В этом документе содержатся сведения о проблемах безопасности, устраняемых обновлением ПО iOS 4.2.7, которое доступно для загрузки и установки с помощью программы iTunes.
В целях защиты клиентов компания Apple не разглашает информацию о проблемах в системе безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Безопасность продуктов Apple.
Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.
Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.
Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.
Обновление программного обеспечения ОС iOS 4.2.7 для iPhone
-
Политика доверия к сертификатам
Доступно для: ОС iOS 4.2.5–4.2.6 для iPhone 4 (CDMA)
Воздействие. Злоумышленник, находящийся в привилегированном участке сети, может перехватывать учетные данные пользователя или другую конфиденциальную информацию.
Описание. Несколько мошеннических сертификатов SSL выпущено одним из регистраторов-партнеров Comodo. Благодаря этому злоумышленник в ходе атаки «человек посередине» может перенаправлять подключения и перехватывать учетные данные пользователя или другую конфиденциальную информацию. Проблема решена путем занесения мошеннических сертификатов в черный список.
Примечание. В ОС Mac OS X эта проблема решается обновлением системы безопасности 2011-002. В ОС Windows при определении уровня доверия сертификата SSL браузер Safari полагается на хранилище сертификатов операционной системы. Применение обновления, описываемого в статье базы знаний Microsoft 2524375, приведет к исключению браузером Safari этих сертификатов из числа доверенных. Указанная статья доступна по адресу http://support.microsoft.com/kb/2524375/ru-ru
-
Компонент QuickLook
Доступно для: ОС iOS 4.2.5–4.2.6 для iPhone 4 (CDMA)
Воздействие. Просмотр вредоносного файла Microsoft Office может привести к неожиданному завершению работы программы или выполнению произвольного кода.
Описание. При обработке компонентом QuickLook файлов Microsoft Office существовали проблемы повреждения данных в памяти. Просмотр вредоносного файла Microsoft Office может привести к неожиданному завершению работы программы или выполнению произвольного кода.
Идентификатор CVE
CVE-2011-1417: Чарли Миллер (Charlie Miller) и Дайон Блазакис (Dion Blazakis) при сотрудничестве в рамках программы Zero Day Initiative компании TippingPoint
-
WebKit
Доступно для: ОС iOS 4.2.5–4.2.6 для iPhone 4 (CDMA)
Воздействие. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода.
Описание. В процедурах обработки наборов узлов существовала проблема целочисленного переполнения. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода.
Идентификатор CVE
CVE-2011-1290: Винченцо Йоззо (Vincenzo Iozzo), Виллем Пинкерс (Willem Pinckaers), Ральф-Филипп Вайнман (Ralf-Philipp Weinmann) и анонимный исследователь, сотрудничающий по программе Zero Day Initiative компании TippingPoint
-
WebKit
Доступно для: ОС iOS 4.2.5–4.2.6 для iPhone 4 (CDMA)
Воздействие. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода.
Описание. Во время обработки текстовых узлов возникала проблема выполнения после оператора free. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода.
Идентификатор CVE
CVE-2011-1344: Vupen Security при сотрудничестве в рамках программы Zero Day Initiative компании TippingPoint, а также Мартин Барбелла (Martin Barbella)