Проблемы системы безопасности, устраняемые обновлением программного обеспечения iOS 6.0.1
В этом документе содержатся сведения о проблемах, устраняемых обновлением ПО iOS 6.0.1, доступным для загрузки и установки с помощью программы iTunes.
В целях защиты клиентов компания Apple не разглашает информацию о проблемах в системе безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Безопасность продуктов Apple.
Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Как использовать PGP-ключ защиты продуктов Apple.
Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.
Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.
ОС iOS 6.0.1
Ядро
Подвержены уязвимости: iPhone 3GS и более поздних моделей, iPod touch (4-го поколения) и более поздних моделей, iPad 2 и более поздних моделей.
Воздействие. Вредоносные или скомпрометированные программы ОС iOS могут определять адреса в ядре.
Описание. При обработке API-интерфейсов, связанных с расширениями ядра, возникает проблема раскрытия информации. Ответы, содержащие ключ OSBundleMachOHeaders, могли включать адреса ядра, что создавало потенциальную возможность обойти защиту адресного пространства путем рандомизации схемы размещения (ASLR). Проблема решена путем отмены смещения адресов перед их возвращением.
Идентификатор CVE
CVE-2012-3749: Марк Дауд (Mark Dowd) из Azimuth Security, Эрик Монти (Eric Monti) из Square и другие анонимные исследователи
Защита паролем
Подвержены уязвимости: iPhone 3GS и более поздних моделей, iPod touch (4-го поколения) и более поздних моделей, iPad 2 и более поздних моделей.
Воздействие. Лицо, имеющее физический доступ к устройству, может получить доступ к пропускам Passbook без ввода пароля.
Описание. При обработке пропусков Passbook, когда активен экран блокировки, возникала проблема управления состоянием. Проблема решена путем улучшенной обработки пропусков Passbook.
Идентификатор CVE
CVE-2012-3750: Антон Цвятку (Anton Tsviatkou)
WebKit
Подвержены уязвимости: iPhone 3GS и более поздних моделей, iPod touch (4-го поколения) и более поздних моделей, iPad 2 и более поздних моделей.
Воздействие. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода.
Описание. При обработке массивов JavaScript возникала проблема с временем проверки и временем использования. Проблема решена путем дополнительной проверки массивов JavaScript.
Идентификатор CVE
CVE-2012-3748: Йоуст Пол (Joost Pol) и Даан Кейпер (Daan Keuper) из Certified Secure в рамках программы Zero Day Initiative, проводимой HP TippingPoint
WebKit
Подвержены уязвимости: iPhone 3GS и более поздних моделей, iPod touch (4-го поколения) и более поздних моделей, iPad 2 и более поздних моделей.
Воздействие. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода.
Описание. Во время обработки изображений SVG возникала проблема «использования после очистки». Проблема устранена путем улучшенной обработки памяти.
Идентификатор CVE
CVE-2012-5112: пользователь Pinkie Pie, участвующий в конкурсе Pwnium 2 от Google
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.