Despre conţinutul în materie de securitate din iOS 5 - Actualizare software

În acest document este descris conţinutul de securitate din iOS 5 - Actualizare software.

În acest document este descris conţinutul de securitate din iOS 5 - Actualizare software, care poate fi descărcată şi instalată utilizându-se iTunes.

Pentru protecţia clienţilor noştri, Apple nu divulgă, nu discută şi nu confirmă problemele de securitate înainte de a face o investigaţie completă şi de a pune la dispoziţie corecţiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul Web Securitatea produselor Apple.

Pentru informaţii despre cheia PGP pentru securitatea produselor Apple, consultă „Utilizarea cheii PGP pentru securitatea produselor Apple”.

Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilităţi pentru mai multe informaţii.

Pentru a afla mai multe despre alte actualizări de securitate, consultă „Actualizările de securitate Apple”.

iOS 5 - Actualizare software

  • CalDAV

    Disponibilitate pentru: iOS 3.0 - 4.3.5 pentru iPhone 3GS şi iPhone 4, iOS 3.1 - 4.3.5 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 4.3.5 pentru iPad

    Impact: un atacator cu o poziţie favorabilă în reţea poate intercepta datele de autentificare ale utilizatorilor sau alte informaţii confidenţiale de la un server de calendar CalDAV

    Descriere: CalDAV nu a verificat dacă certificatul SSL prezentat de server era de încredere.

    CVE-ID

    CVE-2011-3253: Leszek Tasiemski (nSense)

  • Calendar

    Disponibilitate pentru: iOS 4.2.0 - 4.3.5 pentru iPhone 3GS şi iPhone 4, iOS 4.2.0 - 4.3.5 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 4.2.0 - 4.3.5 pentru iPad

    Impact: vizualizarea unei invitaţii la calendar create cu rea intenţie putea injecta un script în domeniul local

    Descriere: a existat o problemă de injectare a unui script în tratarea de către aplicaţia Calendar a notelor de invitaţii. Această problemă a fost rezolvată prin îmbunătăţirea tratării ca secvenţe Escape a caracterelor speciale din notele de invitaţii. Această problemă nu afectează sistemele anterioare iOS 4.2.0.

    CVE-ID

    CVE-2011-3254: Rick Deacon

  • CFNetwork

    Disponibilitate pentru: iOS 3.0 - 4.3.5 pentru iPhone 3GS şi iPhone 4, iOS 3.1 - 4.3.5 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 4.3.5 pentru iPad

    Impact: este posibilă înregistrarea parolei ID-ului Apple al unui utilizator într-un fişier local

    Descriere: se înregistrau numele de utilizator şi parola ID-ului Apple al unui utilizator într-un fişier cu posibilitate de citire de către aplicaţii din sistem. Această problemă a fost rezolvată prin anularea înregistrării acestor acreditări.

    CVE-ID

    CVE-2011-3255: Peter Quade (qdevelop)

  • CFNetwork

    Disponibilitate pentru: iOS 3.0 - 4.3.5 pentru iPhone 3GS şi iPhone 4, iOS 3.1 - 4.3.5 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 4.3.5 pentru iPad

    Impact: accesarea unui site web rău intenţionat poate cauza divulgarea de informaţii sensibile

    Descriere: a existat o problemă la tratarea de către CFNetwork a cookie-urilor HTTP. La accesarea unui URL HTTP sau HTTPS creat cu rea intenţie, CFNetwork putea trimite incorect cookie-urile pentru un domeniu unui server din afara domeniului.

    CVE-ID

    CVE-2011-3246: Erling Ellingsen (Facebook)

  • CoreFoundation

    Disponibilitate pentru: iOS 3.0 - 4.3.5 pentru iPhone 3GS şi iPhone 4, iOS 3.1 - 4.3.5 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 4.3.5 pentru iPad

    Impact: vizualizarea unui site web sau mesaj de e-mail creat cu rea intenţie poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o problemă de alterare a memoriei la tratarea de către CoreFoundation a tokenizării şirurilor.

    CVE-ID

    CVE-2011-0259: Apple

  • CoreGraphics

    Disponibilitate pentru: iOS 3.0 - 4.3.5 pentru iPhone 3GS şi iPhone 4, iOS 3.1 - 4.3.5 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 4.3.5 pentru iPad

    Impact: vizualizarea unui document cu fonturi modificate cu rea intenţie poate cauza executarea unui cod arbitrar

    Descriere: au existat probleme multiple de alterare a memoriei în FreeType, cea mai gravă putând cauza executarea unui cod arbitrar la procesarea unui font creat cu rea intenţie.

    CVE-ID

    CVE-2011-3256: Apple

  • CoreMedia

    Disponibilitate pentru: iOS 3.0 - 4.3.5 pentru iPhone 3GS şi iPhone 4, iOS 3.1 - 4.3.5 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 4.3.5 pentru iPad

    Impact: accesarea unui site web rău intenţionat poate cauza divulgarea de date video din alt site

    Descriere: a existat o problemă de origine încrucişată în tratarea de către CoreMedia a redirectărilor între site-uri. Această problemă a fost rezolvată printr-o urmărire îmbunătăţită a originii.

    CVE-ID

    CVE-2011-0187: Nirankush Panchbhai şi Microsoft Vulnerability Research (MSVR)

  • Acces la date

    Disponibilitate pentru: iOS 3.0 - 4.3.5 pentru iPhone 3GS şi iPhone 4, iOS 3.1 - 4.3.5 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 4.3.5 pentru iPad

    Impact: o problemă de gestionare a cookie-urilor de schimb de mesaje de e-mail putea cauza incorect sincronizarea datelor între conturi diferite

    Descriere: atunci când sunt configurate conturi multiple de schimb de mesaje de e-mail cu conectare la acelaşi server, o sesiune putea primi un cookie valid corespunzător altui cont. Această problemă a fost rezolvată prin asigurarea separării cookie-urilor între conturi diferite.

    CVE-ID

    CVE-2011-3257: Bob Sielken (IBM)

  • Securitate a datelor

    Disponibilitate pentru: iOS 3.0 - 4.3.5 pentru iPhone 3GS şi iPhone 4, iOS 3.1 - 4.3.5 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 4.3.5 pentru iPad

    Impact: un atacator cu o poziţie favorabilă în reţea poate intercepta datele de autentificare ale utilizatorilor sau alte informaţii confidenţiale

    Descriere: au fost emise certificate frauduloase de mai multe autorităţi de certificare operate de DigiNotar. Această problemă a fost rezolvată prin eliminarea DigiNotar din lista de certificate-rădăcină de încredere şi din lista de autorităţi de certificare Extended Validation (EV), precum şi prin configurarea setărilor de sistem implicite privind nivelul de încredere astfel încât certificatele DigiNotar, inclusiv cele emise de alte autorităţi, să nu fie considerate de încredere.

  • Securitate a datelor

    Disponibilitate pentru: iOS 3.0 - 4.3.5 pentru iPhone 3GS şi iPhone 4, iOS 3.1 - 4.3.5 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 4.3.5 pentru iPad

    Impact: suportul pentru certificate X.509 cu coduri hash MD5 poate expune utilizatorii la falsificarea şi divulgarea de informaţii pe măsură ce atacurile evoluează

    Descriere: certificatele semnate utilizându-se algoritmul de combinare (hashing) MD5 erau acceptate de iOS. Acest algoritm are slăbiciuni criptografice cunoscute. Cercetări suplimentare sau o autoritate de certificare configurată greşit ar fi permis crearea de certificate X.509 cu valori controlate de atacatori care ar fi fost considerate de încredere de către sistem. Acest lucru ar fi expus protocoalele bazate pe X.509 la falsificare, atacuri de tipul „man in the middle” şi divulgarea de informaţii. Această actualizare dezactivează suportul pentru un certificat X.509 certificate cu coduri hash MD5 pentru orice altă utilizare decât cea de certificat-rădăcină de încredere.

    CVE-ID

    CVE-2011-3427

  • Securitate a datelor

    Disponibilitate pentru: iOS 3.0 - 4.3.5 pentru iPhone 3GS şi iPhone 4, iOS 3.1 - 4.3.5 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 4.3.5 pentru iPad

    Impact: un atacator putea decripta parţial o conexiune SSL

    Descriere: erau acceptate numai versiunile SSLv3 şi TLS 1.0 de protocol SSL. Aceste versiuni fac obiectul unei slăbiciuni a protocolului la utilizarea de cifruri de bloc. Un atacator de tipul „man in the middle” putea injecta date nevalide, cauzând închiderea conexiunii şi dezvăluirea unor informaţii despre datele anterioare. Dacă aceeaşi conexiune era încercată în mod repetat, atacatorul putea, în final, să decripteze datele trimise, de exemplu parole. Această problemă a fost rezolvată prin adăugarea de suport pentru TLS 1.2.

    CVE-ID

    CVE-2011-3389

  • Ecranul de pornire

    Disponibilitate pentru: iOS 3.0 - 4.3.5 pentru iPhone 3GS şi iPhone 4, iOS 3.1 - 4.3.5 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 4.3.5 pentru iPad

    Impact: comutarea între aplicaţii putea cauza divulgarea de informaţii sensibile din aplicaţii

    Descriere: la comutarea între aplicaţii cu gestul de comutare între aplicaţii cu patru degete, era posibil să se afişeze starea aplicaţiei anterioare. Această problemă a fost rezolvată prin asigurarea apelării corecte a metodei applicationWillResignActive: la tranziţia între aplicaţii.

    CVE-ID

    CVE-2011-3431: Abe White (Hedonic Software Inc.)

  • ImageIO

    Disponibilitate pentru: iOS 3.0 - 4.3.5 pentru iPhone 3GS şi iPhone 4, iOS 3.1 - 4.3.5 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 4.3.5 pentru iPad

    Impact: vizualizarea unei imagini TIFF create cu rea intenţie poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: s-a produs o depăşire a memoriei tampon la tratarea de către libTIFF a imaginilor TIFF codificate CCITT Group 4.

    CVE-ID

    CVE-2011-0192: Apple

  • ImageIO

    Disponibilitate pentru: iOS 3.0 - 4.3.5 pentru iPhone 3GS şi iPhone 4, iOS 3.1 - 4.3.5 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 4.3.5 pentru iPad

    Impact: vizualizarea unei imagini TIFF create cu rea intenţie poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: s-a produs o depăşire a memoriei-tampon a structurii de date la tratarea de către ImageIO a imaginilor TIFF codificate CCITT Group 4.

    CVE-ID

    CVE-2011-0241: Cyril CATTIAUX (Tessi Technologies)

  • International Components for Unicode

    Disponibilitate pentru: iOS 3.0 - 4.3.5 pentru iPhone 3GS şi iPhone 4, iOS 3.1 - 4.3.5 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 4.3.5 pentru iPad

    Impact: aplicaţiile care utilizează ICU pot fi vulnerabile la terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o problemă de depăşire a zonei-tampon la generarea de către ICU a cheilor de colaţionare pentru şirurile lungi compuse mai ales din majuscule.

    CVE-ID

    CVE-2011-0206: David Bienvenu (Mozilla)

  • Nucleu

    Disponibilitate pentru: iOS 3.0 - 4.3.5 pentru iPhone 3GS şi iPhone 4, iOS 3.1 - 4.3.5 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 4.3.5 pentru iPad

    Impact: un atacator la distanţă poate cauza o resetare a dispozitivului

    Descriere: nucleul nu reuşea să revendice prompt memorie de la conectările TCP incomplete. Un atacator cu posibilitate de conectare la un serviciu de ascultare pe un dispozitiv iOS putea epuiza resursele sistemului.

    CVE-ID

    CVE-2011-3259: Wouter van der Veer (Topicus I&I) şi Josh Enders

  • Nucleu

    Disponibilitate pentru: iOS 3.0 - 4.3.5 pentru iPhone 3GS şi iPhone 4, iOS 3.1 - 4.3.5 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 4.3.5 pentru iPad

    Impact: un utilizator local poate cauza o resetare a sistemului

    Descriere: a existat o problemă de indirectare NULL la tratarea de către IPv6 a opţiunilor de socket.

    CVE-ID

    CVE-2011-1132: Thomas Clement (Intego)

  • Tastaturi

    Disponibilitate pentru: iOS 3.0 - 4.3.5 pentru iPhone 3GS şi iPhone 4, iOS 3.1 - 4.3.5 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 4.3.5 pentru iPad

    Impact: un utilizator poate afla informaţii despre ultimul caracter al unei parole

    Descriere: tastatura utilizată pentru tastarea ultimului caracter al unei parole se afişa pentru scurt timp la următoarea utilizare a tastaturii.

    CVE-ID

    CVE-2011-3245: Paul Mousdicas

  • libxml

    Disponibilitate pentru: iOS 3.0 - 4.3.5 pentru iPhone 3GS şi iPhone 4, iOS 3.1 - 4.3.5 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 4.3.5 pentru iPad

    Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o problemă de depăşire a zonei-tampon cu un byte la tratarea de către libxml a datelor XML.

    CVE-ID

    CVE-2011-0216: Billy Rios (Google Security Team)

  • OfficeImport

    Disponibilitate pentru: iOS 3.0 - 4.3.5 pentru iPhone 3GS şi iPhone 4, iOS 3.1 - 4.3.5 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 4.3.5 pentru iPad

    Impact: vizualizarea unui fişier Word creat cu rea intenţie poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o depăşire a tamponului de stivă la tratarea de către OfficeImport a documentelor Microsoft Word.

    CVE-ID

    CVE-2011-3260: Tobias Klein, în colaborare cu Verisign iDefense Labs

  • OfficeImport

    Disponibilitate pentru: iOS 3.0 - 4.3.5 pentru iPhone 3GS şi iPhone 4, iOS 3.1 - 4.3.5 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 4.3.5 pentru iPad

    Impact: vizualizarea unui fişier Excel creat cu rea intenţie poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o problemă de tipul „double free” la tratarea de către OfficeImport a fişierelor Excel.

    CVE-ID

    CVE-2011-3261: Tobias Klein (www.trapkit.de)

  • OfficeImport

    Disponibilitate pentru: iOS 3.0 - 4.3.5 pentru iPhone 3GS şi iPhone 4, iOS 3.1 - 4.3.5 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 4.3.5 pentru iPad

    Impact: vizualizarea unui fişier Microsoft Office creat cu rea intenţie poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o problemă de alterare a memoriei la tratarea de către OfficeImport a fişierelor Microsoft Office.

    CVE-ID

    CVE-2011-0208: Tobias Klein, în colaborare cu iDefense VCP

  • OfficeImport

    Disponibilitate pentru: iOS 3.0 - 4.3.5 pentru iPhone 3GS şi iPhone 4, iOS 3.1 - 4.3.5 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 4.3.5 pentru iPad

    Impact: descărcarea unui fişier Excel creat cu rea intenţie poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: a existat o problemă de alterare a memoriei la tratarea de către OfficeImport a fişierelor Excel.

    CVE-ID

    CVE-2011-0184: Tobias Klein, în colaborare cu iDefense VCP

  • Safari

    Disponibilitate pentru: iOS 3.0 - 4.3.5 pentru iPhone 3GS şi iPhone 4, iOS 3.1 - 4.3.5 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 4.3.5 pentru iPad

    Impact: deschiderea unor fişiere create cu rea intenţie din anumite site-uri web putea cauza un atac de scripting între site-uri

    Descriere: iOS nu accepta valoarea 'attachment' pentru antetul HTTP Content-Disposition. Acest antet este utilizat de numeroase site-uri web pentru a servi fişiere încărcate în site de către un terţ, de exemplu ataşări din aplicaţii de e-mail bazate pe web. Orice script din fişierele servite cu această valoare a antetului se execută ca şi cum fişierul ar fi fost servit inline cu acces complet la alte resurse de pe serverul de origine. Această problemă a fost rezolvată prin încărcarea ataşărilor într-o origine de securitate izolată fără acces la resurse din alte site-uri.

    CVE-ID

    CVE-2011-3426: Christian Matthies, în colaborare cu iDefense VCP, şi Yoshinori Oota (Business Architects Inc.), în colaborare cu JP/CERT

  • Configurări

    Disponibilitate pentru: iOS 3.0 - 4.3.5 pentru iPhone 3GS şi iPhone 4, iOS 3.1 - 4.3.5 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 4.3.5 pentru iPad

    Impact: un atacator cu acces fizic la un dispozitiv putea recupera codul de acces pentru restricţii

    Descriere: funcţionalitatea de restricţii parentale impune restricţiile IU. Configurarea restricţiilor parentale este protejată de un cod de acces, care, anterior, era stocat ca text simplu pe disc. Această problemă a fost rezolvată prin stocarea securizată a codului de acces pentru restricţii parentale în portcheiul sistemului.

    CVE-ID

    CVE-2011-3429: un raportor anonim

  • Configurări

    Disponibilitate pentru: iOS 3.0 - 4.3.5 pentru iPhone 3GS şi iPhone 4, iOS 3.1 - 4.3.5 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 4.3.5 pentru iPad

    Impact: interfaţă cu utilizatorul (IU) derutantă

    Descriere: configurările şi setările aplicate prin intermediul profilurilor de configurare nu păreau să funcţioneze corect în nicio altă limbă decât cea engleză. În consecinţă, setările putea fi afişate incorect. Această problemă a fost rezolvată prin remedierea unei erori de localizare.

    CVE-ID

    CVE-2011-3430: Florian Kreitmaier (Siemens CERT)

  • Alerte UIKit

    Disponibilitate pentru: iOS 3.0 - 4.3.5 pentru iPhone 3GS şi iPhone 4, iOS 3.1 - 4.3.5 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 4.3.5 pentru iPad

    Impact: accesarea unui site web rău intenţionat putea cauza o blocare neaşteptată a dispozitivului

    Descriere: o lungime maximă excesivă a aspectului textului permitea site-urilor web rău intenţionate să blocheze software-ul iOS la afişarea dialogurilor de acceptare pentru identificatori URI tel: foarte lungi. Această problemă a fost rezolvată prin utilizarea unei dimensiuni maxime mai rezonabile a identificatorului URI.

    CVE-ID

    CVE-2011-3432: Simon Young (Anglia Ruskin University)

  • WebKit

    Disponibilitate pentru: iOS 3.0 - 4.3.5 pentru iPhone 3GS şi iPhone 4, iOS 3.1 - 4.3.5 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 4.3.5 pentru iPad

    Impact: accesarea unui site rău intenţionat poate cauza terminarea neaşteptată a aplicaţiei sau executarea unui cod arbitrar

    Descriere: în WebKit erau mai multe probleme de corupere a memoriei.

    CVE-ID

    CVE-2011-0218: SkyLined (Google Chrome Security Team)

    CVE-2011-0221: Abhishek Arya (Inferno) din echipa de securitate Google Chrome

    CVE-2011-0222: Nikita Tarakanov şi Alex Bazhanyuk (CISS Research Team) şi Abhishek Arya (Inferno) (Google Chrome Security Team)

    CVE-2011-0225: Abhishek Arya (Inferno) din echipa de securitate Google Chrome

    CVE-2011-0232: J23, în colaborare cu Zero Day Initiative (TippingPoint)

    CVE-2011-0233: wushi (team509), în colaborare cu Zero Day Initiative (TippingPoint)

    CVE-2011-0234: Rob King, în colaborare cu Zero Day Initiative (TippingPoint), şi wushi (team509), în colaborare cu Zero Day Initiative (TippingPoint)

    CVE-2011-0235: Abhishek Arya (Inferno) (Google Chrome Security Team)

    CVE-2011-0238: Adam Barth (Google Chrome Security Team)

    CVE-2011-0254: un cercetător anonim, în colaborare cu Zero Day Initiative (TippingPoint)

    CVE-2011-0255: un raportor anonim, în colaborare cu Zero Day Initiative (TippingPoint)

    CVE-2011-0981: Rik Cabanier (Adobe Systems Inc.)

    CVE-2011-0983: Martin Barbella

    CVE-2011-1109: Sergey Glazunov

    CVE-2011-1114: Martin Barbella

    CVE-2011-1115: Martin Barbella

    CVE-2011-1117: wushi (team509)

    CVE-2011-1121: miaubiz

    CVE-2011-1188: Martin Barbella

    CVE-2011-1203: Sergey Glazunov

    CVE-2011-1204: Sergey Glazunov

    CVE-2011-1288: Andreas Kling (Nokia)

    CVE-2011-1293: Sergey Glazunov

    CVE-2011-1296: Sergey Glazunov

    CVE-2011-1449: Marek Majkowski

    CVE-2011-1451: Sergey Glazunov

    CVE-2011-1453: wushi (team509), în colaborare cu Zero Day Initiative (TippingPoint)

    CVE-2011-1457: John Knottenbelt (Google)

    CVE-2011-1462: wushi (team509)

    CVE-2011-1797: wushi (team509)

    CVE-2011-2338: Abhishek Arya (Inferno) (Google Chrome Security Team utilizând AddressSanitizer)

    CVE-2011-2339: Cris Neckar (Google Chrome Security Team)

    CVE-2011-2341: wushi (team509), în colaborare cu Verisign iDefense Labs

    CVE-2011-2351: miaubiz

    CVE-2011-2352: Apple

    CVE-2011-2354: Apple

    CVE-2011-2356: Adam Barth şi Abhishek Arya (Google Chrome Security Team utilizând AddressSanitizer)

    CVE-2011-2359: miaubiz

    CVE-2011-2788: Mikolaj Malecki (Samsung)

    CVE-2011-2790: miaubiz

    CVE-2011-2792: miaubiz

    CVE-2011-2797: miaubiz

    CVE-2011-2799: miaubiz

    CVE-2011-2809: Abhishek Arya (Inferno) (Google Chrome Security Team)

    CVE-2011-2813: Cris Neckar (Google Chrome Security Team utilizând AddressSanitizer)

    CVE-2011-2814: Abhishek Arya (Inferno) (Google Chrome Security Team utilizând AddressSanitizer)

    CVE-2011-2816: Apple

    CVE-2011-2817: Abhishek Arya (Inferno) (Google Chrome Security Team utilizând AddressSanitizer)

    CVE-2011-2818: Martin Barbella

    CVE-2011-2820: Raman Tenneti şi Philip Rogers (Google)

    CVE-2011-2823: SkyLined (Google Chrome Security Team)

    CVE-2011-2827: miaubiz

    CVE-2011-2831: Abhishek Arya (Inferno) (Google Chrome Security Team utilizând AddressSanitizer)

    CVE-2011-3232: Aki Helin (OUSPG)

    CVE-2011-3234: miaubiz

    CVE-2011-3235: Dimitri Glazkov, Kent Tamura, Dominic Cooney (Chromium Development Community) şi Abhishek Arya (Inferno) (Google Chrome Security Team)

    CVE-2011-3236: Abhishek Arya (Inferno) (Google Chrome Security Team utilizând AddressSanitizer)

    CVE-2011-3237: Dimitri Glazkov, Kent Tamura, Dominic Cooney (Chromium Development Community) şi Abhishek Arya (Inferno) (Google Chrome Security Team)

    CVE-2011-3244: vkouchna

  • WebKit

    Disponibilitate pentru: iOS 3.0 - 4.3.5 pentru iPhone 3GS şi iPhone 4, iOS 3.1 - 4.3.5 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 4.3.5 pentru iPad

    Impact: accesarea unui site Web rău intenţionat poate declanşa un atac asupra scripturilor de pe mai multe site-uri

    Descriere: a existat o problemă de origine încrucişată la tratarea URL-urilor cu nume de utilizator încorporat. Această problemă a fost rezolvată prin tratarea îmbunătăţită a URL-urilor cu nume de utilizator încorporat.

    CVE-ID

    CVE-2011-0242: Jobert Abma (Online24)

  • WebKit

    Disponibilitate pentru: iOS 3.0 - 4.3.5 pentru iPhone 3GS şi iPhone 4, iOS 3.1 - 4.3.5 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 4.3.5 pentru iPad

    Impact: accesarea unui site Web rău intenţionat poate declanşa un atac asupra scripturilor de pe mai multe site-uri

    Descriere: a existat o problemă de origine încrucişată la tratarea nodurilor DOM.

    CVE-ID

    CVE-2011-1295: Sergey Glazunov

  • WebKit

    Disponibilitate pentru: iOS 3.0 - 4.3.5 pentru iPhone 3GS şi iPhone 4, iOS 3.1 - 4.3.5 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 4.3.5 pentru iPad

    Impact: un site web rău intenţionat poate cauza afişarea altui URL în bara de adrese

    Descriere: a existat o problemă de falsificare a URL-ului la tratarea obiectului de istoric DOM.

    CVE-ID

    CVE-2011-1107: Jordi Chancel

  • WebKit

    Disponibilitate pentru: iOS 3.0 - 4.3.5 pentru iPhone 3GS şi iPhone 4, iOS 3.1 - 4.3.5 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 4.3.5 pentru iPad

    Impact: Accesarea unui site rău intenţionat poate cauza executarea unui cod arbitrar

    Descriere: a existat o problemă de configurare la utilizarea libxslt de către WebKit. Accesarea unui site web rău intenţionat putea cauza crearea de fişiere arbitrare cu privilegiile utilizatorului, fapt care putea cauza executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătăţirea setărilor de securitate libxslt.

    CVE-ID

    CVE-2011-1774: Nicolas Gregoire (Agarri)

  • WebKit

    Disponibilitate pentru: iOS 3.0 - 4.3.5 pentru iPhone 3GS şi iPhone 4, iOS 3.1 - 4.3.5 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 4.3.5 pentru iPad

    Impact: accesarea unui site web rău intenţionat şi glisarea de conţinut în pagină putea cauza divulgarea de informaţii

    Descriere: a existat o problemă de origine încrucişată la tratarea de către WebKit a funcţionalităţii de glisare şi fixare HTML5. Această problemă a fost rezolvată prin nepermiterea glisării şi fixării între origini diferite.

    CVE-ID

    CVE-2011-0166: Michal Zalewski (Google Inc.)

  • WebKit

    Disponibilitate pentru: iOS 3.0 - 4.3.5 pentru iPhone 3GS şi iPhone 4, iOS 3.1 - 4.3.5 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 4.3.5 pentru iPad

    Impact: vizitarea unui site Web creat cu rea intenţie poate duce la divulgarea de informații

    Descriere: a existat o problemă de origine încrucişată la tratarea scripturilor Web Worker.

    CVE-ID

    CVE-2011-1190: Daniel Divricean (divricean.ro)

  • WebKit

    Disponibilitate pentru: iOS 3.0 - 4.3.5 pentru iPhone 3GS şi iPhone 4, iOS 3.1 - 4.3.5 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 4.3.5 pentru iPad

    Impact: accesarea unui site Web rău intenţionat poate declanşa un atac asupra scripturilor de pe mai multe site-uri

    Descriere: a existat o problemă de origine încrucişată la tratarea metodei window.open.

    CVE-ID

    CVE-2011-2805: Sergey Glazunov

  • WebKit

    Disponibilitate pentru: iOS 3.0 - 4.3.5 pentru iPhone 3GS şi iPhone 4, iOS 3.1 - 4.3.5 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 4.3.5 pentru iPad

    Impact: accesarea unui site Web rău intenţionat poate declanşa un atac asupra scripturilor de pe mai multe site-uri

    Descriere: a existat o problemă de origine încrucişată la tratarea ferestrelor DOM inactive.

    CVE-ID

    CVE-2011-3243: Sergey Glazunov

  • WebKit

    Disponibilitate pentru: iOS 3.0 - 4.3.5 pentru iPhone 3GS şi iPhone 4, iOS 3.1 - 4.3.5 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 4.3.5 pentru iPad

    Impact: accesarea unui site Web rău intenţionat poate declanşa un atac asupra scripturilor de pe mai multe site-uri

    Descriere: a existat o problemă de origine încrucişată la tratarea proprietăţii document.documentURI.

    CVE-ID

    CVE-2011-2819: Sergey Glazunov

  • WebKit

    Disponibilitate pentru: iOS 3.0 - 4.3.5 pentru iPhone 3GS şi iPhone 4, iOS 3.1 - 4.3.5 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 4.3.5 pentru iPad

    Impact: un site web rău intenţionat poate urmări URL-urile accesate de un utilizator din interiorul unui cadru

    Descriere: a existat o problemă de origine încrucişată la tratarea evenimentului beforeload.

    CVE-ID

    CVE-2011-2800: Juho Nurminen

  • WiFi

    Disponibilitate pentru: iOS 3.0 - 4.3.5 pentru iPhone 3GS şi iPhone 4, iOS 3.1 - 4.3.5 pentru iPod touch (a 3-a generaţie) şi modele ulterioare, iOS 3.2 - 4.3.5 pentru iPad

    Impact: acreditările Wi-Fi putea fi înregistrate într-un fişier local

    Descriere: acreditările Wi-Fi, inclusiv fraza de acces şi cheile de criptare, erau înregistrate într-un fişier cu posibilitate de citire de către aplicaţiile din sistem. Această problemă a fost rezolvată prin anularea înregistrării acestor acreditări.

    CVE-ID

    CVE-2011-3434: Laurent OUDOT (TEHTRI Security)

 

Informaţiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu îşi asumă nicio responsabilitate în ceea ce priveşte selectarea, funcţionarea sau utilizarea site-urilor web sau produselor de la terţi. Apple nu face niciun fel de declaraţii privind acurateţea sau fiabilitatea site-urilor web terţe. La utilizarea Internetului, riscurile sunt inerente. Contactează distribuitorul pentru informaţii suplimentare. Alte nume de companii şi produse pot fi mărci comerciale ale proprietarilor respectivi.

Data publicării: