О степени безопасности обновления iPhone 1.1.1

<p>В настоящем документе описывается степень безопасности обновления iPhone v1.1.1.</p>
<p>В целях защиты своих заказчиков компания Apple не сообщает, не обсуждает и не подтверждает наличие проблемы безопасности до тех пор, пока эта проблема не будет полностью исследована и не будут выпущены все необходимые исправления или новые выпуски программ. Чтобы больше узнать о безопасности продуктов Apple, посетите веб-сайт <a href="http://www.apple.com/support/security/">Безопасность продуктов Apple</a>.</p>
<p>Чтобы получить информацию о PGP-ключе защиты продуктов Apple, обратитесь к статье &quot;<a href="http://docs.info.apple.com/article.html?artnum=25314-ru">Как использовать PGP-ключ защиты продуктов Apple</a>&quot;.</p>
<p>Везде, где это возможно, для ссылки на слабые места программы и получения дополнительной информации о них используются <a href="http://cve.mitre.org/about/">идентификаторы тезауруса уязвимостей (CVE ID)</a>.</p>
<p>Чтобы больше узнать об обновлениях, выпущенных в целях повышения безопасности продуктов, обратитесь к статье &quot;<a href="http://docs.info.apple.com/article.html?artnum=61798-ru">Обновления для безопасности от компании Apple</a>&quot;.</p>

Обновление iPhone v1.1.1

  • Bluetooth

    CVE-ID: CVE-2007-3753

    Эффект: Пользователь Bluetooth может намеренно вызвать неожиданное завершение работы приложения или выполнение произвольного кода.

    Описание: На сервере Bluetooth для iPhone существует проблема с проверкой достоверности входных данных. Отправляя созданные со злым умыслом пакеты SDP на iPhone с включенным Bluetooth, взломщик получает возможность инициировать проблему, которая может привести к неожиданному завершению работы приложения или к выполнению случайного кода. Это обновление позволяет обойти описанную проблему путем выполнения дополнительной проверки достоверности для пакетов SDP. Благодарим Кевина Махаффей и Джона Геринга из Flexilis Mobile Security за сообщение об этой проблеме.

  • Почта

    CVE-ID: CVE-2007-3754

    Эффект: Проверка почты через непроверенную сеть может привести к раскрытию конфиденциальной информации посредством перехвата.

    Описание: Если почта настроена на использование протокола SSL для всех входящих и исходящих соединений, то пользователь не получает сообщений о смене почтового сервера или об отсутствии доверия. Взломщик, способный перехватить соединение, может выдать свои пакеты за пакеты почтового сервера и, таким образом, получить данные для аутентификации и другую личную информацию пользователя. Это обновление позволяет обойти описанную проблему путем отправки пользователю уведомления в случае изменения удаленного почтового сервера.

  • Почта

    CVE-ID: CVE-2007-3755

    Эффект: Наличие в почте ссылки на телефонный номер вида ("tel:") позволяет набрать телефонный номер без всякого подтверждения.

    Описание: Почта поддерживает ссылки на телефонные номера вида ("tel:") и позволяет быстро набирать их. Побуждая пользователя нажать ссылку на телефонный номер в почтовом сообщении, взломщик может заставить iPhone выполнить звонок без одобрения пользователя. Это обновление позволяет обойти описанную проблему при помощи диалогового окна для подтверждения набора номера, появляющегося после нажатия ссылки на телефонный номер в письме. Благодарим Энди Баричи из McAfee за сообщение об этой проблеме.

  • Safari

    CVE-ID: CVE-2007-3756

    Эффект: Посещение созданного со злым умыслом веб-сайта может привести к разглашению содержимого URL ресурса.

    Описание: Из-за проблемы разработки Safari позволяет веб-страницам считывать текущий URL адрес, отображающийся в родительском окне. Зазывая пользователя посетить вредоносный сайт, взломщик может получить URL адрес неродственной страницы. Это обновление позволяет обойти описанную проблему путем усовершенствования проверки безопасности доменов. Благодарим Мишеля Залевски из компании Google Inc. и Secunia Research за сообщение об этой проблеме.

  • Safari

    CVE-ID: CVE-2007-3757

    Эффект: Посещение созданного со злым умыслом веб-сайта может привести к неожиданному набору телефонного номера или к набору не того телефонного номера, который был нужен.

    Описание: Safari поддерживает ссылки на телефонные номера вида ("tel:") и позволяет быстро набирать их. При нажатии ссылки на телефонный номер Safari выводит подтверждение о том, что будет выполнен звонок на этот номер. Созданная со злым умыслом ссылка на телефонный номер может приводить к набору другого номера, не совпадающего с отображенным в окне подтверждения. Выход из Safari во время процесса подтверждения может привести к непреднамеренному одобрению набора. Это обновление позволяет обойти описанную проблему при помощи отображения именно того номера, который будет набран, и требования подтверждения для ссылок на телефонные номера. Благодарим Билли Хоффмана и Брайна Силливана из HP Security Labs (ранее SPI Labs) и Эдуардо Танга за сообщение об этой проблеме.

  • Safari

    CVE-ID: CVE-2007-3758

    Эффект: Посещение созданного со злым умыслом веб-сайта может привести к межсайтовому скриптингу.

    Описание: Safari уязвимо в отношении межсайтового скриптинга, что позволяет созданным со злым умыслом веб-сайтам настраивать свойства JavaScript для веб-сайтов, обслуживаемых другим доменом. Зазывая пользователя посетить вредоносный сайт, взломщик получает возможность инициировать проблему и в результате получить или изменить статус и месторасположение страниц, обслуживаемых другими веб-сайтами. Данное обновление позволяет обойти описанную проблему путем усовершенствования средств доступа к этим свойствам. Благодарим Мишеля Залевски из компании Google Inc. за сообщение об этой проблеме.

  • Safari

    CVE-ID: CVE-2007-3759

    Эффект: Отключение JavaScript происходит только после перезапуска Safari.

    Описание: Safari позволяет включить или отключить JavaScript. Однако изменение этого параметра вступает в силу только после перезапуска Safari. Обычно это происходит при перезапуске iPhone. Такое положение дел может вводить пользователей в заблуждение относительно того, отключен или нет параметр JavaScript. Это обновление позволяет обойти описанную проблему при помощи применения новых параметров перед загрузкой новых веб-страниц.

  • Safari

    CVE-ID: CVE-2007-3760

    Эффект: Посещение созданного со злым умыслом веб-сайта может привести к межсайтовому скриптингу.

    Описание: Safari уязвимо в отношении межсайтового скриптинга, что позволяет созданным со злым умыслом веб-сайтам обходить политику оригинала при помощи тегов "frame". Зазывая пользователя посетить вредоносный сайт, взломщик получает возможность инициировать проблему, которая может привести к выполнению JavaScript в контексте другого сайта. Это обновление позволяет обойти описанную проблему путем запрета использования JavaScript в качестве источника "iframe" и ограничения использования JavaScript в тегах фреймов для получения тех же прав доступа, что и у обслуживающего сайта. Благодарим Мишеля Залевски из компании Google Inc. и Secunia Research за сообщение об этой проблеме.

  • Safari

    CVE-ID: CVE-2007-3761

    Эффект: Посещение созданного со злым умыслом веб-сайта может привести к межсайтовому скриптингу.

    Описание: Safari уязвимо в отношении межсайтового скриптинга, что позволяет ассоциировать события JavaScript с неверными фреймами. Зазывая пользователя посетить вредоносный сайт, взломщик получает возможность запустить JavaScript в контексте другого сайта. Это обновление позволяет обойти описанную проблему путем привязки событий JavaScript к верным исходным фреймам.

  • Safari

    CVE-ID: CVE-2007-4671

    Эффект: JavaScript на веб-сайтах может получить доступ или возможность манипулирования содержимым документов, обслуживаемых посредством HTTPS.

    Описание: Safari позволяет получать доступ к содержимому документов, обслуживаемых через HTTPS в том же самом домене, и изменять содержимое документов, обслуживаемых через HTTP. Зазывая пользователя посетить вредоносный сайт, взломщик получает возможность запустить JavaScript в контексте HTTPS веб-страниц этого же домена. Это обновление позволяет обойти описанную проблему путем ограничения доступа к JavaScript, выполняемым во фреймах HTTP и HTTPS. Благодарим Кейго Ямазаки из компании LAC Co., Ltd. (Little eArth Corporation Co., Ltd.) за сообщение об этой проблеме.

Примечание по установке:

Настоящее обновление можно получить только через iTunes, оно не доступно ни через приложение обновления ПО вашего компьютера, ни через раздел загрузок сайта компании Apple. Убедитесь, что вы подключились к Интернету и установили последнюю версию iTunes, доступную по ссылке www.apple.com/itunes

iTunes будет автоматически проверять сервер обновлений Apple в соответствии с еженедельным расписанием. Как только приложение обнаружит обновление, оно будет автоматически загружено. Если iPhone подключен к компьютеру, iTunes предложит пользователю установить обновление. Мы настоятельно рекомендуем установить это обновление немедленно. Выбор варианта "Не устанавливать (Don't Install)" приведет к тому, что iTunes предложит пользователю установить обновление при следующем подключении iPhone.

При автоматическом обновлении процесс установки нового обновления может занять неделю со дня выхода обновления, что зависит от дня недели, когда iTunes проверяет обновления. При необходимости вы можете получить обновление вручную при помощи кнопки "Обновления (Check for Update)" в iTunes. После этого обновление можно будет установить на ваш iPhone при первом же подключении устройства к компьютеру.

Для проверки то факта, что ПО iPhone было обновлено, выполните следующие операции:

  1. Откройте меню "Настройки (Settings)"
  2. Выберите пункт "Основные (General)"
  3. Нажмите "AboutО программе (About)". После установки этого обновления версия программы будет отображаться как "1.1.1 (3A109a)"
Дата публикации: