Informácie o obsahu súvisiacom so zabezpečením aktualizácií softvéru pre iPhone 2.0 a iPod touch 2.0
V tomto dokumente sa opisuje obsah súvisiaci so zabezpečením aktualizácií softvéru pre iPhone 2.0 a iPod touch 2.0.
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.
Ďalšie informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.
Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.
Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.
iPhone 2.0 a iPod touch 2.0
CFNetwork
CVE-ID: CVE-2008-0050
Dostupné pre: iPhone 1.0 až 1.1.4, iPod touch 1.1 až 1.1.4
Dopad: Proxy server so škodlivým kódom môže falšovať zabezpečené webové stránky
Popis: HTTPS proxy server so škodlivým kódom môže v chybe 502 Zlá brána vrátiť frameworku CFNetwork ľubovoľné údaje, čo by mohlo umožniť sfalšovanie zabezpečenej webovej stránky. Táto aktualizácia rieši tento problém tak, že pri chybe sa nevracajú údaje poskytnuté proxy serverom.
Kernel
CVE-ID: CVE-2008-0177
Dostupné pre: iPhone 1.0 až 1.1.4, iPod touch 1.1 až 1.1.4
Dopad: Vzdialený útočník môže byť schopný spôsobiť neočakávané resetovanie zariadenia
Popis: Pri spracúvaní paketov s hlavičkou IPComp dochádza k nezistenému zlyhaniu. Odoslanie paketu so škodlivým kódom do systému nakonfigurovanému na používanie protokolu IPSec alebo IPv6 môže spôsobiť neočakávané resetovanie zariadenia. Táto aktualizácia rieši tento problém správnym zisťovaním zlyhaní.
Safari
CVE-ID: CVE-2008-1588
Dostupné pre: iPhone 1.0 až 1.1.4, iPod touch 1.1 až 1.1.4
Dopad: Ideografické priestory Unicode možno použiť na falšovanie webovej stránky
Popis: Keď Safari zobrazí na lište s adresou aktuálnu URL adresu, vykreslia sa ideografické priestory Unicode. Webovej stránke so škodlivým kódom to umožňuje nasmerovať používateľa na falošnú stránku, ktorá sa vizuálne zdá byť legitímnou doménou. Táto aktualizácia rieši tento problém nevykresľovaním ideografických priestorov Unicode na lište s adresou.
Safari
CVE-ID: CVE-2008-1589
Dostupné pre: iPhone 1.0 až 1.1.4, iPod touch 1.1 až 1.1.4
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k úniku citlivých informácií
Popis: Keď Safari navštívi webovú stránku, ktorá používa certifikát s vlastným podpisom alebo neplatný certifikát, vyzve používateľa, aby certifikát prijal alebo odmietol. Ak používateľ pri zobrazenej výzve stlačí tlačidlo menu, pri ďalšej návšteve stránky bude certifikát prijatý bez výzvy. Môže to viesť k úniku citlivých informácií. Táto aktualizácia rieši tento problém vylepšením spracovania certifikátov. Poďakovanie za nahlásenie tohto problému si zaslúži Hiromitsu Takagi.
Safari
CVE-ID: CVE-2008-2303
Dostupné pre: iPhone 1.0 až 1.1.4, iPod touch 1.1 až 1.1.4
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Problém so znamienkami hodnôt pri spracúvaní indexov polí JavaScriptu v Safari môže viesť k prístupu k zakázanej pamäti. Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo vykonaniu ľubovoľného kódu. Táto aktualizácia rieši tento problém dodatočným overovaním indexov polí JavaScriptu. Poďakovanie za nahlásenie tohto problému si zaslúži SkyLined zo spoločnosti Google.
Safari
CVE-ID: CVE-2006-2783
Dostupné pre: iPhone 1.0 až 1.1.4, iPod touch 1.1 až 1.1.4
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k spúšťaniu skriptov z iných lokalít
Popis: Safari pri analýze webových stránok ignoruje sekvencie značiek poradia bajtov Unicode. Niektoré filtre webových stránok a webového obsahu sa pokúšajú čistiť vstup blokovaním konkrétnych značiek HTML. Tento prístup k filtrovaniu možno obísť, čo vedie k spúšťaniu skriptov z iných lokalít pri spracúvaní značiek HTML vytvorených so zlými úmyslami, ktoré obsahujú sekvencie značiek poradia bajtov. Táto aktualizácia rieši tento problém vylepšením spracovania sekvencií značiek poradia bajtov. Poďakovanie za nahlásenie tohto problému si zaslúži Chris Weber zo spoločnosti Casaba Security, LLC.
Safari
CVE-ID: CVE-2008-2307
Dostupné pre: iPhone 1.0 až 1.1.4, iPod touch 1.1 až 1.1.4
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Pri spracúvaní polí JavaScriptu nástrojom WebKit dochádza k problému súvisiacemu s poškodením pamäte. Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo vykonaniu ľubovoľného kódu. Táto aktualizácia rieši tento problém vylepšenou kontrolou rozsahu. Poďakovanie za nahlásenie tohto problému si zaslúži James Urquhart.
Safari
CVE-ID: CVE-2008-2317
Dostupné pre: iPhone 1.0 až 1.1.4, iPod touch 1.1 až 1.1.4
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Pri spracúvaní prvkov šablóny so štýlmi súčasťou WebCore dochádza k problému súvisiacemu s poškodením pamäte. Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo vykonaniu ľubovoľného kódu. Táto aktualizácia rieši tento problém vylepšeným uvoľňovaním pamäte. Poďakovanie za nahlásenie tohto problému si zaslúži projekt Zero Day Initiative spoločnosti TippingPoint.
Safari
CVE-ID: CVE-2007-6284
Dostupné pre: iPhone 1.0 až 1.1.4, iPod touch 1.1 až 1.1.4
Dopad: Spracovanie dokumentu XML môže viesť k odmietnutiu služby
Popis: Pri spracúvaní dokumentov XML obsahujúcich neplatné sekvencie UTF-8 dochádza k problému súvisiacemu so spotrebou pamäte, čo môže viesť k odmietnutiu služby. Táto aktualizácia rieši tento problém aktualizáciou systémovej knižnice libxml2 na verziu 2.6.16.
Safari
CVE-ID: CVE-2008-1767
Dostupné pre: iPhone 1.0 až 1.1.4, iPod touch 1.1 až 1.1.4
Dopad: Spracovanie dokumentu XML môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: V knižnici libxslt dochádza k problému s poškodením pamäte. Zobrazenie stránky HTML so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Ďalšie informácie o použitej oprave sú k dispozícii na webovej stránke http://xmlsoft.org/XSLT/. Poďakovanie za nahlásenie tohto problému si zaslúžia Anthony de Almeida Lopes zo spoločnosti Outpost24 AB a Chris Evans z tímu Google Security Team.
WebKit
CVE-ID: CVE-2008-1590
Dostupné pre: iPhone 1.0 až 1.1.4, iPod touch 1.1 až 1.1.4
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Pri uvoľňovaní pamäte v reálnom čase dochádza vo frameworku JavaScriptCore k problému súvisiacemu s poškodením pamäte. Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo vykonaniu ľubovoľného kódu. Táto aktualizácia rieši tento problém vylepšeným uvoľňovaním pamäte. Poďakovanie za nahlásenie tohto problému si zaslúžia Itzik Kotler a Jonathan Rom zo spoločnosti Radware.
WebKit
CVE-ID: CVE-2008-1025
Dostupné pre: iPhone 1.0 až 1.1.4, iPod touch 1.1 až 1.1.4
Dopad: Návšteva URL adresy so škodlivým kódom môže viesť k spúšťaniu skriptov z iných lokalít
Popis: Pri spracúvaní URL adries obsahujúcich dvojbodku v názve hostiteľa nástrojom WebKit dochádza k problému. Návšteva URL adresy so škodlivým kódom môže viesť k útoku na základe spúšťania skriptov z iných lokalít. Táto aktualizácia rieši tento problém vylepšením spracovania URL adries. Poďakovanie za nahlásenie tohto problému si zaslúžia Robert Swiecki z tímu Google Security Team a David Bloom.
WebKit
CVE-ID: CVE-2008-1026
Dostupné pre: iPhone 1.0 až 1.1.4, iPod touch 1.1 až 1.1.4
Dopad: Zobrazenie webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Pri spracúvaní regulárnych výrazov JavaScriptu nástrojom WebKit dochádza k pretečeniu medzipamäte haldy. Tento problém môže byť spustený prostredníctvom JavaScriptu pri spracúvaní regulárnych výrazov s veľkým počtom vnorených opakovaní. Môže to viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Táto aktualizácia rieši tento problém vykonávaním dodatočného overovania regulárnych výrazov JavaScriptu. Poďakovanie za nahlásenie tohto problému si zaslúži Charlie Miller zo spoločnosti Independent Security Evaluators.
Dôležité: Uvedenie webových stránok a produktov tretích strán slúži len na informačné účely a nepredstavuje podporu ani odporúčanie. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním informácií alebo produktov, ktoré sa nachádzajú na webových stránkach tretích strán. Spoločnosť Apple ich poskytuje len pre pohodlie používateľov. Spoločnosť Apple netestovala informácie uvedené na týchto stránkach a neposkytuje žiadne vyhlásenia týkajúce sa ich presnosti alebo spoľahlivosti. S používaním akýchkoľvek informácií alebo produktov uvedených na internete sú spojené riziká a spoločnosť Apple v tejto súvislosti nenesie žiadnu zodpovednosť. Webové stránky tretích strán sú nezávislé od spoločnosti Apple a spoločnosť Apple nemá žiadnu kontrolu nad ich obsahom. Ak potrebujete ďalšie informácie, kontaktujte príslušného dodávateľa.