Obsah zabezpečenia v aktualizácii softvéru iOS 4.2.7 pre iPhone

V tomto dokumente sa opisuje obsah zabezpečenia v aktualizácii softvéru iOS 4.2.7.

V tomto dokumente sa opisuje obsah zabezpečenia v aktualizácii softvéru iOS 4.2.7, ktorú možno stiahnuť a nainštalovať pomocou iTunes.

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.

Informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku „Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple“.

Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku „Aktualizácie zabezpečenia od spoločnosti Apple“.

Aktualizácia softvéru iOS 4.2.7 pre iPhone

  • Certificate Trust Policy

    K dispozícii pre: iOS 4.2.5 až 4.2.6 pre iPhone 4 (CDMA)

    Dopad: Útočník so sieťovými oprávneniami môže zachytávať prihlasovacie údaje používateľov alebo iné citlivé informácie

    Popis: Pridružená registračná autorita Comodo vydala niekoľko podvodných certifikátov SSL. Útočníkovi využívajúcemu útok typu MITM (man-in-the-middle) to môže umožniť presmerovať pripojenia a zachytávať prihlasovacie údaje používateľov alebo iné citlivé informácie. Tento problém bol vyriešený pridaním podvodných certifikátov do zoznamu zakázaných.

    Poznámka: Pre používateľov systémov Mac OS X bol tento problém vyriešený aktualizáciou zabezpečenia 2011-002. V prípade systémov Windows sa Safari pri určovaní, či je certifikát servera SSL dôveryhodný, spolieha na úložisko certifikátov hostiteľského operačného systému. Po aplikovaní aktualizácie opísanej v článku vedomostnej databázy Microsoftu 2524375 bude Safari tieto certifikáty považovať za nedôveryhodné. Článok je k dispozícii na adrese: http://support.microsoft.com/kb/2524375

  • QuickLook

    K dispozícii pre: iOS 4.2.5 až 4.2.6 pre iPhone 4 (CDMA)

    Dopad: Zobrazenie súboru balíka Microsoft Office so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k spusteniu ľubovoľného kódu

    Popis: Pri manipulácii so súbormi balíka Microsoft Office v programe QuickLook dochádzalo k problémom s poškodením pamäte. Zobrazenie súboru balíka Microsoft Office so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k spusteniu ľubovoľného kódu.

    CVE-ID

    CVE-2011-1417: Charlie Miller a Dion Blazakis v spolupráci s projektom Zero Day Initiative tímu TippingPoint

  • WebKit

    K dispozícii pre: iOS 4.2.5 až 4.2.6 pre iPhone 4 (CDMA)

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k spusteniu ľubovoľného kódu

    Popis: Pri manipulácii s množinami uzlov dochádzalo k problému s pretečením rozsahu celých čísel. Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k spusteniu ľubovoľného kódu.

    CVE-ID

    CVE-2011-1290: Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp Weinmann a anonymný výskumník v spolupráci s projektom Zero Day Initiative tímu TippingPoint

  • WebKit

    K dispozícii pre: iOS 4.2.5 až 4.2.6 pre iPhone 4 (CDMA)

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k spusteniu ľubovoľného kódu

    Popis: Pri manipulácii s textovými uzlami dochádzalo k problému s použitím po uvoľnení. Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k spusteniu ľubovoľného kódu.

    CVE-ID

    CVE-2011-1344: Vupen Security v spolupráci s projektom Zero Day Initiative tímu TippingPoint a Martin Barbella

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.

Dátum zverejnenia: