rik Cabanier (Adobe Systems Inc.)

    CVE-2011-0983: Martin Barbella

    CVE-2011-1109: Sergey Glazunov

    CVE-2011-1114: Martin Barbella

    CVE-2011-1115: Martin Barbella

    CVE-2011-1117: wushi (team509)

    CVE-2011-1121: miaubiz

    CVE-2011-1188: Martin Barbella

    CVE-2011-1203: Sergey Glazunov

    CVE-2011-1204: Sergey Glazunov

    CVE-2011-1288: Andreas Kling (Nokia)

    CVE-2011-1293: Sergey Glazunov

    CVE-2011-1296: Sergey Glazunov

    CVE-2011-1449: Marek Majkowski

    CVE-2011-1451: Sergey Glazunov

    CVE-2011-1453: wushi (team509), în colaborare cu Zero Day Initiative (TippingPoint)

    CVE-2011-1457: John Knottenbelt (Google)

    CVE-2011-1462: wushi (team509)

    CVE-2011-1797: wushi (team509)

    CVE-2011-2338: Abhishek Arya (Inferno) (Google Chrome Security Team utilizând AddressSanitizer)

    CVE-2011-2339: Cris Neckar (Google Chrome Security Team)

    CVE-2011-2341: wushi (team509), în colaborare cu Verisign iDefense Labs

    CVE-2011-2351: miaubiz

    CVE-2011-2352: Apple

    CVE-2011-2354: Apple

    CVE-2011-2356: Adam Barth și Abhishek Arya (Google Chrome Security Team utilizând AddressSanitizer)

    CVE-2011-2359: miaubiz

    CVE-2011-2788: Mikolaj Malecki (Samsung)

    CVE-2011-2790: miaubiz

    CVE-2011-2792: miaubiz

    CVE-2011-2797: miaubiz

    CVE-2011-2799: miaubiz

    CVE-2011-2809: Abhishek Arya (Inferno) (Google Chrome Security Team)

    CVE-2011-2813: Cris Neckar (Google Chrome Security Team utilizând AddressSanitizer)

    CVE-2011-2814: Abhishek Arya (Inferno) (Google Chrome Security Team utilizând AddressSanitizer)

    CVE-2011-2816: Apple

    CVE-2011-2817: Abhishek Arya (Inferno) (Google Chrome Security Team utilizând AddressSanitizer)

    CVE-2011-2818: Martin Barbella

    CVE-2011-2820: Raman Tenneti și Philip Rogers (Google)

    CVE-2011-2823: SkyLined (Google Chrome Security Team)

    CVE-2011-2827: miaubiz

    CVE-2011-2831: Abhishek Arya (Inferno) (Google Chrome Security Team utilizând AddressSanitizer)

    CVE-2011-3232: Aki Helin (OUSPG)

    CVE-2011-3234: miaubiz

    CVE-2011-3235: Dimitri Glazkov, Kent Tamura, Dominic Cooney (Chromium Development Community) și Abhishek Arya (Inferno) (Google Chrome Security Team)

    CVE-2011-3236: Abhishek Arya (Inferno) (Google Chrome Security Team utilizând AddressSanitizer)

    CVE-2011-3237: Dimitri Glazkov, Kent Tamura, Dominic Cooney (Chromium Development Community) și Abhishek Arya (Inferno) (Google Chrome Security Team)

    CVE-2011-3244: vkouchna

  • WebKit

    Disponibilitate pentru: iOS 3.0 – 4.3.5 pentru iPhone 3GS și iPhone 4, iOS 3.1 – 4.3.5 pentru iPod touch (a 3-a generație) și modele ulterioare, iOS 3.2 – 4.3.5 pentru iPad

    Impact: accesarea unui site web creat cu rea intenție poate declanșa un atac asupra scripturilor de pe mai multe site-uri

    Descriere: a existat o problemă de origine încrucișată la tratarea URL-urilor cu nume de utilizator încorporat. Această problemă a fost rezolvată prin tratarea îmbunătățită a URL-urilor cu nume de utilizator încorporat.

    CVE-ID

    CVE-2011-0242: Jobert Abma (Online24)

  • WebKit

    Disponibilitate pentru: iOS 3.0 – 4.3.5 pentru iPhone 3GS și iPhone 4, iOS 3.1 – 4.3.5 pentru iPod touch (a 3-a generație) și modele ulterioare, iOS 3.2 – 4.3.5 pentru iPad

    Impact: accesarea unui site web creat cu rea intenție poate declanșa un atac asupra scripturilor de pe mai multe site-uri

    Descriere: a existat o problemă de origine încrucișată la tratarea nodurilor DOM.

    CVE-ID

    CVE-2011-1295: Sergey Glazunov

  • WebKit

    Disponibilitate pentru: iOS 3.0 – 4.3.5 pentru iPhone 3GS și iPhone 4, iOS 3.1 – 4.3.5 pentru iPod touch (a 3-a generație) și modele ulterioare, iOS 3.2 – 4.3.5 pentru iPad

    Impact: un site web rău intenționat poate cauza afișarea altui URL în bara de adrese

    Descriere: a existat o problemă de falsificare a URL-ului la tratarea obiectului de istoric DOM.

    CVE-ID

    CVE-2011-1107: Jordi Chancel

  • WebKit

    Disponibilitate pentru: iOS 3.0 – 4.3.5 pentru iPhone 3GS și iPhone 4, iOS 3.1 – 4.3.5 pentru iPod touch (a 3-a generație) și modele ulterioare, iOS 3.2 – 4.3.5 pentru iPad

    Impact: accesarea unui site rău intenționat poate cauza executarea unui cod arbitrar

    Descriere: a existat o problemă de configurare la utilizarea libxslt de către WebKit. Accesarea unui site web rău intenționat putea cauza crearea de fișiere arbitrare cu privilegiile utilizatorului, fapt care putea cauza executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătățirea setărilor de securitate libxslt.

    CVE-ID

    CVE-2011-1774: Nicolas Gregoire (Agarri)

  • WebKit

    Disponibilitate pentru: iOS 3.0 – 4.3.5 pentru iPhone 3GS și iPhone 4, iOS 3.1 – 4.3.5 pentru iPod touch (a 3-a generație) și modele ulterioare, iOS 3.2 – 4.3.5 pentru iPad

    Impact: accesarea unui site web rău intenționat și glisarea de conținut în pagină putea cauza divulgarea de informații

    Descriere: a existat o problemă de origine încrucișată la tratarea de către WebKit a funcționalității de glisare și fixare HTML5. Această problemă a fost rezolvată prin nepermiterea glisării și fixării între origini diferite.

    CVE-ID

    CVE-2011-0166: Michal Zalewski (Google Inc.)

  • WebKit

    Disponibilitate pentru: iOS 3.0 – 4.3.5 pentru iPhone 3GS și iPhone 4, iOS 3.1 – 4.3.5 pentru iPod touch (a 3-a generație) și modele ulterioare, iOS 3.2 – 4.3.5 pentru iPad

    Impact: vizitarea unui site Web creat cu rea intenție poate duce la divulgarea de informații

    Descriere: a existat o problemă de origine încrucișată la tratarea scripturilor Web Worker.

    CVE-ID

    CVE-2011-1190: Daniel Divricean (divricean.ro)

  • WebKit

    Disponibilitate pentru: iOS 3.0 – 4.3.5 pentru iPhone 3GS și iPhone 4, iOS 3.1 – 4.3.5 pentru iPod touch (a 3-a generație) și modele ulterioare, iOS 3.2 – 4.3.5 pentru iPad

    Impact: accesarea unui site web creat cu rea intenție poate declanșa un atac asupra scripturilor de pe mai multe site-uri

    Descriere: a existat o problemă de origine încrucișată la tratarea metodei window.open.

    CVE-ID

    CVE-2011-2805: Sergey Glazunov

  • WebKit

    Disponibilitate pentru: iOS 3.0 – 4.3.5 pentru iPhone 3GS și iPhone 4, iOS 3.1 – 4.3.5 pentru iPod touch (a 3-a generație) și modele ulterioare, iOS 3.2 – 4.3.5 pentru iPad

    Impact: accesarea unui site web creat cu rea intenție poate declanșa un atac asupra scripturilor de pe mai multe site-uri

    Descriere: a existat o problemă de origine încrucișată la tratarea ferestrelor DOM inactive.

    CVE-ID

    CVE-2011-3243: Sergey Glazunov

  • WebKit

    Disponibilitate pentru: iOS 3.0 – 4.3.5 pentru iPhone 3GS și iPhone 4, iOS 3.1 – 4.3.5 pentru iPod touch (a 3-a generație) și modele ulterioare, iOS 3.2 – 4.3.5 pentru iPad

    Impact: accesarea unui site web creat cu rea intenție poate declanșa un atac asupra scripturilor de pe mai multe site-uri

    Descriere: a existat o problemă de origine încrucișată la tratarea proprietății document.documentURI.

    CVE-ID

    CVE-2011-2819: Sergey Glazunov

  • WebKit

    Disponibilitate pentru: iOS 3.0 – 4.3.5 pentru iPhone 3GS și iPhone 4, iOS 3.1 – 4.3.5 pentru iPod touch (a 3-a generație) și modele ulterioare, iOS 3.2 – 4.3.5 pentru iPad

    Impact: un site web rău intenționat poate urmări URL-urile accesate de un utilizator din interiorul unui cadru

    Descriere: a existat o problemă de origine încrucișată la tratarea evenimentului beforeload.

    CVE-ID

    CVE-2011-2800: Juho Nurminen

  • Wi-Fi

    Disponibilitate pentru: iOS 3.0 – 4.3.5 pentru iPhone 3GS și iPhone 4, iOS 3.1 – 4.3.5 pentru iPod touch (a 3-a generație) și modele ulterioare, iOS 3.2 – 4.3.5 pentru iPad

    Impact: acreditările Wi-Fi ar putea fi înregistrate într-un fișier local

    Descriere: acreditările Wi-Fi, inclusiv fraza de acces și cheile de criptare, erau înregistrate într-un fișier cu posibilitate de citire de către aplicațiile din sistem. Această problemă a fost rezolvată prin anularea înregistrării acestor acreditări.

    CVE-ID

    CVE-2011-3434: Laurent OUDOT (TEHTRI Security)

 

Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.

Data publicării: