Obsah zabezpečenia v aktualizácii softvéru iOS 5.1

V tomto dokumente sa popisuje obsah zabezpečenia v aktualizácii softvéru iOS 5.1.

V tomto dokumente sa popisuje obsah zabezpečenia v aktualizácii softvéru iOS 5.1, ktorú možno stiahnuť a nainštalovať pomocou aplikácie iTunes.

S cieľom ochrany svojich zákazníkov spoločnosť Apple neposkytuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problém úplne nepreskúma a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.

Ďalšie informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.

Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.

Aktualizácia softvéru iOS 5.1

  • CFNetwork

    K dispozícii pre: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generácia) a novší, iPad, iPad 2

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k úniku citlivých informácií

    Popis: Pri spracovávaní chybných adries URL knižnicou CFNetwork dochádzalo k problému. Pri prístupe na adresu URL so škodlivým kódom mohla knižnica CFNetwork odosielať neočakávané hlavičky žiadosti.

    CVE-ID

    CVE-2012-0641: Erling Ellingsen zo spoločnosti Facebook

  • HFS

    K dispozícii pre: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generácia) a novší, iPad, iPad 2

    Dopad: Pripojenie obrazu disku s nebezpečným kódom môže viesť k vypnutiu zariadenia alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní katalógových súborov HFS dochádzalo k podtečeniu celočíselný hodnôt.

    CVE-ID

    CVE-2012-0642: pod2g

  • Jadro

    K dispozícii pre: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generácia) a novší, iPad, iPad 2

    Dopad: Škodlivý program môže odísť obmedzenia izolovaného priestoru

    Popis: Pri spracovávaní systémových volaní ladenia dochádzalo k logického problému. Škodlivému programu to umožňovalo spustiť kód v iných programoch s rovnakými oprávneniami používateľa.

    CVE-ID

    CVE-2012-0643: 2012 iOS Jailbreak Dream Team

  • libresolv

    K dispozícii pre: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generácia) a novší, iPad, iPad 2

    Dopad: Pri používaní aplikácií, ktoré používajú knižnice libresolv, môže dochádzať k ich neočakávanému ukončeniu alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní záznamov o zdrojoch DNS dochádzalo k pretečeniu celočíselný hodnôt, čo mohlo viesť k poškodeniu pamäte haldy.

    CVE-ID

    CVE-2011-3453: Ilja van Sprundel zo spoločnosti IOActive

  • Uzamykanie heslom

    K dispozícii pre: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generácia) a novší, iPad, iPad 2

    Dopad: Osoba s fyzickým prístupom k zariadeniu môže obísť uzamknutie obrazovky

    Popis: Pri spracovávaní gest volania potiahnutím prstom dochádzalo k problému s postupnosťou vykonania procesov. Osobe s fyzickým prístupom k zariadeniu to mohlo umožniť obísť obrazovku uzamknutia heslom.

    CVE-ID

    CVE-2012-0644: Roland Kohler z nemeckého Spolkového ministerstva hospodárstva a technológií

  • Safari

    K dispozícii pre: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generácia) a novší, iPad, iPad 2

    Dopad: Návštevy webových stránok sa môžu zaznamenávať v histórii prehliadača, aj keď je aktívne anonymné prezeranie

    Popis: Funkcia anonymného prezerania v prehliadači Safari je navrhnutá tak, aby zabraňovala zaznamenávaniu relácie prezerania. Stránky navštívené v dôsledku použitia metódy pushState alebo replaceState jazyka JavaScript na lokalite sa zaznamenali v histórii prehliadača, aj keď bol aktívny režim anonymného prezerania. Tento problém bol vyriešený nastavením systému tak, aby sa takéto návštevy nezaznamenávali, keď je aktívne anonymné prezeranie.

    CVE-ID

    CVE-2012-0585: Eric Melville zo spoločnosti American Express

  • Siri

    K dispozícii pre: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generácia) a novší, iPad, iPad 2

    Dopad: Útočník s fyzickým prístupom k uzamknutému telefónu mohol získať prístup k prvej e-mailovej správe

    Popis: V obmedzeniach funkcie Siri pre uzamknutú obrazovku existoval problém v technickom riešení. Ak bolo povolené použitie funkcie Siri na uzamknutej obrazovke a za uzamknutou obrazovkou bola otvorená aplikácia Mail s vybratou správou, pomocou hlasového príkazu bolo možné odoslať túto správu ľubovoľnému príjemcovi. Tento problém bol vyriešený zakázaním preposielania aktívnych správ z uzamknutej obrazovky.

    CVE-ID

    CVE-2012-0645

  • VPN

    K dispozícii pre: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generácia) a novší, iPad, iPad 2

    Dopad: Systémový konfiguračný súbor so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu so systémovými oprávneniami

    Popis: Pri spracovávaní konfiguračných súborov súčasti racoon existovalo nedostatočne zabezpečené miesto reťazca formátu.

    CVE-ID

    CVE-2012-0646: pod2g

  • WebKit

    K dispozícii pre: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generácia) a novší, iPad, iPad 2

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k odhaleniu súborov cookie

    Popis: V mechanizme WebKit existoval problém so zámenou pôvodu, ktorý mohol umožniť odhalenie súborov cookie z rôznych zdrojov.

    CVE-ID

    CVE-2011-3887: Sergey Glazunov

  • WebKit

    K dispozícii pre: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generácia) a novší, iPad, iPad 2

    Dopad: Návšteva webovej stránky so škodlivým kódom a potiahnutie obsahu pomocou myši môže viesť k útoku využívajúcemu skriptovanie medzi lokalitami (XSS)

    Popis: V mechanizme WebKit existoval problém so zámenou pôvodu, ktorý mohol umožňovať presúvanie obsahu pomocou myši medzi rôznymi zdrojovými servermi.

    CVE-ID

    CVE-2012-0590: Adam Barth z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome

  • WebKit

    K dispozícii pre: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generácia) a novší, iPad, iPad 2

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k útoku využívajúcemu skriptovanie medzi lokalitami (XSS)

    Popis: V mechanizme WebKit existovalo viacero problémov so zámenou pôvodu.

    CVE-ID

    CVE-2011-3881: Sergey Glazunov

    CVE-2012-0586: Sergey Glazunov

    CVE-2012-0587: Sergey Glazunov

    CVE-2012-0588: Jochen Eisinger z tímu spoločnosti Google pre prehliadač Chrome

    CVE-2012-0589: Alan Austin z polyvore.com

  • WebKit

    K dispozícii pre: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generácia) a novší, iPad, iPad 2

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: V mechanizme WebKit existovalo viacero problémov súvisiacich s poškodením pamäte.

    CVE-ID

    CVE-2011-2825: wushi zo skupiny team509 v spolupráci s projektom TippingPoint Zero Day Initiative

    CVE-2011-2833: Apple

    CVE-2011-2846: Arthur Gerkis, miaubiz

    CVE-2011-2847: miaubiz, Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer

    CVE-2011-2854: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer

    CVE-2011-2855: Arthur Gerkis, wushi zo skupiny team509 v spolupráci s programom iDefense VCP

    CVE-2011-2857: miaubiz

    CVE-2011-2860: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer

    CVE-2011-2867: Dirk Schulze

    CVE-2011-2868: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer

    CVE-2011-2869: Cris Neckar z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer

    CVE-2011-2870: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer

    CVE-2011-2871: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer

    CVE-2011-2872: Abhishek Arya (Inferno) a Cris Neckar z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer

    CVE-2011-2873: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer

    CVE-2011-2877: miaubiz

    CVE-2011-3885: miaubiz

    CVE-2011-3888: miaubiz

    CVE-2011-3897: pa_kt v spolupráci s projektom TippingPoint Zero Day Initiative

    CVE-2011-3908: Aki Helin zo spoločnosti OUSPG

    CVE-2011-3909: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome (scarybeasts) a Chu

    CVE-2011-3928: wushi zo skupiny team509 v spolupráci s projektom TippingPoint Zero Day Initiative

    CVE-2012-0591: miaubiz a Martin Barbella

    CVE-2012-0592: Alexander Gavrun v spolupráci s projektom TippingPoint Zero Day Initiative

    CVE-2012-0593: Lei Zhang z vývojovej komunity projektu Chromium

    CVE-2012-0594: Adam Klein z vývojovej komunity projektu Chromium

    CVE-2012-0595: Apple

    CVE-2012-0596: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer

    CVE-2012-0597: miaubiz

    CVE-2012-0598: Sergey Glazunov

    CVE-2012-0599: Dmytro Gorbunov zo SaveSources.com

    CVE-2012-0600: Marshall Greenblatt, Dharani Govindan z tímu spoločnosti Google pre prehliadač Chrome, miaubiz, Aki Helin zo spoločnosti OUSPG, Apple

    CVE-2012-0601: Apple

    CVE-2012-0602: Apple

    CVE-2012-0603: Apple

    CVE-2012-0604: Apple

    CVE-2012-0605: Apple

    CVE-2012-0606: Apple

    CVE-2012-0607: Apple

    CVE-2012-0608: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer

    CVE-2012-0609: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer

    CVE-2012-0610: miaubiz, Martin Barbella s použitím aplikácie AddressSanitizer

    CVE-2012-0611: Martin Barbella s použitím aplikácie AddressSanitizer

    CVE-2012-0612: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer

    CVE-2012-0613: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer

    CVE-2012-0614: miaubiz, Martin Barbella s použitím aplikácie AddressSanitizer

    CVE-2012-0615: Martin Barbella s použitím aplikácie AddressSanitizer

    CVE-2012-0616: miaubiz

    CVE-2012-0617: Martin Barbella s použitím aplikácie AddressSanitizer

    CVE-2012-0618: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer

    CVE-2012-0619: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer

    CVE-2012-0620: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer

    CVE-2012-0621: Martin Barbella s použitím aplikácie AddressSanitizer

    CVE-2012-0622: Dave Levin a Abhishek Arya z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2012-0623: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer

    CVE-2012-0624: Martin Barbella s použitím aplikácie AddressSanitizer

    CVE-2012-0625: Martin Barbella

    CVE-2012-0626: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer

    CVE-2012-0627: Apple

    CVE-2012-0628: Slawomir Blazek, miaubiz, Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer

    CVE-2012-0629: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2012-0630: Sergio Villar Senin zo spoločnosti Igalia

    CVE-2012-0631: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2012-0632: Cris Neckar z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer

    CVE-2012-0633: Apple

    CVE-2012-0635: Julien Chaffraix z vývojovej komunity projektu Chromium, Martin Barbella s použitím aplikácie AddressSanitizer

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.

Dátum zverejnenia: