Informácie o obsahu týkajúcom sa zabezpečenia v aktualizácii softvéru pre iPhone 1.1.1
V tomto dokumente sa opisuje obsah zabezpečenia v aktualizácii softvéru pre iPhone v1.1.1.
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.
Informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.
Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.
Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia od spoločnosti Apple.
Aktualizácia softvéru pre iPhone v1.1.1
Bluetooth
CVE-ID: CVE-2007-3753
Dopad: Útočník v dosahu pripojenia Bluetooth môže spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu.
Popis: Na Bluetooth serveri iPhonu dochádza k problému súvisiacemu s overovaním vstupu. Odosielaním paketov protokolu Service Discovery Protocol (SDP) so škodlivým kódom do iPhonu s aktivovaným rozhraním Bluetooth môže útočník spôsobiť problém, ktorý môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Táto aktualizácia rieši tento problém tým, že vykonáva dodatočné overovanie paketov SDP. Tento problém nahlásili Kevin Mahaffey a John Hering zo spoločnosti Flexilis Mobile Security, za čo im ďakujeme.
CVE-ID: CVE-2007-3754
Dopad: Čítanie e-mailov cez nedôveryhodné siete môže viesť k zverejneniu informácií prostredníctvom útoku typu „sprostredkovateľ“.
Popis: Keď je aplikácia Mail nakonfigurovaná na používanie protokolu SSL v prípade prichádzajúcich a odchádzajúcich pripojení, neupozorní používateľa, keď dôjde k zmene identity poštového servera alebo keď sa jej nedá dôverovať. Útočník, ktorý dokáže zachytiť pripojenie, môže byť schopný napodobniť poštový server používateľa a získať prihlasovacie údaje používateľa do e-mailovej schránky alebo iné citlivé informácie. Táto aktualizácia rieši tento problém tým, že správne upozorňuje na zmenu identity vzdialeného poštového servera.
CVE-ID: CVE-2007-3755
Dopad: Po kliknutí na odkaz s telefónnym číslom (tel:) v aplikácii Mail sa telefónne číslo vytočí bez potvrdenia.
Popis: Aplikácia Mail podporuje vytáčanie telefónnych čísel prostredníctvom odkazov s telefónnym číslom (tel:). Nalákaním používateľa, aby klikol na odkaz s telefónnym číslom v e-mailovej správe, útočník môže spôsobiť, že iPhone uskutoční hovor bez potvrdenia zo strany používateľa. Táto aktualizácia rieši tento problém tým, že pred vytočením telefónneho čísla prostredníctvom odkazu s telefónnym číslom v aplikácii Mail poskytne potvrdzovacie okno. Tento problém nahlásil Andi Baritchi zo spoločnosti McAfee, za čo mu ďakujeme.
Safari
CVE-ID: CVE-2007-3756
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k odhaleniu obsahu URL adries.
Popis: Problém s návrhom v prehliadači Safari umožňuje webovej stránke čítať URL adresu, ktorá sa práve zobrazuje v nadradenom okne. Nalákaním používateľa na návštevu webovej stránky so škodlivým kódom môže útočník získať URL adresu nesúvisiacej stránky. Táto aktualizácia rieši tento problém prostredníctvom vylepšenej kontroly zabezpečenia medzi doménami. Tento problém nahlásil Michal Zalewski zo spoločností Google Inc. a Secunia Research, za čo mu ďakujeme.
Safari
CVE-ID: CVE-2007-3757
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neúmyselnému vytočeniu alebo k vytočeniu iného čísla, než sa očakávalo.
Popis: Prehliadač Safari podporuje vytáčanie telefónnych čísel prostredníctvom odkazov s telefónnym číslom (tel:). Keď kliknete na odkaz s telefónnym číslom, Safari potvrdí, že sa dané číslo má vytočiť. Odkaz s telefónnym číslom so škodlivým kódom môže spôsobiť, že sa počas potvrdenia zobrazí iné číslo, než ktoré sa v skutočnosti vytočilo. Ukončenie prehliadača Safari počas procesu potvrdzovania môže viesť k neúmyselnému potvrdeniu. Táto aktualizácia rieši tento problém tým, že správne zobrazuje číslo, ktoré sa vytočí, a v prípade odkazov s telefónnymi číslami vyžaduje potvrdenie. Tento problém nahlásili Billy Hoffman a Bryan Sullivan zo spoločnosti HP Security Labs (predtým SPI Labs) a Eduardo Tang, za čo im ďakujeme.
Safari
CVE-ID: CVE-2007-3758
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k spúšťaniu skriptov medzi lokalitami.
Popis: V prehliadači Safari existuje zraniteľnosť týkajúca sa spúšťania skriptov medzi lokalitami, ktorá umožňuje webovým stránkam so škodlivým kódom nastaviť vlastnosti okna JavaScript webových stránok, ktoré sa získavajú z inej domény. Nalákaním používateľa na návštevu webovej stránky so škodlivým kódom môže útočník spôsobiť problém, ktorý môže viesť k získaniu alebo nastaveniu stavu okna a polohy stránok, ktoré sa získavajú z iných webových lokalít. Táto aktualizácia rieši tento problém poskytnutím vylepšeného riadenia prístupu k týmto vlastnostiam. Tento problém nahlásil Michal Zalewski zo spoločnosti Google Inc., za čo mu ďakujeme.
Safari
CVE-ID: CVE-2007-3759
Dopad: Deaktivácia JavaScriptu sa prejaví až po reštarte prehliadača Safari.
Popis: Safari je možné nakonfigurovať tak, aby sa JavaScript povolil alebo zakázal. Toto nastavenie sa prejaví až pri ďalšom reštartovaní prehliadača Safari. To sa zvyčajne vykoná pri reštartovaní iPhonu. To môže používateľov pomýliť, takže sa domnievajú, že JavaScript je zakázaný, aj keď nie je. Táto aktualizácia rieši tento problém tým, že nové nastavenie použije ešte pred načítaním nových webových stránok.
Safari
CVE-ID: CVE-2007-3760
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k spúšťaniu skriptov medzi lokalitami.
Popis: Problém so spúšťaním skriptov medzi lokalitami v prehliadači Safari umožňuje webovej stránke so škodlivým kódom obísť mechanizmus SOP (Same Origin Policy) pomocou značiek „frame“. Nalákaním používateľa na návštevu webovej stránky so škodlivým kódom môže útočník spôsobiť problém, ktorý môže viesť k spusteniu JavaScriptu v kontexte inej stránky. Táto aktualizácia rieši tento problém tým, že nepovoľuje JavaScript ako zdroj „iframe“ a obmedzuje JavaScript v značkách „frame“ na rovnaký prístup ako stránka, z ktorej sa získal. Tento problém nahlásil Michal Zalewski zo spoločností Google Inc. a Secunia Research, za čo mu ďakujeme.
Safari
CVE-ID: CVE-2007-3761
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k spúšťaniu skriptov medzi lokalitami.
Popis: Problém so spúšťaním skriptov medzi lokalitami v prehliadači Safari umožňuje priradenie udalostí JavaScriptu k nesprávnemu rámcu. Nalákaním používateľa na návštevu webovej stránky so škodlivým kódom môže útočník spôsobiť spustenie JavaScriptu v kontexte inej stránky. Táto aktualizácia rieši tento problém priradením udalostí JavaScriptu k správnemu zdrojovému rámcu.
Safari
CVE-ID: CVE-2007-4671
Dopad: JavaScript na webových stránkach môže mať prístup k obsahu dokumentov získavaných cez HTTPS alebo s ním môže manipulovať.
Popis: Problém v prehliadači Safari umožňuje obsahu získavanému cez HTTP meniť obsah získavaný cez HTTPS v rovnakej doméne alebo k nemu pristupovať. Nalákaním používateľa na návštevu webovej stránky so škodlivým kódom môže útočník spôsobiť spustenie JavaScriptu v kontexte webových stránok HTTPS v danej doméne. Táto aktualizácia rieši tento problém tým, že obmedzuje prístup medzi JavaScriptom spúšťaným v HTTP a rámcami HTTPS. Tento problém nahlásil Keigo Yamazaki zo spoločnosti LAC Co., Ltd. (Little eArth Corporation Co., Ltd.), za čo mu ďakujeme.
Poznámka k inštalácii:
Táto aktualizácia je k dispozícii iba cez iTunes a nezobrazí sa v aplikácii Aktualizácia softvéru vo vašom počítači ani na webovej stránke spoločnosti Apple so súbormi na stiahnutie. Uistite sa, že máte pripojenie na internet a nainštalovanú najnovšiu verziu aplikácie iTunes zo stránky www.apple.com/itunes.
iTunes bude automaticky kontrolovať aktualizačný server spoločnosti Apple podľa svojho týždenného rozvrhu. Keď sa zistí nejaká aktualizácia, stiahne ju. Keď je iPhone pripojený, aplikácia iTunes poskytne používateľovi možnosť nainštalovať príslušnú aktualizáciu. Ak je to možné, odporúčame aktualizáciu aplikovať okamžite. Ak si vyberiete možnosť Neinštalovať, možnosť aktualizácie sa zobrazí, keď nabudúce pripojíte svoj iPhone.
Proces automatickej aktualizácie môže trvať až týždeň v závislosti odo dňa, v ktorom aplikácia iTunes zisťuje dostupnosť aktualizácií. Aktualizáciu môžete získať manuálne prostredníctvom tlačidla Vyhľadať aktualizáciu v aplikácii iTunes. Po vykonaní tohto kroku je možné aktualizáciu aplikovať, keď iPhone pripojíte k svojmu počítaču.
Ak chcete skontrolovať, či sa iPhone aktualizoval:
Prejdite na Nastavenia.
Kliknite na Všeobecné.
Kliknite na Informácie. Po aplikovaní tejto aktualizácie sa verzia zmení na 1.1.1 (3A109a).