Obsah zabezpečenia v aktualizácii softvéru iOS 5.1
V tomto dokumente sa popisuje obsah zabezpečenia v aktualizácii softvéru iOS 5.1.
V tomto dokumente sa popisuje obsah zabezpečenia v aktualizácii softvéru iOS 5.1, ktorú možno stiahnuť a nainštalovať pomocou aplikácie iTunes.
S cieľom ochrany svojich zákazníkov spoločnosť Apple neposkytuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problém úplne nepreskúma a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.
Ďalšie informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.
Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.
Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.
Aktualizácia softvéru iOS 5.1
CFNetwork
K dispozícii pre: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generácia) a novší, iPad, iPad 2
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k úniku citlivých informácií
Popis: Pri spracovávaní chybných adries URL knižnicou CFNetwork dochádzalo k problému. Pri prístupe na adresu URL so škodlivým kódom mohla knižnica CFNetwork odosielať neočakávané hlavičky žiadosti.
CVE-ID
CVE-2012-0641: Erling Ellingsen zo spoločnosti Facebook
HFS
K dispozícii pre: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generácia) a novší, iPad, iPad 2
Dopad: Pripojenie obrazu disku s nebezpečným kódom môže viesť k vypnutiu zariadenia alebo spusteniu ľubovoľného kódu
Popis: Pri spracovávaní katalógových súborov HFS dochádzalo k podtečeniu celočíselný hodnôt.
CVE-ID
CVE-2012-0642: pod2g
Jadro
K dispozícii pre: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generácia) a novší, iPad, iPad 2
Dopad: Škodlivý program môže odísť obmedzenia izolovaného priestoru
Popis: Pri spracovávaní systémových volaní ladenia dochádzalo k logického problému. Škodlivému programu to umožňovalo spustiť kód v iných programoch s rovnakými oprávneniami používateľa.
CVE-ID
CVE-2012-0643: 2012 iOS Jailbreak Dream Team
libresolv
K dispozícii pre: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generácia) a novší, iPad, iPad 2
Dopad: Pri používaní aplikácií, ktoré používajú knižnice libresolv, môže dochádzať k ich neočakávanému ukončeniu alebo spusteniu ľubovoľného kódu
Popis: Pri spracovávaní záznamov o zdrojoch DNS dochádzalo k pretečeniu celočíselný hodnôt, čo mohlo viesť k poškodeniu pamäte haldy.
CVE-ID
CVE-2011-3453: Ilja van Sprundel zo spoločnosti IOActive
Uzamykanie heslom
K dispozícii pre: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generácia) a novší, iPad, iPad 2
Dopad: Osoba s fyzickým prístupom k zariadeniu môže obísť uzamknutie obrazovky
Popis: Pri spracovávaní gest volania potiahnutím prstom dochádzalo k problému s postupnosťou vykonania procesov. Osobe s fyzickým prístupom k zariadeniu to mohlo umožniť obísť obrazovku uzamknutia heslom.
CVE-ID
CVE-2012-0644: Roland Kohler z nemeckého Spolkového ministerstva hospodárstva a technológií
Safari
K dispozícii pre: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generácia) a novší, iPad, iPad 2
Dopad: Návštevy webových stránok sa môžu zaznamenávať v histórii prehliadača, aj keď je aktívne anonymné prezeranie
Popis: Funkcia anonymného prezerania v prehliadači Safari je navrhnutá tak, aby zabraňovala zaznamenávaniu relácie prezerania. Stránky navštívené v dôsledku použitia metódy pushState alebo replaceState jazyka JavaScript na lokalite sa zaznamenali v histórii prehliadača, aj keď bol aktívny režim anonymného prezerania. Tento problém bol vyriešený nastavením systému tak, aby sa takéto návštevy nezaznamenávali, keď je aktívne anonymné prezeranie.
CVE-ID
CVE-2012-0585: Eric Melville zo spoločnosti American Express
Siri
K dispozícii pre: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generácia) a novší, iPad, iPad 2
Dopad: Útočník s fyzickým prístupom k uzamknutému telefónu mohol získať prístup k prvej e-mailovej správe
Popis: V obmedzeniach funkcie Siri pre uzamknutú obrazovku existoval problém v technickom riešení. Ak bolo povolené použitie funkcie Siri na uzamknutej obrazovke a za uzamknutou obrazovkou bola otvorená aplikácia Mail s vybratou správou, pomocou hlasového príkazu bolo možné odoslať túto správu ľubovoľnému príjemcovi. Tento problém bol vyriešený zakázaním preposielania aktívnych správ z uzamknutej obrazovky.
CVE-ID
CVE-2012-0645
VPN
K dispozícii pre: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generácia) a novší, iPad, iPad 2
Dopad: Systémový konfiguračný súbor so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu so systémovými oprávneniami
Popis: Pri spracovávaní konfiguračných súborov súčasti racoon existovalo nedostatočne zabezpečené miesto reťazca formátu.
CVE-ID
CVE-2012-0646: pod2g
WebKit
K dispozícii pre: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generácia) a novší, iPad, iPad 2
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k odhaleniu súborov cookie
Popis: V mechanizme WebKit existoval problém so zámenou pôvodu, ktorý mohol umožniť odhalenie súborov cookie z rôznych zdrojov.
CVE-ID
CVE-2011-3887: Sergey Glazunov
WebKit
K dispozícii pre: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generácia) a novší, iPad, iPad 2
Dopad: Návšteva webovej stránky so škodlivým kódom a potiahnutie obsahu pomocou myši môže viesť k útoku využívajúcemu skriptovanie medzi lokalitami (XSS)
Popis: V mechanizme WebKit existoval problém so zámenou pôvodu, ktorý mohol umožňovať presúvanie obsahu pomocou myši medzi rôznymi zdrojovými servermi.
CVE-ID
CVE-2012-0590: Adam Barth z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome
WebKit
K dispozícii pre: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generácia) a novší, iPad, iPad 2
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k útoku využívajúcemu skriptovanie medzi lokalitami (XSS)
Popis: V mechanizme WebKit existovalo viacero problémov so zámenou pôvodu.
CVE-ID
CVE-2011-3881: Sergey Glazunov
CVE-2012-0586: Sergey Glazunov
CVE-2012-0587: Sergey Glazunov
CVE-2012-0588: Jochen Eisinger z tímu spoločnosti Google pre prehliadač Chrome
CVE-2012-0589: Alan Austin z polyvore.com
WebKit
K dispozícii pre: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generácia) a novší, iPad, iPad 2
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: V mechanizme WebKit existovalo viacero problémov súvisiacich s poškodením pamäte.
CVE-ID
CVE-2011-2825: wushi zo skupiny team509 v spolupráci s projektom TippingPoint Zero Day Initiative
CVE-2011-2833: Apple
CVE-2011-2846: Arthur Gerkis, miaubiz
CVE-2011-2847: miaubiz, Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer
CVE-2011-2854: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer
CVE-2011-2855: Arthur Gerkis, wushi zo skupiny team509 v spolupráci s programom iDefense VCP
CVE-2011-2857: miaubiz
CVE-2011-2860: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer
CVE-2011-2867: Dirk Schulze
CVE-2011-2868: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer
CVE-2011-2869: Cris Neckar z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer
CVE-2011-2870: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer
CVE-2011-2871: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer
CVE-2011-2872: Abhishek Arya (Inferno) a Cris Neckar z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer
CVE-2011-2873: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer
CVE-2011-2877: miaubiz
CVE-2011-3885: miaubiz
CVE-2011-3888: miaubiz
CVE-2011-3897: pa_kt v spolupráci s projektom TippingPoint Zero Day Initiative
CVE-2011-3908: Aki Helin zo spoločnosti OUSPG
CVE-2011-3909: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome (scarybeasts) a Chu
CVE-2011-3928: wushi zo skupiny team509 v spolupráci s projektom TippingPoint Zero Day Initiative
CVE-2012-0591: miaubiz a Martin Barbella
CVE-2012-0592: Alexander Gavrun v spolupráci s projektom TippingPoint Zero Day Initiative
CVE-2012-0593: Lei Zhang z vývojovej komunity projektu Chromium
CVE-2012-0594: Adam Klein z vývojovej komunity projektu Chromium
CVE-2012-0595: Apple
CVE-2012-0596: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer
CVE-2012-0597: miaubiz
CVE-2012-0598: Sergey Glazunov
CVE-2012-0599: Dmytro Gorbunov zo SaveSources.com
CVE-2012-0600: Marshall Greenblatt, Dharani Govindan z tímu spoločnosti Google pre prehliadač Chrome, miaubiz, Aki Helin zo spoločnosti OUSPG, Apple
CVE-2012-0601: Apple
CVE-2012-0602: Apple
CVE-2012-0603: Apple
CVE-2012-0604: Apple
CVE-2012-0605: Apple
CVE-2012-0606: Apple
CVE-2012-0607: Apple
CVE-2012-0608: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer
CVE-2012-0609: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer
CVE-2012-0610: miaubiz, Martin Barbella s použitím aplikácie AddressSanitizer
CVE-2012-0611: Martin Barbella s použitím aplikácie AddressSanitizer
CVE-2012-0612: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer
CVE-2012-0613: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer
CVE-2012-0614: miaubiz, Martin Barbella s použitím aplikácie AddressSanitizer
CVE-2012-0615: Martin Barbella s použitím aplikácie AddressSanitizer
CVE-2012-0616: miaubiz
CVE-2012-0617: Martin Barbella s použitím aplikácie AddressSanitizer
CVE-2012-0618: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer
CVE-2012-0619: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer
CVE-2012-0620: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer
CVE-2012-0621: Martin Barbella s použitím aplikácie AddressSanitizer
CVE-2012-0622: Dave Levin a Abhishek Arya z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2012-0623: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer
CVE-2012-0624: Martin Barbella s použitím aplikácie AddressSanitizer
CVE-2012-0625: Martin Barbella
CVE-2012-0626: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer
CVE-2012-0627: Apple
CVE-2012-0628: Slawomir Blazek, miaubiz, Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer
CVE-2012-0629: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2012-0630: Sergio Villar Senin zo spoločnosti Igalia
CVE-2012-0631: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2012-0632: Cris Neckar z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer
CVE-2012-0633: Apple
CVE-2012-0635: Julien Chaffraix z vývojovej komunity projektu Chromium, Martin Barbella s použitím aplikácie AddressSanitizer
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.