Informácie o obsahu súvisiacom so zabezpečením v aktualizácii softvéru pre iPhone v1.0.1
Tento dokument opisuje obsah súvisiaci so zabezpečením v aktualizácii softvéru pre iPhone v1.0.1, ktorá sa dá stiahnuť a nainštalovať cez iTunes, ako je to uvedené nižšie.
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa tieto problémy úplne nepreskúmajú a kým nebudú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej lokalite zabezpečenia produktov spoločnosti Apple.
Informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku „Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple“.
Pokiaľ je to možné, ako odkazy na ďalšie informácie o príslušných chybách zabezpečenia sa používajú identifikátory CVE.
Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku „Aktualizácie zabezpečenia od spoločnosti Apple“.
Aktualizácia softvéru pre iPhone v1.0.1
Safari
Identifikátor CVE: CVE-2007-2400
K dispozícii pre: iPhone v1.0
Dopad: Návšteva webovej lokality so škodlivým kódom môže umožniť skriptovanie naprieč lokalitami.
Popis: Model zabezpečenia prehliadača Safari bráni JavaScriptu na vzdialených webových stránkach upravovať stránky mimo ich domény. Stav súbehu pri aktualizácii stránky v kombinácii s presmerovaním HTTP môže umožniť JavaScriptu z jednej stránky upraviť presmerovanú stránku. To by mohlo umožniť čítanie alebo ľubovoľné úpravy súborov cookie a stránok. Táto aktualizácia rieši tento problém prostredníctvom opravy riadenia prístupu k vlastnostiam okna. Tento problém nahlásili Lawrence Lai, Stan Switzer a Ed Rowe zo spoločnosti Adobe Systems, Inc., za čo im patrí poďakovanie.
Safari
Identifikátor CVE: CVE-2007-3944
K dispozícii pre: iPhone v1.0
Dopad: Zobrazenie webovej stránky so škodlivým kódom môže viesť k vykonaniu ľubovoľného kódu.
Popis: V knižnici PCRE (Perl Compatible Regular Expressions), ktorú používa modul JavaScript v prehliadači Safari, dochádza k pretečeniam medzipamäte haldy. Útočník môže tým, že naláka používateľa na návštevu webovej stránky so škodlivým kódom, vyvolať tento problém, čo môže viesť k vykonaniu ľubovoľného kódu. Táto aktualizácia rieši tento problém prostredníctvom vykonávania dodatočného overovania regulárnych výrazov JavaScriptu. Tieto problémy nahlásili Charlie Miller a Jake Honoroff z firmy Independent Security Evaluators, za čo im patrí poďakovanie.
WebCore
Identifikátor CVE: CVE-2007-2401
K dispozícii pre: iPhone v1.0
Dopad: Návšteva webovej lokality so škodlivým kódom môže umožniť žiadosti naprieč lokalitami.
Popis: V súčasti XMLHttpRequest dochádza pri serializácii hlavičiek do žiadosti HTTP k problému s vkladaním cudzieho kódu HTTP. Útočník by tým, že naláka používateľa na návštevu webovej stránky so škodlivým kódom, mohol vyvolať problém so skriptovaním naprieč lokalitami. Táto aktualizácia rieši tento problém prostredníctvom vykonávania dodatočného overovania parametrov hlavičky. Tento problém nahlásil Richard Moore zo spoločnosti Westpoint Ltd., za čo mu patrí poďakovanie.
WebKit
Identifikátor CVE: CVE-2007-3742
K dispozícii pre: iPhone v1.0
Dopad: Podobné znaky v URL adrese by mohli byť použité na vydávanie sa za inú webovú lokalitu.
Popis: S použitím podpory medzinárodných názvov domén IDN (International Domain Name) a písiem Unicode integrovaných v prehliadači Safari by mohla byť vytvorená URL adresa obsahujúca podobné znaky. To by bolo možné využiť na webovej lokalite so škodlivým kódom na nasmerovanie používateľa na sfalšovanú lokalitu, ktorá sa vizuálne javí ako legitímna doména. Táto aktualizácia rieši tento problém prostredníctvom vylepšenej kontroly platnosti názvov domén. Tento problém nahlásil Tomohito Yoshino zo spoločnosti Business Architects Inc., za čo mu patrí poďakovanie.
WebKit
Identifikátor CVE: CVE-2007-2399
K dispozícii pre: iPhone v1.0
Dopad: Návšteva webovej lokality so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo vykonaniu ľubovoľného kódu.
Popis: Neplatná konverzia typov pri vykresľovaní súborov rámcov by mohla viesť k poškodeniu obsahu pamäte. Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo vykonaniu ľubovoľného kódu. Tento problém nahlásil Rhys Kidd zo spoločnosti Westnet, za čo mu patrí poďakovanie.
Poznámka k inštalácii
Táto aktualizácia je k dispozícii iba cez iTunes a nezobrazí sa v aplikácii Software Update vo vašom počítači ani na webovej lokalite podpory spoločnosti Apple so súbormi na stiahnutie. Uistite sa, že máte pripojenie na internet a nainštalovanú najnovšiu verziu aplikácie iTunes zo stránky https://www.apple.com/sk/itunes/.
iTunes automaticky kontroluje aktualizačný server spoločnosti Apple podľa svojho týždenného rozvrhu. Keď sa zistí nejaká aktualizácia, stiahne ju. Keď je iPhone v doku, aplikácia iTunes poskytne používateľovi možnosť nainštalovať príslušnú aktualizáciu. Ak je to možné, odporúčame aktualizáciu aplikovať okamžite. Ak zvolíte možnosť „Neinštalovať“, možnosť aktualizácie sa zobrazí, keď nabudúce pripojíte svoj iPhone. Proces automatickej aktualizácie môže trvať až týždeň v závislosti od dňa, v ktorom aplikácia iTunes zisťuje dostupnosť aktualizácií.
Aktualizáciu môžete získať manuálne prostredníctvom tlačidla „Vyhľadať aktualizácie“ alebo príslušnej položky v menu aplikácie iTunes. Po vykonaní tohto kroku je možné aktualizáciu aplikovať, keď budete mať svoj iPhone pripojený k svojmu počítaču.
Postup kontroly toho, či bol iPhone aktualizovaný:
Na iPhone prejdite na Nastavenia.
Kliknite na položku Všeobecné.
Kliknite na položku Informácie. Po aplikovaní tejto aktualizácie sa verzia zmení na „1.0.1 (1C25)“.