Tento článok bol archivovaný a spoločnosť Apple ho už neaktualizuje.

Informácie o obsahu súvisiacom so zabezpečením aktualizácií softvéru pre iPhone 2.0 a iPod touch 2.0

V tomto dokumente sa opisuje obsah súvisiaci so zabezpečením aktualizácií softvéru pre iPhone 2.0 a iPod touch 2.0.

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.

Ďalšie informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.

Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.

iPhone 2.0 a iPod touch 2.0

  • CFNetwork

    CVE-ID: CVE-2008-0050

    Dostupné pre: iPhone 1.0 až 1.1.4, iPod touch 1.1 až 1.1.4

    Dopad: Proxy server so škodlivým kódom môže falšovať zabezpečené webové stránky

    Popis: HTTPS proxy server so škodlivým kódom môže v chybe 502 Zlá brána vrátiť frameworku CFNetwork ľubovoľné údaje, čo by mohlo umožniť sfalšovanie zabezpečenej webovej stránky. Táto aktualizácia rieši tento problém tak, že pri chybe sa nevracajú údaje poskytnuté proxy serverom.

  • Kernel

    CVE-ID: CVE-2008-0177

    Dostupné pre: iPhone 1.0 až 1.1.4, iPod touch 1.1 až 1.1.4

    Dopad: Vzdialený útočník môže byť schopný spôsobiť neočakávané resetovanie zariadenia

    Popis: Pri spracúvaní paketov s hlavičkou IPComp dochádza k nezistenému zlyhaniu. Odoslanie paketu so škodlivým kódom do systému nakonfigurovanému na používanie protokolu IPSec alebo IPv6 môže spôsobiť neočakávané resetovanie zariadenia. Táto aktualizácia rieši tento problém správnym zisťovaním zlyhaní.

  • Safari

    CVE-ID: CVE-2008-1588

    Dostupné pre: iPhone 1.0 až 1.1.4, iPod touch 1.1 až 1.1.4

    Dopad: Ideografické priestory Unicode možno použiť na falšovanie webovej stránky

    Popis: Keď Safari zobrazí na lište s adresou aktuálnu URL adresu, vykreslia sa ideografické priestory Unicode. Webovej stránke so škodlivým kódom to umožňuje nasmerovať používateľa na falošnú stránku, ktorá sa vizuálne zdá byť legitímnou doménou. Táto aktualizácia rieši tento problém nevykresľovaním ideografických priestorov Unicode na lište s adresou.

  • Safari

    CVE-ID: CVE-2008-1589

    Dostupné pre: iPhone 1.0 až 1.1.4, iPod touch 1.1 až 1.1.4

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k úniku citlivých informácií

    Popis: Keď Safari navštívi webovú stránku, ktorá používa certifikát s vlastným podpisom alebo neplatný certifikát, vyzve používateľa, aby certifikát prijal alebo odmietol. Ak používateľ pri zobrazenej výzve stlačí tlačidlo menu, pri ďalšej návšteve stránky bude certifikát prijatý bez výzvy. Môže to viesť k úniku citlivých informácií. Táto aktualizácia rieši tento problém vylepšením spracovania certifikátov. Poďakovanie za nahlásenie tohto problému si zaslúži Hiromitsu Takagi.

  • Safari

    CVE-ID: CVE-2008-2303

    Dostupné pre: iPhone 1.0 až 1.1.4, iPod touch 1.1 až 1.1.4

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Problém so znamienkami hodnôt pri spracúvaní indexov polí JavaScriptu v Safari môže viesť k prístupu k zakázanej pamäti. Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo vykonaniu ľubovoľného kódu. Táto aktualizácia rieši tento problém dodatočným overovaním indexov polí JavaScriptu. Poďakovanie za nahlásenie tohto problému si zaslúži SkyLined zo spoločnosti Google.

  • Safari

    CVE-ID: CVE-2006-2783

    Dostupné pre: iPhone 1.0 až 1.1.4, iPod touch 1.1 až 1.1.4

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k spúšťaniu skriptov z iných lokalít

    Popis: Safari pri analýze webových stránok ignoruje sekvencie značiek poradia bajtov Unicode. Niektoré filtre webových stránok a webového obsahu sa pokúšajú čistiť vstup blokovaním konkrétnych značiek HTML. Tento prístup k filtrovaniu možno obísť, čo vedie k spúšťaniu skriptov z iných lokalít pri spracúvaní značiek HTML vytvorených so zlými úmyslami, ktoré obsahujú sekvencie značiek poradia bajtov. Táto aktualizácia rieši tento problém vylepšením spracovania sekvencií značiek poradia bajtov. Poďakovanie za nahlásenie tohto problému si zaslúži Chris Weber zo spoločnosti Casaba Security, LLC.

  • Safari

    CVE-ID: CVE-2008-2307

    Dostupné pre: iPhone 1.0 až 1.1.4, iPod touch 1.1 až 1.1.4

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracúvaní polí JavaScriptu nástrojom WebKit dochádza k problému súvisiacemu s poškodením pamäte. Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo vykonaniu ľubovoľného kódu. Táto aktualizácia rieši tento problém vylepšenou kontrolou rozsahu. Poďakovanie za nahlásenie tohto problému si zaslúži James Urquhart.

  • Safari

    CVE-ID: CVE-2008-2317

    Dostupné pre: iPhone 1.0 až 1.1.4, iPod touch 1.1 až 1.1.4

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracúvaní prvkov šablóny so štýlmi súčasťou WebCore dochádza k problému súvisiacemu s poškodením pamäte. Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo vykonaniu ľubovoľného kódu. Táto aktualizácia rieši tento problém vylepšeným uvoľňovaním pamäte. Poďakovanie za nahlásenie tohto problému si zaslúži projekt Zero Day Initiative spoločnosti TippingPoint.

  • Safari

    CVE-ID: CVE-2007-6284

    Dostupné pre: iPhone 1.0 až 1.1.4, iPod touch 1.1 až 1.1.4

    Dopad: Spracovanie dokumentu XML môže viesť k odmietnutiu služby

    Popis: Pri spracúvaní dokumentov XML obsahujúcich neplatné sekvencie UTF-8 dochádza k problému súvisiacemu so spotrebou pamäte, čo môže viesť k odmietnutiu služby. Táto aktualizácia rieši tento problém aktualizáciou systémovej knižnice libxml2 na verziu 2.6.16.

  • Safari

    CVE-ID: CVE-2008-1767

    Dostupné pre: iPhone 1.0 až 1.1.4, iPod touch 1.1 až 1.1.4

    Dopad: Spracovanie dokumentu XML môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: V knižnici libxslt dochádza k problému s poškodením pamäte. Zobrazenie stránky HTML so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Ďalšie informácie o použitej oprave sú k dispozícii na webovej stránke http://xmlsoft.org/XSLT/. Poďakovanie za nahlásenie tohto problému si zaslúžia Anthony de Almeida Lopes zo spoločnosti Outpost24 AB a Chris Evans z tímu Google Security Team.

  • WebKit

    CVE-ID: CVE-2008-1590

    Dostupné pre: iPhone 1.0 až 1.1.4, iPod touch 1.1 až 1.1.4

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri uvoľňovaní pamäte v reálnom čase dochádza vo frameworku JavaScriptCore k problému súvisiacemu s poškodením pamäte. Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo vykonaniu ľubovoľného kódu. Táto aktualizácia rieši tento problém vylepšeným uvoľňovaním pamäte. Poďakovanie za nahlásenie tohto problému si zaslúžia Itzik Kotler a Jonathan Rom zo spoločnosti Radware.

  • WebKit

    CVE-ID: CVE-2008-1025

    Dostupné pre: iPhone 1.0 až 1.1.4, iPod touch 1.1 až 1.1.4

    Dopad: Návšteva URL adresy so škodlivým kódom môže viesť k spúšťaniu skriptov z iných lokalít

    Popis: Pri spracúvaní URL adries obsahujúcich dvojbodku v názve hostiteľa nástrojom WebKit dochádza k problému. Návšteva URL adresy so škodlivým kódom môže viesť k útoku na základe spúšťania skriptov z iných lokalít. Táto aktualizácia rieši tento problém vylepšením spracovania URL adries. Poďakovanie za nahlásenie tohto problému si zaslúžia Robert Swiecki z tímu Google Security Team a David Bloom.

  • WebKit

    CVE-ID: CVE-2008-1026

    Dostupné pre: iPhone 1.0 až 1.1.4, iPod touch 1.1 až 1.1.4

    Dopad: Zobrazenie webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracúvaní regulárnych výrazov JavaScriptu nástrojom WebKit dochádza k pretečeniu medzipamäte haldy. Tento problém môže byť spustený prostredníctvom JavaScriptu pri spracúvaní regulárnych výrazov s veľkým počtom vnorených opakovaní. Môže to viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Táto aktualizácia rieši tento problém vykonávaním dodatočného overovania regulárnych výrazov JavaScriptu. Poďakovanie za nahlásenie tohto problému si zaslúži Charlie Miller zo spoločnosti Independent Security Evaluators.

Dôležité: Uvedenie webových stránok a produktov tretích strán slúži len na informačné účely a nepredstavuje podporu ani odporúčanie. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním informácií alebo produktov, ktoré sa nachádzajú na webových stránkach tretích strán. Spoločnosť Apple ich poskytuje len pre pohodlie používateľov. Spoločnosť Apple netestovala informácie uvedené na týchto stránkach a neposkytuje žiadne vyhlásenia týkajúce sa ich presnosti alebo spoľahlivosti. S používaním akýchkoľvek informácií alebo produktov uvedených na internete sú spojené riziká a spoločnosť Apple v tejto súvislosti nenesie žiadnu zodpovednosť. Webové stránky tretích strán sú nezávislé od spoločnosti Apple a spoločnosť Apple nemá žiadnu kontrolu nad ich obsahom. Ak potrebujete ďalšie informácie, kontaktujte príslušného dodávateľa.

Dátum zverejnenia: