Obsah zabezpečenia v systéme iOS 6
Prečítajte si informácie o obsahu zabezpečenia v systéme iOS 6.
Systém iOS 6 možno stiahnuť a nainštalovať pomocou aplikácie iTunes.
V tomto dokumente sa popisuje obsah zabezpečenia v systéme iOS 6.
Spoločnosť Apple chráni svojich zákazníkov, a preto neposkytuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problém úplne nepreskúma a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.
Ďalšie informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP na zabezpečenie produktov spoločnosti Apple.
Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.
Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.
iOS 6
CFNetwork
K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší
Dôsledok: Návšteva webovej stránky so škodlivým kódom môže viesť k úniku citlivých informácií
Popis: Pri spracovávaní chybných adries URL knižnicou CFNetwork dochádzalo k problému. Knižnica CFNetwork mohla odosielať požiadavky nesprávnemu hostiteľovi, čo mohlo viesť k úniku citlivých informácií. Tento problém bol vyriešený vylepšením spracovávania adries URL.
CVE-ID
CVE-2012-3724: Erling Ellingsen zo spoločnosti Facebook
CoreGraphics
K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší
Dôsledok: Viacero nedostatočne zabezpečených miest v knižnici FreeType
Popis: V knižnici FreeType existovalo viacero nedostatočne zabezpečených miest, pričom tie najslabšie zabezpečené z nich mohli pri spracovaní písma so škodlivým kódom spôsobiť spusteniu ľubovoľného kódu. Tieto problémy boli vyriešené aktualizovaním knižnice FreeType na verziu 2.4.9. Ďalšie informácie sú dostupné na stránke knižnice FreeType na adrese http://www.freetype.org.
CVE-ID
CVE-2012-1126
CVE-2012-1127
CVE-2012-1128
CVE-2012-1129
CVE-2012-1130
CVE-2012-1131
CVE-2012-1132
CVE-2012-1133
CVE-2012-1134
CVE-2012-1135
CVE-2012-1136
CVE-2012-1137
CVE-2012-1138
CVE-2012-1139
CVE-2012-1140
CVE-2012-1141
CVE-2012-1142
CVE-2012-1143
CVE-2012-1144
CoreMedia
K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší
Dôsledok: Zobrazenie súboru videa so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Pri spracovávaní video súborov s kódovaním Sorenson dochádzalo k problému s prístupom k neinicializovanej pamäti. Tento problém bol vyriešený vylepšením inicializácie pamäte.
CVE-ID
CVE-2012-3722: Will Dormann zo skupiny CERT/CC
DHCP
K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší
Dôsledok: Škodlivá Wi-Fi sieti môže byť schopná rozpoznať siete, ku ktorým bolo zariadenie pripojené v minulosti
Popis: Po pripojení k Wi-Fi sieti môže systém iOS prostredníctvom protokolu DNAv4 vysielať MAC adresy sietí, ku ktorým sa zariadenie pripájalo v minulosti. Tento problém bol vyriešený vypnutím protokolu DNAv4 v nešifrovaných Wi-Fi sieťach.
CVE-ID
CVE-2012-3725: Mark Wuergler zo spoločnosti Immunity, Inc.
ImageIO
K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší
Dôsledok: Zobrazenie súboru TIFF so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Pri spracovávaní obrázkov TIFF s kódovaním ThunderScan prostredníctvom knižnice libtiff dochádzalo k pretečeniu medzipamäte. Tento problém bol vyriešený aktualizovaním knižnice libtiff na verziu 3.9.5.
CVE-ID
CVE-2011-1167
ImageIO
K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší
Dôsledok: Zobrazenie obrázka PNG so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Pri spracovávaní obrázkov PNG knižnicou libpng dochádzalo k viacerým problémom s poškodením pamäte. Tieto problémy boli vyriešené vylepšením overovania obrázkov PNG.
CVE-ID
CVE-2011-3026: Jüri Aedla
CVE-2011-3048
CVE-2011-3328
ImageIO
K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší
Dôsledok: Zobrazenie obrázka JPEG so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Pri spracovávaní obrázkov JPEG knižnicou ImageIO dochádzalo k problému s dvojitým uvoľnením. Tento problém bol vyriešený vylepšením správy pamäte.
CVE-ID
CVE-2012-3726: Phil zo spoločnosti PKJE Consulting
ImageIO
K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší
Dôsledok: Zobrazenie obrázka TIFF so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Pri spracovávaní obrázkov TIFF knižnicou libTIFF dochádzalo k problému s pretečením celočíselných hodnôt. Tento problém bol vyriešený vylepšením overovania obrázkov TIFF.
CVE-ID
CVE-2012-1173: Alexander Gavrun v spolupráci s projektom Zero Day Initiative spoločnosti HP
Medzinárodné komponenty pre kódovanie Unicode
K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší
Dôsledok: Pri používaní aplikácií, ktoré používajú knižnice ICU, môže dochádzať k ich neočakávanému ukončeniu alebo spusteniu ľubovoľného kódu
Popis: Pri spracovávaní identifikátorov miestnych nastavení knižnicou ICU dochádzalo k pretečeniu zásobníka. Tento problém bol vyriešený vylepšením kontroly rozsahu.
CVE-ID
CVE-2011-4599
IPSec
K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší
Dôsledok: Načítanie konfiguračného súboru súčasti racoon s nebezpečným kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Pri spracovávaní konfiguračných súborov súčasti racoon dochádzalo k pretečeniu medzipamäte. Tento problém bol vyriešený vylepšením kontroly rozsahu.
CVE-ID
CVE-2012-3727: iOS Jailbreak Dream Team
Jadro
K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší
Dôsledok: Lokálny používateľ môže byť schopný spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Pri spracovávaní volaní ioctl filtrovania balíkov prostredníctvom jadra dochádzalo k problému s neplatným presmerovaním ukazovateľa. Útočníkovi to mohlo umožniť zmeniť pamäť jadra. Tento problém bol vyriešený vylepšením spracovania chýb.
CVE-ID
CVE-2012-3728: iOS Jailbreak Dream Team
Jadro
K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší
Dôsledok: Lokálny používateľ môže určiť rozloženie pamäte jadra
Popis: V prekladači rozhrania Berkeley Packet Filter dochádzalo k problému s prístupom k neinicializovanej pamäti, čo mohlo viesť k odhaleniu obsahu pamäte. Tento problém bol vyriešený vylepšením inicializácie pamäte.
CVE-ID
CVE-2012-3729: Dan Rosenberg
libxml
K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší
Dôsledok: Zobrazenie webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: V knižnici libxml existovalo viacero nedostatočne zabezpečených miest, pričom najslabšie zabezpečené z nich mohli spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu. Tieto problémy boli vyriešené použitím príslušných opráv v smere klient – server.
CVE-ID
CVE-2011-1944: Chris Evans z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2011-2821: Yang Dingning z organizácie NCNIPC, absolvent univerzity Čínskej akadémie vied
CVE-2011-2834: Yang Dingning z organizácie NCNIPC, absolvent univerzity Čínskej akadémie vied
CVE-2011-3919: Jüri Aedla
Mail
K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší
Dôsledok: V aplikácii Mail sa môže v správe zobraziť nesprávna príloha
Popis: Pri spracovávaní príloh aplikáciou Mail dochádzalo k logickému problému. Ak by bolo v nasledujúcej prílohe e-mailu použité rovnaké ID obsahu ako v predchádzajúcej prílohe, zobrazila by sa predchádzajúca príloha, a to aj v prípade, keď obidva e-maily odoslali rôzni odosielatelia. To mohlo viesť k útokom založeným na falšovaní IP adresy alebo útokom zameraným na odcudzenie informácií. Tento problém bol vyriešený vylepšením spracovávania príloh.
CVE-ID
CVE-2012-3730: Angelo Prado z tímu zabezpečenia produktov spoločnosti salesforce.com
Mail
K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší
Dôsledok: Prílohy e-mailov možno čítať bez hesla používateľa
Popis: V spôsobe ochrany dát e-mailových príloh v aplikácii Mail sa vyskytol logický problém. Tento problém bol vyriešený správnym nastavením triedy ochrany dát pre e-mailové prílohy.
CVE-ID
CVE-2012-3731: Stephen Prairie zo spoločnosti Travelers Insurance, Erich Stuntebeck zo spoločnosti AirWatch
Mail
K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší
Dôsledok: Útočník môže sfalšovať odosielateľa správy podpísanej podľa štandardu S/MIME
Popis: V správach podpísaných podľa štandardu S/MIME sa namiesto mena priradeného k identite používateľa, ktorý podpísal správu, zobrazovala nedôveryhodná adresa odosielateľa. Tento problém bol vyriešený zobrazením adresy priradenej k identite používateľa, ktorý správu podpísal (ak je k dispozícii).
CVE-ID
CVE-2012-3732: Anonymný výskumník
Správy
K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší
Popis: Používateľ môže neúmyselne odhaliť existenciu svojich e-mailových adries
Popis: Ak mal používateľ k službe iMessage pripojených viacero e-mailových adries, pri odpovedaní na správu mohlo dôjsť k odoslaniu odpovede z inej e-mailovej adresy. Mohlo tak dôjsť k odhaleniu iných e-mailových adries priradených k účtu používateľa. Tento problém bol vyriešený nastavením systému tak, aby sa v odpovedi vždy použila e-mailová adresa, na ktorú bola odoslaná pôvodná správa.
CVE-ID
CVE-2012-3733: Rodney S. Foley zo spoločnosti Gnomesoft, LLC
Office Viewer
K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší
Dôsledok: Dáta nezašifrovaného dokumentu sa môžu zapisovať do dočasného súboru
Popi: V podpore zobrazenia súborov balíka Microsoft Office dochádzalo k problému s únikom informácií. Pri zobrazení dokumentu zapisovala aplikácia Office Viewer dáta prezeraného dokumentu do dočasného súboru umiestneného v dočasnom adresári volaného procesu. V prípade aplikácie, ktorá na ochranu používateľských súborov používa ochranu dát alebo iné šifrovanie, to mohlo viesť k úniku informácií. Tento problém bol vyriešený nastavením systému tak, aby sa pri zobrazení dokumentov Office nevytvárali dočasné súbory.
CVE-ID
CVE-2012-3734: Salvatore Cataudella zo spoločnosti Open Systems Technologies
OpenGL
K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší
Dôsledok: Pri používaní aplikácií, ktoré používajú implementáciu rozhrania OpenGL systému OS X, môže dochádzať k ich neočakávanému ukončeniu alebo spusteniu ľubovoľného kódu
Popis: Pri kompilovaní jazyka GLSL dochádzalo k viacerým problémom s poškodením pamäte. Tieto problémy boli vyriešené vylepšením overovania grafických funkcií shader v jazyku GLSL.
CVE-ID
CVE-2011-3457: Chris Evans z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome a Marc Schoenefeld z tímu spoločnosti Red Hat na riešenie problémov so zabezpečením
Uzamykanie heslom
K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší
Dôsledok: Osoba s fyzickým prístupom k zariadeniu mohla na uzamknutom zariadení nakrátko zahliadnuť naposledy použitú aplikáciu od iného dodávateľa
Popis: Pri zobrazení posuvníka „Vypnúť“ na uzamknutej obrazovke dochádzalo k logickému problému. Tento problém bol vyriešený vylepšením správy stavu uzamknutia.
CVE-ID
CVE-2012-3735: Chris Lawrence DBB
Uzamykanie heslom
K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší
Dôsledok: Osoba s fyzickým prístupom k zariadeniu môže obísť uzamknutie obrazovky
Popis: Pri ukončovaní videohovorov FaceTime zo zamknutej obrazovky dochádzalo k logickému problému. Tento problém bol vyriešený vylepšením správy stavu uzamknutia.
CVE-ID
CVE-2012-3736: Ian Vitek zo spoločnosti 2Secure AB
Uzamykanie heslom
K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší
Dôsledok: Všetky fotky môžu byť prístupné aj cez uzamknutú obrazovku
Popis: V rámci podpory prezerania fotiek zhotovených z uzamknutej obrazovky existoval problém v technickom riešení. Aby sa dalo určiť, k akým fotkám sa má umožniť prístup, funkcia uzamykania heslom zisťuje čas, kedy bolo zariadenie uzamknuté, a porovná ho s časom zhotovenia fotky. Sfalšovaním aktuálneho času mohol útočník získať prístup k fotkám, ktoré boli zhotovené pred uzamknutím zariadenia. Tieto problémy boli vyriešené presným sledovaním fotiek zhotovených uzamknutým zariadením.
CVE-ID
CVE-2012-3737: Ade Barkah zo spoločnosti BlueWax Inc.
Uzamykanie heslom
K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší
Dôsledok: Osoba s fyzickým prístupom k uzamknutému zariadeniu môže uskutočňovať videohovory FaceTime
Popis: Na obrazovke núdzového hovoru dochádzalo k logickému problému, ktorý umožňoval hlasovým vytáčaním uskutočňovať videohovory FaceTime na uzamknutom zariadení. Mohlo tiež dôjsť k odhaleniu kontaktov používateľa prostredníctvom návrhov kontaktov. Tento problém bol vyriešený tým, že na obrazovke núdzového hovoru bolo vypnuté hlasové vytáčanie.
CVE-ID
CVE-2012-3738: Ade Barkah zo spoločnosti BlueWax Inc.
Uzamykanie heslom
K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší
Dôsledok: Osoba s fyzickým prístupom k zariadeniu môže obísť uzamknutie obrazovky
Popis: Použitie kamery zo zamknutej obrazovky mohlo v niektorých prípadoch narušiť funkciu automatického uzamknutia obrazovky. Osoba s fyzickým prístupom k zariadeniu tak mohla obísť obrazovku uzamknutia heslom. Tento problém bol vyriešený vylepšením správy stavu uzamknutia.
CVE-ID
CVE-2012-3739: Sebastian Spanninger z Rakúskeho spolkového výpočtového strediska (BRZ)
Uzamykanie heslom
K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší
Dôsledok: Osoba s fyzickým prístupom k zariadeniu môže obísť uzamknutie obrazovky
Popis: Pri spracovávaní uzamknutia obrazovky dochádzalo k problému so správou stavu. Tento problém bol vyriešený vylepšením správy stavu uzamknutia.
CVE-ID
CVE-2012-3740: Ian Vitek zo spoločnosti 2Secure AB
Obmedzenia
K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší
Popis: Používateľ mohol nakupovať bez zadania prihlasovacích údajov účtu Apple ID
Popis: Po vypnutí funkcie Obmedzenia sa mohlo stať, že systém iOS nezobrazil počas transakcie výzvu na zadanie hesla používateľa. Tento problém bol vyriešený pridaním vynútenia autorizácie nákupu.
CVE-ID
CVE-2012-3741: Kevin Makens zo školy Redwood High School
Safari
K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší
Dôsledok: Webové stránky môžu vo svojom názve používať znaky, ktoré sa podobajú ikone zámku
Popis: Webové stránky mohli v názve stránky používať znak Unicode, ktorý slúži na vytvorenie ikony zámku. Táto ikona bola vzhľadom podobná ikone, ktorá sa používa na označenie zabezpečeného pripojenia, čo mohlo používateľa viesť k chybnému záveru, že ide o zabezpečené pripojenie. Tento problém bol vyriešený odstránením týchto znakov z názvov stránok.
CVE-ID
CVE-2012-3742: Boku Kihara zo spoločnosti Lepidum
Safari
K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší
Dôsledok: Na webovej stránke môže dôjsť k automatickému vyplneniu hesla, a to aj v prípade, že v špecifikácii stránky je automatické dokončovanie vypnuté
Popis: V prvkoch na zadanie hesla, ktoré mali vypnutý atribút automatického dokončovania, dochádzalo k automatickému dokončovaniu. Tento problém bol vyriešený vylepšením spracovávania atribútu automatického dokončovania.
CVE-ID
CVE-2012-0680: Dan Poltawski zo spoločnosti Moodle
Systémové protokoly
K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší
Dôsledok: Aplikácie v izolovanom priestore môžu získať obsah systémového protokolu
Popis: Aplikácie v izolovanom priestore mali prístup na čítanie k adresáru /var/log a mohli tak získať citlivé informácie zo systémových protokolov. Tento problém bol vyriešený odmietnutím prístupu k adresáru /var/log aplikáciám v izolovanom priestore.
CVE-ID
CVE-2012-3743
Telefónne funkcie
K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší
Dôsledok: SMS správa môže vyzerať tak, ako keby ju odoslal ľubovoľný používateľ
Popis: V SMS správach sa namiesto odosielateľa zobrazovala adresa pre odpoveď. Adresy pre odpoveď sa však dajú sfalšovať. Tento problém bol vyriešený nastavením systému tak, aby sa namiesto adresy pre odpoveď zobrazovala pôvodná adresa odosielateľa.
CVE-ID
CVE-2012-3744: pod2g
Telefónne funkcie
K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší
Dôsledok: SMS správa môže rušiť pripojenie k mobilnej sieti
Popis: Pri spracovávaní hlavičiek používateľských dát v SMS správach mohlo dôjsť k pretečeniu vyrovnávacej pamäte tesným prekročením vymedzeného rozsahu. Tento problém bol vyriešený vylepšenou kontrolou rozsahu.
CVE-ID
CVE-2012-3745: pod2g
UIKit
K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší
Dôsledok: Útočník, ktorý získal prístup k systému súborov zariadenia, môže čítať súbory zobrazené triedou UIWebView
Popis: Aplikácie, ktoré používajú triedu UIWebView, mohli v systéme súborov ponechať nešifrované súbory, aj keď bolo zapnuté heslo. Tento problém bol vyriešený vylepšenou ochranou dát.
CVE-ID
CVE-2012-3746: Ben Smith zo spoločnosti Box
WebKit
K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší
Dôsledok: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: V mechanizme WebKit existovalo viacero problémov súvisiacich s poškodením pamäte. Tieto problémy boli vyriešené vylepšením spracovania pamäte.
CVE-ID
CVE-2011-3016: miaubiz
CVE-2011-3021: Arthur Gerkis
CVE-2011-3027: miaubiz
CVE-2011-3032: Arthur Gerkis
CVE-2011-3034: Arthur Gerkis
CVE-2011-3035: wushi zo skupiny team509 v spolupráci s Arthurom Gerkisom, účastníkom programu iDefense VCP
CVE-2011-3036: miaubiz
CVE-2011-3037: miaubiz
CVE-2011-3038: miaubiz
CVE-2011-3039: miaubiz
CVE-2011-3040: miaubiz
CVE-2011-3041: miaubiz
CVE-2011-3042: miaubiz
CVE-2011-3043: miaubiz
CVE-2011-3044: Arthur Gerkis
CVE-2011-3050: miaubiz
CVE-2011-3053: miaubiz
CVE-2011-3059: Arthur Gerkis
CVE-2011-3060: miaubiz
CVE-2011-3064: Atte Kettunen zo spoločnosti OUSPG
CVE-2011-3068: miaubiz
CVE-2011-3069: miaubiz
CVE-2011-3071: pa_kt v spolupráci s projektom Zero Day Initiative spoločnosti HP
CVE-2011-3073: Arthur Gerkis
CVE-2011-3074: Slawomir Blazek
CVE-2011-3075: miaubiz
CVE-2011-3076: miaubiz
CVE-2011-3078: Martin Barbella z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2011-3081: miaubiz
CVE-2011-3086: Arthur Gerkis
CVE-2011-3089: Skylined z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome, miaubiz
CVE-2011-3090: Arthur Gerkis
CVE-2011-3105: miaubiz
CVE-2011-3913: Arthur Gerkis
CVE-2011-3924: Arthur Gerkis
CVE-2011-3926: Arthur Gerkis
CVE-2011-3958: miaubiz
CVE-2011-3966: Aki Helin zo spoločnosti OUSPG
CVE-2011-3968: Arthur Gerkis
CVE-2011-3969: Arthur Gerkis
CVE-2011-3971: Arthur Gerkis
CVE-2012-0682: Oddelenie spoločnosti Apple pre zabezpečenie produktov
CVE-2012-0683: Dave Mandelin zo spoločnosti Mozilla
CVE-2012-1520: Martin Barbella z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer, Jose A. Vazquez z spa-s3c.blogspot.com v spolupráci s programom iDefense VCP
CVE-2012-1521: Skylined z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome, Jose A. Vazquez z spa-s3c.blogspot.com v spolupráci s programom iDefense VCP
CVE-2012-2818: miaubiz
CVE-2012-3589: Dave Mandelin zo spoločnosti Mozilla
CVE-2012-3590: Oddelenie spoločnosti Apple pre zabezpečenie produktov
CVE-2012-3591: Oddelenie spoločnosti Apple pre zabezpečenie produktov
CVE-2012-3592: Oddelenie spoločnosti Apple pre zabezpečenie produktov
CVE-2012-3593: Oddelenie spoločnosti Apple pre zabezpečenie produktov
CVE-2012-3594: miaubiz
CVE-2012-3595: Martin Barbella z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2012-3596: Skylined z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2012-3597: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2012-3598: Oddelenie spoločnosti Apple pre zabezpečenie produktov
CVE-2012-3599: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2012-3600: David Levin z vývojovej komunity projektu Chromium
CVE-2012-3601: Martin Barbella z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer
CVE-2012-3602: miaubiz
CVE-2012-3603: Oddelenie spoločnosti Apple pre zabezpečenie produktov
CVE-2012-3604: Skylined z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2012-3605: Cri Neckar z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2012-3608: Skylined z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2012-3609: Skylined z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2012-3610: Skylined z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2012-3611: Oddelenie spoločnosti Apple pre zabezpečenie produktov
CVE-2012-3612: Skylined z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2012-3613: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2012-3614: Yong Li zo spoločnosti Research In Motion, Inc.
CVE-2012-3615: Stephen Chenney z vývojovej komunity projektu Chromium
CVE-2012-3617: Oddelenie spoločnosti Apple pre zabezpečenie produktov
CVE-2012-3618: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2012-3620: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2012-3624: Skylined z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2012-3625: Skylined z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2012-3626: Oddelenie spoločnosti Apple pre zabezpečenie produktov
CVE-2012-3627: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2012-3628: Oddelenie spoločnosti Apple pre zabezpečenie produktov
CVE-2012-3629: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2012-3630: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2012-3631: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2012-3633: Martin Barbella z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer
CVE-2012-3634: Martin Barbella z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer
CVE-2012-3635: Martin Barbella z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer
CVE-2012-3636: Martin Barbella z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer
CVE-2012-3637: Martin Barbella z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer
CVE-2012-3638: Martin Barbella z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer
CVE-2012-3639: Martin Barbella z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer
CVE-2012-3640: miaubiz
CVE-2012-3641: Slawomir Blazek
CVE-2012-3642: miaubiz
CVE-2012-3644: miaubiz
CVE-2012-3645: Martin Barbella z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer
CVE-2012-3646: Julien Chaffraix z vývojovej komunity projektu Chromium, Martin Barbella z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer
CVE-2012-3647: Skylined z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2012-3648: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2012-3651: Abhishek Arya (Inferno) a Martin Barbella z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2012-3652: Martin Barbella z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2012-3653: Martin Barbella z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer
CVE-2012-3655: Skylined z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2012-3656: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2012-3658: Apple
CVE-2012-3659: Mario Gomes z netfuzzer.blogspot.com, Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2012-3660: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2012-3661: Oddelenie spoločnosti Apple pre zabezpečenie produktov
CVE-2012-3663: Skylined z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2012-3664: Thomas Sepez z vývojovej komunity projektu Chromium
CVE-2012-3665: Martin Barbella z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer
CVE-2012-3666: Apple
CVE-2012-3667: Trevor Squires z propaneapp.com
CVE-2012-3668: Oddelenie spoločnosti Apple pre zabezpečenie produktov
CVE-2012-3669: Oddelenie spoločnosti Apple pre zabezpečenie produktov
CVE-2012-3670: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2012-3671: Skylined a Martin Barbella z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2012-3672: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2012-3673: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2012-3674: Skylined z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2012-3676: Julien Chaffraix z vývojovej komunity projektu Chromium
CVE-2012-3677: Apple
CVE-2012-3678: Oddelenie spoločnosti Apple pre zabezpečenie produktov
CVE-2012-3679: Chris Leary zo spoločnosti Mozilla
CVE-2012-3680: Skylined z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2012-3681: Apple
CVE-2012-3682: Adam Barth z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2012-3683: wushi zo skupiny team509 v spolupráci s programom iDefense VCP
CVE-2012-3684: kuzzcc
CVE-2012-3686: Robin Cao zo spoločnosti Torch Mobile (Peking)
CVE-2012-3703: Oddelenie spoločnosti Apple pre zabezpečenie produktov
CVE-2012-3704: Skylined z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome
CVE-2012-3706: Oddelenie spoločnosti Apple pre zabezpečenie produktov
CVE-2012-3708: Apple
CVE-2012-3710: James Robinson zo spoločnosti Google
CVE-2012-3747: David Bloom zo spoločnosti Cue
WebKit
K dispozícii pre: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generácia) a novší, iPad, iPad 2
Dôsledok: Návšteva webovej stránky so škodlivým kódom môže viesť k úniku informácií medzi stránkami
Popis: Pri spracovávaní hodnôt vlastností CSS dochádzalo k problému so zámenou pôvodu. Tento problém bol vyriešený vylepšením sledovania pôvodu.
CVE-ID
CVE-2012-3691: Apple
WebKit
K dispozícii pre: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generácia) a novší, iPad, iPad 2
Dôsledok: Webová stránka so škodlivým kódom môže byť schopná nahradiť obsah prvku iframe na inej stránke
Popis: Pri spracovávaní prvkov iframe v automaticky otváraných oknách dochádzalo k problému so zámenou pôvodu. Tento problém bol vyriešený vylepšením sledovania pôvodu.
CVE-ID
CVE-2011-3067: Sergey Glazunov
WebKit
K dispozícii pre: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generácia) a novší, iPad, iPad 2
Dôsledok: Návšteva webovej stránky so škodlivým kódom môže viesť k úniku informácií medzi stránkami
Popis: Pri spracovávaní prvkov iframe a identifikátorov fragmentov dochádzalo k problému so zámenou pôvodu. Tento problém bol vyriešený vylepšením sledovania pôvodu.
CVE-ID
CVE-2012-2815: Elie Bursztein, Baptiste Gourdin, Gustav Rydstedt a Dan Boneh z laboratória zabezpečenia na Stanfordovej univerzite
WebKit
K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší
Popis: Znaky v adrese URL, ktoré sú si podobné, možno použiť na maskovanie pravej webovej stránky
Popis: Podpora medzinárodných názvov domén (IDN) a písiem Unicode v prehliadači Safari mohla byť použitá na vytvorenie adresy URL obsahujúcej znaky, ktoré sú si podobné. Takáto adresa mohla byť použitá na webovej stránke so škodlivým kódom na presmerovanie používateľa na falošnú stránku, ktorá sa podobá pravej doméne a vydáva sa za ňu. Tento problém bol vyriešený doplnením zoznamu znakov, o ktorých sa vie, že sú si podobné, do mechanizmu WebKit. Na vykreslenie podobných znakov na paneli s adresou sa teraz používa kódovanie Punycode.
CVE-ID
CVE-2012-3693: Matt Cooley zo spoločnosti Symantec
WebKit
K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší
Dôsledok: Návšteva webovej stránky so škodlivým kódom môže viesť k útoku využívajúcemu skriptovanie medzi lokalitami (XSS)
Popis: Pri spracovávaní adries URL dochádzalo k problému s normalizáciou. To mohlo viesť k spusteniu skriptu medzi stránkami, ktoré používajú vlastnosť location.href. Tento problém bol vyriešený vylepšením normalizácie adries URL.
CVE-ID
CVE-2012-3695: Masato Kinugawa
WebKit
K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší
Dôsledok: Návšteva webovej stránky so škodlivým kódom môže viesť k rozdeleniu požiadavky HTTP
Popis: Pri spracovávaní identifikátorov WebSocket dochádzalo k problému s vkladaním hlavičky HTTP. Tento problém bol vyriešený vylepšením čistenia identifikátorov URI protokolu WebSocket.
CVE-ID
CVE-2012-3696: David Belcher z tímu spoločnosti BlackBerry na riešenie problémov so zabezpečením
WebKit
K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší
Dôsledok: Webová stránka so škodlivým kódom môže sfalšovať hodnotu na paneli adresy URL
Popis: Pri spracovávaní histórie relácií dochádzalo k problému so správou stavu. Pri prechode na fragment aktuálnej stránky sa mohli na paneli adresy URL v prehliadači Safari zobraziť nesprávne informácie. Tento problém bol vyriešený vylepšením sledovania stavu relácií.
CVE-ID
CVE-2011-2845: Jordi Chancel
WebKit
K dispozícii pre: iPhone 3GS a novší, iPod touch (4. generácia) a novší, iPad 2 a novší
Dôsledok: Návšteva webovej stránky so škodlivým kódom môže viesť k odhaleniu obsahu pamäte
Popis: Pri spracovávaní obrázkov SVG dochádzalo k problému s prístupom k neinicializovanej pamäti. Tento problém bol vyriešený vylepšením inicializácie pamäte.
CVE-ID
CVE-2012-3650: Apple
Služba FaceTime nie je k dispozícii vo všetkých krajinách alebo oblastiach.
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.