Проблемы безопасности, устраняемые обновлением программного обеспечения ОС iOS 4.3.2

В этом документе описаны проблемы безопасности, устраняемые обновлением программного обеспечения ОС iOS 4.3.2.

В этом документе содержаться сведения о проблемах безопасности, устраняемых обновлением программного обеспечения ОС iOS 4.3.2, которое доступно для загрузки и установки с помощью программы iTunes.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах в системе безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Безопасность продуктов Apple.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

Обновление программного обеспечения ОС iOS 4.3.2

  • Политика доверия к сертификатам

    Доступно для: ОС iOS 3.0–4.3.1 для iPhone 3GS и более поздних моделей, ОС iOS 3.1–4.3.1 для iPod touch (3-го поколения) и более поздних моделей, ОС iOS 3.2–4.3.1 для iPad

    Воздействие. Злоумышленник, находящийся в привилегированном участке сети, может перехватывать учетные данные пользователя или другую конфиденциальную информацию.

    Описание. Несколько мошеннических сертификатов SSL выпущено одним из регистраторов-партнеров Comodo. Благодаря этому злоумышленник в ходе атаки «человек посередине» может перенаправлять подключения и перехватывать учетные данные пользователя или другую конфиденциальную информацию. Проблема решена путем занесения мошеннических сертификатов в черный список.

    Примечание. В ОС Mac OS X эта проблема решается обновлением системы безопасности 2011-002. В ОС Windows при определении уровня доверия сертификата SSL браузер Safari полагается на хранилище сертификатов операционной системы. Применение обновления, описываемого в статье базы знаний Microsoft 2524375, приведет к исключению браузером Safari этих сертификатов из числа доверенных. Указанная статья доступна по адресу http://support.microsoft.com/kb/2524375/ru-ru

  • Библиотека libxslt

    Доступно для: ОС iOS 3.0–4.3.1 для iPhone 3GS и более поздних моделей, ОС iOS 3.1–4.3.1 для iPod touch (3-го поколения) и более поздних моделей, ОС iOS 3.2–4.3.1 для iPad

    Воздействие. Посещение вредоносного веб-сайта может привести к разглашению адресов динамической памяти.

    Описание. Реализация функции XPath generate-id(), использованная в библиотеке libxslt, оставляла в открытом доступе адрес буфера динамической памяти. Посещение вредоносного веб-сайта могло приводить к разглашению адресов динамической памяти, что способствовало обходу защиты адресного пространства путем рандомизации схемы размещения. Проблема устранена созданием идентификатора, основанного на разности адресов двух буферов в динамической памяти.

    Идентификатор CVE

    CVE-2011-0195: Крис Эванс (Chris Evans), подразделение Google Chrome Security Team

  • Компонент QuickLook

    Доступно для: ОС iOS 3.0–4.3.1 для iPhone 3GS и более поздних моделей, ОС iOS 3.1–4.3.1 для iPod touch (3-го поколения) и более поздних моделей, ОС iOS 3.2–4.3.1 для iPad

    Воздействие. Просмотр вредоносного файла Microsoft Office может привести к неожиданному завершению работы программы или выполнению произвольного кода.

    Описание. При обработке компонентом QuickLook файлов Microsoft Office существовала проблема повреждения данных в памяти. Просмотр вредоносного файла Microsoft Office может привести к неожиданному завершению работы программы или выполнению произвольного кода.

    Идентификатор CVE

    CVE-2011-1417: Чарли Миллер (Charlie Miller) и Дайон Блазакис (Dion Blazakis) при сотрудничестве в рамках программы Zero Day Initiative компании TippingPoint

  • WebKit

    Доступно для: ОС iOS 3.0–4.3.1 для iPhone 3GS и более поздних моделей, ОС iOS 3.1–4.3.1 для iPod touch (3-го поколения) и более поздних моделей, ОС iOS 3.2–4.3.1 для iPad

    Воздействие. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода.

    Описание. В процедурах обработки наборов узлов существовала проблема целочисленного переполнения. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода.

    Идентификатор CVE

    CVE-2011-1290: Винченцо Йоззо (Vincenzo Iozzo), Виллем Пинкерс (Willem Pinckaers), Ральф-Филипп Вайнман (Ralf-Philipp Weinmann) и анонимный исследователь, сотрудничающий по программе Zero Day Initiative компании TippingPoint

  • WebKit

    Доступно для: ОС iOS 3.0–4.3.1 для iPhone 3GS и более поздних моделей, ОС iOS 3.1–4.3.1 для iPod touch (3-го поколения) и более поздних моделей, ОС iOS 3.2–4.3.1 для iPad

    Воздействие. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода.

    Описание. Во время обработки текстовых узлов возникала проблема выполнения после оператора free. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода.

    Идентификатор CVE

    CVE-2011-1344: Vupen Security при сотрудничестве в рамках программы Zero Day Initiative компании TippingPoint, а также Мартин Барбелла (Martin Barbella)

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного характера и не рекламируются компанией. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Помните, что использование любых сведений или продуктов, размещенных в Интернете, сопровождается риском. За дополнительной информацией обращайтесь к поставщику. Другие названия компаний или продуктов могут быть товарными знаками соответствующих владельцев.

Дата публикации: