Despre conținutul de securitate din actualizarea software iOS 5.1

Acest document descrie conținutul de securitate din actualizarea software iOS 5.1.

În acest document este descris conținutul de securitate din actualizarea software iOS 5.1, care poate fi descărcată și instalată utilizându-se iTunes.

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate înainte de a face o investigație completă și de a pune la dispoziție corecțiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul web Securitatea produselor Apple.

Pentru informații despre cheia PGP pentru securitatea produselor Apple, consultă „Utilizarea cheii PGP pentru securitatea produselor Apple”.

Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilități pentru obținerea de informații suplimentare.

Pentru a afla mai multe despre alte actualizări de securitate, consultă „Actualizările de securitate Apple”.

Actualizare software iOS 5.1

  • CFNetwork

    Disponibil pentru iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (a 3-a generație) și modele ulterioare, iPad, iPad 2

    Impact: vizitarea unui site web creat cu rea intenție poate conduce la divulgarea unor informații confidențiale

    Descriere: a existat o problemă la tratarea de către CFNetwork a adreselor URL formate incorect. La accesarea unei adrese URL create cu rea intenție, CFNetwork putea trimite antete de solicitări neașteptate.

    CVE-ID

    CVE-2012-0641: Erling Ellingsen de la Facebook

  • HFS

    Disponibil pentru iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (a 3-a generație) și modele ulterioare, iPad, iPad 2

    Impact: montarea unei imagini de disc create cu rea intenție poate conduce la închiderea dispozitivului sau la executarea unui cod aleatoriu

    Descriere: a existat o depășire negativă de întreg la tratarea fișierelor catalog HFS.

    CVE-ID

    CVE-2012-0642: pod2g

  • Nucleu

    Disponibil pentru iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (a 3-a generație) și modele ulterioare, iPad, iPad 2

    Impact: un program creat cu rea intenție putea ocoli restricțiile sandboxului

    Descriere: a existat o problemă logică la tratarea apelurilor de depanare ale sistemului. Acest lucru ar putea permite unui program creat cu rea intenție să execute cod în alte programe cu aceleași privilegii de utilizator.

    CVE-ID

    CVE-2012-0643: 2012 iOS Jailbreak Dream Team

  • libresolv

    Disponibil pentru iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (a 3-a generație) și modele ulterioare, iPad, iPad 2

    Impact: aplicațiile care utilizează biblioteca libresolv pot fi vulnerabile la terminarea neașteptată a aplicației sau executarea unui cod aleatoriu

    Descriere: a existat o depășire a întregului la tratarea înregistrărilor cu resurse DNS, ceea ce ar putea conduce la alterarea memoriei zonei-tampon de structură de date.

    CVE-ID

    CVE-2011-3453: Ilja van Sprundel de la IOActive

  • Blocare a codului de acces

    Disponibil pentru iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (a 3-a generație) și modele ulterioare, iPad, iPad 2

    Impact: O persoană cu acces fizic la dispozitiv poate ocoli blocarea ecranului

    Descriere: a existat o problemă privind condiția de rulare la tratarea gesturilor de glisare pentru apelare. Acest lucru poate permite unei persoane care are acces fizic la dispozitiv să ocolească ecranul de blocare cu cod de acces.

    CVE-ID

    CVE-2012-0644: Roland Kohler din cadrul Ministerului Federal German al Economiei și Tehnologiei

  • Safari

    Disponibil pentru iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (a 3-a generație) și modele ulterioare, iPad, iPad 2

    Impact: paginile web vizitate ar putea fi înregistrate în istoricul browserului chiar dacă este activată navigarea confidențială

    Descriere: navigarea confidențială din Safari este concepută pentru a preveni înregistrarea unei sesiuni de navigare. Paginile vizitate ca urmare a unui site care utilizează metodele JavaScript pushState sau replaceState au fost înregistrate în istoricul browserului chiar dacă era activată navigarea confidențială. Această problemă este rezolvată prin neînregistrarea acestor pagini vizitate în momentul în care este activată navigarea confidențială.

    CVE-ID

    CVE-2012-0585: Eric Melville de la American Express

  • Siri

    Disponibil pentru iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (a 3-a generație) și modele ulterioare, iPad, iPad 2

    Impact: un atacator care are acces fizic la un telefon blocat ar putea obține acces la mesajul de e-mail aflat cel mai în față

    Descriere: a existat o problemă la crearea restricțiilor pentru Siri în ecranul de blocare. Dacă funcția Siri a fost activată pentru utilizarea în ecranul de blocare și aplicația Mail era fost deschisă și era selectat un mesaj în spatele ecranului de blocare, ar putea fi utilizată o comandă vocală pentru a trimite mesajul respectiv către un destinatar aleatoriu. Această problemă este rezolvată prin dezactivarea redirecționării din ecranul de blocare a mesajelor active.

    CVE-ID

    CVE-2012-0645

  • VPN

    Disponibil pentru iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (a 3-a generație) și modele ulterioare, iPad, iPad 2

    Impact: un fișier de configurare a sistemului creat cu rea intenție poate conduce la executarea unui cod aleatoriu cu privilegii de sistem

    Descriere: a existat o vulnerabilitate legată de șirurile de format la tratarea fișierelor de configurare de tip „racoon”.

    CVE-ID

    CVE-2012-0646: pod2g

  • WebKit

    Disponibil pentru iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (a 3-a generație) și modele ulterioare, iPad, iPad 2

    Impact: vizitarea unui site web creat cu rea intenție poate conduce la divulgarea unor cookie-uri

    Descriere: a existat o problemă de origine încrucișată la WebKit, care poate permite divulgarea cookie-urilor peste origini.

    CVE-ID

    CVE-2011-3887: Sergey Glazunov

  • WebKit

    Disponibil pentru iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (a 3-a generație) și modele ulterioare, iPad, iPad 2

    Impact: accesarea unui site web creat cu rea intenție și glisarea conținutului cu mouse-ul poate declanșa un atac asupra scripturilor de pe mai multe site-uri

    Descriere: a existat o problemă de origine încrucișată la WebKit, care poate permite glisarea și fixarea conținutului peste origini.

    CVE-ID

    CVE-2012-0590: Adam Barth din cadrul echipei responsabile de securitate a Google Chrome

  • WebKit

    Disponibil pentru iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (a 3-a generație) și modele ulterioare, iPad, iPad 2

    Impact: accesarea unui site web creat cu rea intenție poate declanșa un atac asupra scripturilor de pe mai multe site-uri

    Descriere: au existat mai multe probleme de origine încrucișată la WebKit.

    CVE-ID

    CVE-2011-3881: Sergey Glazunov

    CVE-2012-0586: Sergey Glazunov

    CVE-2012-0587: Sergey Glazunov

    CVE-2012-0588: Jochen Eisinger din cadrul echipei Google Chrome

    CVE-2012-0589: Alan Austin de la polyvore.com

  • WebKit

    Disponibil pentru iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (a 3-a generație) și modele ulterioare, iPad, iPad 2

    Impact: accesarea unui site web creat cu rea intenție poate duce la închiderea neașteptată a aplicației sau la executarea unui cod aleatoriu

    Descriere: au existat mai multe probleme de alterare a memoriei la WebKit.

    CVE-ID

    CVE-2011-2825: wushi de la team509, în colaborare cu proiectul Zero Day Initiative al TippingPoint

    CVE-2011-2833: Apple

    CVE-2011-2846: Arthur Gerkis, miaubiz

    CVE-2011-2847: miaubiz, Abhishek Arya (Inferno) din cadrul echipei responsabile pentru securitate a Google Chrome, cu utilizarea AddressSanitizer

    CVE-2011-2854: Abhishek Arya (Inferno) din cadrul echipei responsabile pentru securitate a Google Chrome, cu utilizarea AddressSanitizer

    CVE-2011-2855: Arthur Gerkis, wushi de la team509, în colaborare cu iDefense VCP

    CVE-2011-2857: miaubiz

    CVE-2011-2860: Abhishek Arya (Inferno) din cadrul echipei responsabile pentru securitate a Google Chrome, cu utilizarea AddressSanitizer

    CVE-2011-2867: Dirk Schulze

    CVE-2011-2868: Abhishek Arya (Inferno) din cadrul echipei responsabile pentru securitate a Google Chrome, cu utilizarea AddressSanitizer

    CVE-2011-2869: Cris Neckar din cadrul echipei responsabile pentru securitate a Google Chrome, cu utilizarea AddressSanitizer

    CVE-2011-2870: Abhishek Arya (Inferno) din cadrul echipei responsabile pentru securitate a Google Chrome, cu utilizarea AddressSanitizer

    CVE-2011-2871: Abhishek Arya (Inferno) din cadrul echipei responsabile pentru securitate a Google Chrome, cu utilizarea AddressSanitizer

    CVE-2011-2872: Abhishek Arya (Inferno) și Cris Neckar din cadrul echipei responsabile pentru securitate a Google Chrome, cu utilizarea AddressSanitizer

    CVE-2011-2873: Abhishek Arya (Inferno) din cadrul echipei responsabile pentru securitate a Google Chrome, cu utilizarea AddressSanitizer

    CVE-2011-2877: miaubiz

    CVE-2011-3885: miaubiz

    CVE-2011-3888: miaubiz

    CVE-2011-3897: pa_kt în colaborare cu proiectul Zero Day Initiative al TippingPoint

    CVE-2011-3908: Aki Helin de la OUSPG

    CVE-2011-3909: echipa responsabilă de securitate a Google Chrome (scarybeasts) și Chu

    CVE-2011-3928: wushi de la team509, în colaborare cu proiectul Zero Day Initiative al TippingPoint

    CVE-2012-0591: miaubiz și Martin Barbella

    CVE-2012-0592: Alexander Gavrun în colaborare cu proiectul Zero Day Initiative al TippingPoint

    CVE-2012-0593: Lei Zhang din cadrul comunității de dezvoltare Chromium

    CVE-2012-0594: Adam Klein din cadrul comunității de dezvoltare Chromium

    CVE-2012-0595: Apple

    CVE-2012-0596: Abhishek Arya (Inferno) din cadrul echipei responsabile pentru securitate a Google Chrome, cu utilizarea AddressSanitizer

    CVE-2012-0597: miaubiz

    CVE-2012-0598: Sergey Glazunov

    CVE-2012-0599: Dmytro Gorbunov de la SaveSources.com

    CVE-2012-0600: Marshall Greenblatt, Dharani Govindan de la Google Chrome, miaubiz, Aki Helin de la OUSPG, Apple

    CVE-2012-0601: Apple

    CVE-2012-0602: Apple

    CVE-2012-0603: Apple

    CVE-2012-0604: Apple

    CVE-2012-0605: Apple

    CVE-2012-0606: Apple

    CVE-2012-0607: Apple

    CVE-2012-0608: Abhishek Arya (Inferno) din cadrul echipei responsabile pentru securitate a Google Chrome, cu utilizarea AddressSanitizer

    CVE-2012-0609: Abhishek Arya (Inferno) din cadrul echipei responsabile pentru securitate a Google Chrome, cu utilizarea AddressSanitizer

    CVE-2012-0610: miaubiz, Martin Barbella, cu utilizarea AddressSanitizer

    CVE-2012-0611: Martin Barbella, cu utilizarea AddressSanitizer

    CVE-2012-0612: Abhishek Arya (Inferno) din cadrul echipei responsabile pentru securitate a Google Chrome, cu utilizarea AddressSanitizer

    CVE-2012-0613: Abhishek Arya (Inferno) din cadrul echipei responsabile pentru securitate a Google Chrome, cu utilizarea AddressSanitizer

    CVE-2012-0614: miaubiz, Martin Barbella, cu utilizarea AddressSanitizer

    CVE-2012-0615: Martin Barbella, cu utilizarea AddressSanitizer

    CVE-2012-0616: miaubiz

    CVE-2012-0617: Martin Barbella, cu utilizarea AddressSanitizer

    CVE-2012-0618: Abhishek Arya (Inferno) din cadrul echipei responsabile pentru securitate a Google Chrome, cu utilizarea AddressSanitizer

    CVE-2012-0619: Abhishek Arya (Inferno) din cadrul echipei responsabile pentru securitate a Google Chrome, cu utilizarea AddressSanitizer

    CVE-2012-0620: Abhishek Arya (Inferno) din cadrul echipei responsabile pentru securitate a Google Chrome, cu utilizarea AddressSanitizer

    CVE-2012-0621: Martin Barbella, cu utilizarea AddressSanitizer

    CVE-2012-0622: Dave Levin și Abhishek Arya din cadrul echipei responsabile pentru securitate a Google Chrome

    CVE-2012-0623: Abhishek Arya (Inferno) din cadrul echipei responsabile pentru securitate a Google Chrome, cu utilizarea AddressSanitizer

    CVE-2012-0624: Martin Barbella, cu utilizarea AddressSanitizer

    CVE-2012-0625: Martin Barbella

    CVE-2012-0626: Abhishek Arya (Inferno) din cadrul echipei responsabile pentru securitate a Google Chrome, cu utilizarea AddressSanitizer

    CVE-2012-0627: Apple

    CVE-2012-0628: Slawomir Blazek, miaubiz, Abhishek Arya (Inferno) din cadrul echipei responsabile pentru securitate a Google Chrome, cu utilizarea AddressSanitizer

    CVE-2012-0629: Abhishek Arya (Inferno) din cadrul echipei responsabile pentru securitate a Google Chrome

    CVE-2012-0630: Sergio Villar Senin de la Igalia

    CVE-2012-0631: Abhishek Arya (Inferno) din cadrul echipei responsabile pentru securitate a Google Chrome

    CVE-2012-0632: Cris Neckar din cadrul echipei responsabile pentru securitate a Google Chrome, cu utilizarea AddressSanitizer

    CVE-2012-0633: Apple

    CVE-2012-0635: Julien Chaffraix din cadrul comunității de dezvoltare Chromium, Martin Barbella, cu utilizarea AddressSanitizer

Informaţiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu îşi asumă nicio responsabilitate în ceea ce priveşte selectarea, funcţionarea sau utilizarea site-urilor web sau produselor de la terţi. Apple nu face niciun fel de declaraţii privind acurateţea sau fiabilitatea site-urilor web terţe. La utilizarea Internetului, riscurile sunt inerente. Contactează distribuitorul pentru informaţii suplimentare. Alte nume de companii şi produse pot fi mărci comerciale ale proprietarilor respectivi.

Data publicării: