Проблемы системы безопасности, устраняемые обновлением программного обеспечения iOS 6.0.1

В этом документе содержатся сведения о проблемах, устраняемых обновлением ПО iOS 6.0.1, доступным для загрузки и установки с помощью программы iTunes.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах в системе безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Безопасность продуктов Apple.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Как использовать PGP-ключ защиты продуктов Apple.

Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

ОС iOS 6.0.1

  • Ядро

    Подвержены уязвимости: iPhone 3GS и более поздних моделей, iPod touch (4-го поколения) и более поздних моделей, iPad 2 и более поздних моделей.

    Воздействие. Вредоносные или скомпрометированные программы ОС iOS могут определять адреса в ядре.

    Описание. При обработке API-интерфейсов, связанных с расширениями ядра, возникает проблема раскрытия информации. Ответы, содержащие ключ OSBundleMachOHeaders, могли включать адреса ядра, что создавало потенциальную возможность обойти защиту адресного пространства путем рандомизации схемы размещения (ASLR). Проблема решена путем отмены смещения адресов перед их возвращением.

    Идентификатор CVE

    CVE-2012-3749: Марк Дауд (Mark Dowd) из Azimuth Security, Эрик Монти (Eric Monti) из Square и другие анонимные исследователи

  • Защита паролем

    Подвержены уязвимости: iPhone 3GS и более поздних моделей, iPod touch (4-го поколения) и более поздних моделей, iPad 2 и более поздних моделей.

    Воздействие. Лицо, имеющее физический доступ к устройству, может получить доступ к пропускам Passbook без ввода пароля.

    Описание. При обработке пропусков Passbook, когда активен экран блокировки, возникала проблема управления состоянием. Проблема решена путем улучшенной обработки пропусков Passbook.

    Идентификатор CVE

    CVE-2012-3750: Антон Цвятку (Anton Tsviatkou)

  • WebKit

    Подвержены уязвимости: iPhone 3GS и более поздних моделей, iPod touch (4-го поколения) и более поздних моделей, iPad 2 и более поздних моделей.

    Воздействие. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода.

    Описание. При обработке массивов JavaScript возникала проблема с временем проверки и временем использования. Проблема решена путем дополнительной проверки массивов JavaScript.

    Идентификатор CVE

    CVE-2012-3748: Йоуст Пол (Joost Pol) и Даан Кейпер (Daan Keuper) из Certified Secure в рамках программы Zero Day Initiative, проводимой HP TippingPoint

  • WebKit

    Подвержены уязвимости: iPhone 3GS и более поздних моделей, iPod touch (4-го поколения) и более поздних моделей, iPad 2 и более поздних моделей.

    Воздействие. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода.

    Описание. Во время обработки изображений SVG возникала проблема «использования после очистки». Проблема устранена путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2012-5112: пользователь Pinkie Pie, участвующий в конкурсе Pwnium 2 от Google

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного характера и не рекламируются компанией. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Помните, что использование любых сведений или продуктов, размещенных в Интернете, сопровождается риском. За дополнительной информацией обращайтесь к поставщику. Другие названия компаний или продуктов могут быть товарными знаками соответствующих владельцев.

Дата публикации: