Obsah zabezpečenia v aktualizácii iOS 4.2

V tomto dokumente sa popisuje obsah zabezpečenia v aktualizácii iOS 4.2, ktorú možno stiahnuť a nainštalovať pomocou aplikácie iTunes.

V tomto dokumente sa popisuje obsah zabezpečenia v aktualizácii iOS 4.2, ktorú možno stiahnuť a nainštalovať pomocou aplikácie iTunes.

S cieľom ochrany svojich zákazníkov spoločnosť Apple neposkytuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problém úplne nepreskúma a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.

Ďalšie informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.

Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.

iOS 4.2

  • Konfiguračné profily

    CVE-ID: CVE-2010-3827

    K dispozícii pre: iOS 2.0 až 4.1 pre iPhone 3G a novší, iOS 2.1 až 4.1 pre iPod touch (2. generácia) a novší, iOS 3.2 až 3.2.2 pre iPad

    Dopad: Používateľa možno oklamať a prinútiť nainštalovať konfiguračný profil so škodlivým kódom

    Popis: Pri spracovávaní konfiguračných profilov dochádzalo k problému s overením podpisu. Konfiguračný profil so škodlivým kódom sa mohol v utilite na inštaláciu konfigurácie zobrazovať ako profil s platným podpisom. Tento profil bol vyriešený vylepšením overovania podpisov profilov. Nahlásenie tohto problému je zásluhou Barryho Simpsona zo spoločnosti Bomgar Corporation.

  • CoreGraphics

    CVE-ID: CVE-2010-2805, CVE-2010-2806, CVE-2010-2807, CVE-2010-2808, CVE-2010-3053, CVE-2010-3054

    K dispozícii pre: iOS 2.0 až 4.1 pre iPhone 3G a novší, iOS 2.1 až 4.1 pre iPod touch (2. generácia) a novší, iOS 3.2 až 3.2.2 pre iPad

    Dopad: Viacero nedostatočne zabezpečených miest v knižnici FreeType 2.4.1

    Popis: V knižnici FreeType 2.4.1 existuje viacero nedostatočne zabezpečených miest, z ktorých tie najvážnejšie môžu pri spracovaní písma so škodlivým kódom viesť k spusteniu ľubovoľného kódu. Tieto problémy boli vyriešené aktualizovaním knižnice FreeType na verziu 2.4.2. Ďalšie informácie sú dostupné na stránke knižnice FreeType na adrese http://www.freetype.org.

  • FreeType

    CVE-ID: CVE-2010-3814

    K dispozícii pre: iOS 2.0 až 4.1 pre iPhone 3G a novší, iOS 2.1 až 4.1 pre iPod touch (2. generácia) a novší, iOS 3.2 až 3.2.2 pre iPad

    Dopad: Zobrazenie PDF dokumentu obsahujúceho škodlivé vložené písma môže viesť k spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní operačných kódov písiem TrueType knižnicou FreeType dochádzalo k pretečeniu medzipamäte haldy. Zobrazenie súboru PDF so škodlivými vloženými písmami mohlo viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Táto aktualizácia rieši tento problém vylepšenou kontrolou rozsahu.

  • Zobrazenie obsahu reklamy iAd

    CVE-ID: CVE-2010-3828

    K dispozícii pre: iOS 2.0 až 4.1 pre iPhone 3G a novší, iOS 2.1 až 4.1 pre iPod touch (2. generácia) a novší, iOS 3.2 až 3.2.2 pre iPad

    Dopad: Útočník s oprávneniami v sieti môže byť schopný inicializovať hovor

    Popis: V zobrazení obsahu reklamy iAd dochádzalo k problému so spracovaním adries URL. Žiadosť o reklamu iAd odosiela aplikácia, a to buď automaticky alebo prostredníctvom explicitnej akcie používateľa. Vložením odkazu obsahujúceho schému URL používanú na inicializovanie hovoru do obsahu požadovanej reklamy mohol byť útočník s oprávneniami v sieti schopný inicializovať hovor. Tento problém bol vyriešený nastavením systému tak, aby sa pred inicializáciou hovoru prostredníctvom odkazu zobrazila používateľovi výzva. Nahlásenie tohto problému je zásluhou Aarona Sigela z vtty.com.

  • ImageIO

    CVE-ID: CVE-2010-2249, CVE-2010-1205

    K dispozícii pre: iOS 2.0 až 4.1 pre iPhone 3G a novší, iOS 2.1 až 4.1 pre iPod touch (2. generácia) a novší, iOS 3.2 až 3.2.2 pre iPad

    Dopad: Viacero nedostatočne zabezpečených miest v knižnici libpng

    Popis: Knižnica libpng bola aktualizovaná na verziu 1.4.3 s cieľom odstránenia viacero nedostatočne zabezpečených miest, z ktorých tie najvážnejšie mohli viesť k spusteniu ľubovoľného kódu. Ďalšie informácie sú dostupné na webovej stránke knižnice libpng na adrese http://www.libpng.org/pub/png/libpng.html.

  • libxml

    CVE-ID: CVE-2010-4008

    K dispozícii pre: iOS 2.0 až 4.1 pre iPhone 3G a novší, iOS 2.1 až 4.1 pre iPod touch (2. generácia) a novší, iOS 3.2 až 3.2.2 pre iPad

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní výrazov xpath knižnicou libxml dochádzalo k problému s poškodením pamäte. Návšteva webovej stránky so škodlivým kódom mohla viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený vylepšením spracovávania výrazov xpath. Nahlásenie tohto problému je zásluhou Buia Quanga Minha z Bkis (www.bkis.com).

  • Mail

    CVE-ID: CVE-2010-3829

    K dispozícii pre: iOS 2.0 až 4.1 pre iPhone 3G a novší, iOS 2.1 až 4.1 pre iPod touch (2. generácia) a novší, iOS 3.2 až 3.2.2 pre iPad

    Dopad: Aplikácia Mail môže prekladať názvy DNS, keď je zakázané načítavanie vzdialených obrázkov

    Popis: Keď mechanizmus WebKit narazí na prvok odkazu HTML, ktorý požaduje predbežné načítavanie DNS, vykoná predbežné načítavanie aj v prípade, ak je zakázané načítavanie vzdialených obrázkov. Výsledkom môžu byť nežiaduce požiadavky na vzdialené servery. Odosielateľ e-mailovej správy vo formáte HTML mohol pomocou tohto správania určiť, či bola správa zobrazená. Tento problém bol vyriešený zakázaním predbežného načítavania DNS, keď je zakázané načítavanie vzdialených obrázkov. Nahlásenie tohto problému je zásluhou Mikea Cardwella zo spoločnosti Cardwell IT Ltd.

  • Siete

    CVE-ID: CVE-2010-1843

    K dispozícii pre: iOS 4.0 až 4.1 pre iPhone 3GS a novší, iOS 4.0 až 4.1 pre iPod touch (3. generácia), iOS 3.2 až 3.2.2 pre iPad

    Dopad: Vzdialený útočník môže spôsobiť neočakávané vypnutie systému

    Popis: Pri spracovávaní paketov protokolu PIM (Protocol Independent Multicast) dochádzalo k problému s dereferenciou nulového ukazovateľa. Odoslaním paketu PIM so škodlivým kódom mohol vzdialený útočník spôsobiť neočakávané vypnutie systému. Tento problém bol vyriešený vylepšením overovania paketov PIM. Nahlásenie tohto problému je zásluhou anonymného výskumníka spolupracujúceho s projektom TippingPoint Zero Day Initiative. Tento problém neovplyvňuje zariadenia so staršou verziou systému iOS než 3.2.

  • Siete

    CVE-ID: CVE-2010-3830

    K dispozícii pre: iOS 2.0 až 4.1 pre iPhone 3G a novší, iOS 2.1 až 4.1 pre iPod touch (2. generácia) a novší, iOS 3.2 až 3.2.2 pre iPad

    Dopad: Škodlivý kód môže získať systémové oprávnenia

    Popis: Pri spracovávaní pravidiel filtrovania paketov prostredníctvom sieťových súčastí dochádzalo k odkazovaniu na neplatný ukazovateľ. Škodlivý kód spustený v relácii používateľa tak mohol získať systémové oprávnenia. Tento problém bol vyriešený vylepšením spracovávania pravidiel filtrovania paketov.

  • OfficeImport

    CVE-ID: CVE-2010-3786

    K dispozícii pre: iOS 3.2 až 3.2.2 pre iPad

    Dopad: Zobrazenie súboru programu Excel so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní súborov programu Excel knižnicou OfficeImport dochádzalo k problému s poškodením pamäte. Zobrazenie súboru programu Excel so škodlivým kódom mohlo viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený vylepšenou kontrolou rozsahu. Tento problém bol vyriešený v iPhonoch so systémom iOS 4. Nahlásenie tohto problému je zásluhou Tobiasa Kleina spolupracujúceho so spoločnosťou VeriSign iDefense Labs.
  • Uzamykanie heslom

    CVE-ID: CVE-2010-4012

    K dispozícii pre: iOS 4.0 až 4.1 pre iPhone 3G a novší

    Dopad: Osoba s fyzickým prístupom k zariadeniu môže byť schopná získať prístup k dátam používateľa

    Popis: Pri spracovávaní núdzových hovorov dochádzalo k problému s postupnosťou vykonania procesov. Stlačením tlačidla Spať/Zobudiť krátko po inicializovaní hovoru z obrazovky núdzového hovoru bolo možné obísť uzamknutie heslom. Tento problém bol vyriešený vylepšením kontroly stavu uzamknutia.

  • Fotky

    CVE-ID: CVE-2010-3831

    K dispozícii pre: iOS 2.0 až 4.1 pre iPhone 3G a novší, iOS 2.1 až 4.1 pre iPod touch (2. generácia) a novší, iOS 3.2 až 3.2.2 pre iPad

    Dopad: Použitie tlačidla „Odoslať do MobileMe“ môže spôsobiť únik hesla účtu služby MobileMe

    Popis: Aplikácia Fotky umožňuje používateľom zdieľať obrázky a videá rôznymi spôsobmi. Jedným z týchto spôsobov je tlačidlo „Odoslať do MobileMe“, ktoré umožňuje nahrať vybraný obsah do galérie používateľa v službe MobileMe. Ak server nesprístupní žiadny iný mechanizmus overovania, aplikácia Fotky použije základné overovanie protokolu HTTP. Útočník s oprávneniami v sieti môže upraviť odpoveď galérie služby MobileMe tak, aby sa požadovalo len základné overovanie, výsledkom čoho je únik hesla účtu služby MobileMe. Tento problém bol vyriešený vypnutím podpory základného overovania. Nahlásenie tohto problému je zásluhou Aarona Sigela z vtty.com.

  • Safari

    CVE-ID: CVE-2009-1707

    K dispozícii pre: iOS 2.0 až 4.1 pre iPhone 3G a novší, iOS 2.1 až 4.1 pre iPod touch (2. generácia) a novší, iOS 3.2 až 3.2.2 pre iPad

    Dopad: Funkcia „Resetovať Safari“ nemusí okamžite odstrániť heslá webových stránok z pamäte

    Popis: Po kliknutí na tlačidlo Resetovať v časti „Resetovať uložené mená a heslá“ v možnosti ponuky „Resetovať Safari“ môže vymazanie hesiel trvať prehliadaču Safari až 30 sekúnd. Používateľ, ktorý má prístup k zariadeniu v tomto časovom intervale, môže byť schopný získať prístup k uloženým prihlasovacím údajom. Tento problém bol vyriešený odstránením nesprávnej postupnosti procesov, ktorá viedla k tomuto oneskoreniu. Nahlásenie tohto problému je zásluhou Philippa Couturiera z izypage.com a Andrewa Wellingtona z Austrálskej národnej univerzity.

  • Telefónne funkcie

    CVE-ID: CVE-2010-3832

    K dispozícii pre: iOS 2.0 až 4.1 pre iPhone 3G a novší, iOS 3.2 až 3.2.2 pre iPad

    Dopad: Vzdialený útočník môže byť schopný spôsobiť spustenie ľubovoľného kódu

    Popis: Pri spracovávaní polí TMSI (Temporary Mobile Subscriber Identity) v správe mobility GSM dochádzalo k pretečeniu medzipamäte haldy. Vzdialenému útočníkovi to mohlo umožniť spustenie ľubovoľného kódu v procesore základného pásma. Tento problém bol vyriešený vylepšenou kontrolou rozsahu. Nahlásenie tohto problému je zásluhou Ralfa-Philippa Weinmanna z Luxemburskej univerzity.

  • WebKit

    CVE-ID: CVE-2010-3803

    K dispozícii pre: iOS 2.0 až 4.1 pre iPhone 3G a novší, iOS 2.1 až 4.1 pre iPod touch (2. generácia) a novší, iOS 3.2 až 3.2.2 pre iPad

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní reťazcov mechanizmom WebKit dochádzalo k pretečeniu celočíselných hodnôt. Návšteva webovej stránky so škodlivým kódom mohla viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený vylepšenou kontrolou rozsahu. Nahlásenie tohto problému je zásluhou používateľa J23.

  • WebKit

    CVE-ID: CVE-2010-3824

    K dispozícii pre: iOS 2.0 až 4.1 pre iPhone 3G a novší, iOS 2.1 až 4.1 pre iPod touch (2. generácia) a novší, iOS 3.2 až 3.2.2 pre iPad

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní prvkov „use“ v dokumentoch SVG mechanizmom WebKit dochádzalo k problému s použitím po uvoľnení. Návšteva webovej stránky so škodlivým kódom mohla viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený vylepšením spracovania pamäte. Nahlásenie tohto problému je zásluhou používateľa wushi zo skupiny team509.

  • WebKit

    CVE-ID: CVE-2010-3816

    K dispozícii pre: iOS 2.0 až 4.1 pre iPhone 3G a novší, iOS 2.1 až 4.1 pre iPod touch (2. generácia) a novší, iOS 3.2 až 3.2.2 pre iPad

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní posuvných líšt mechanizmom WebKit dochádzalo k problému s použitím po uvoľnení. Návšteva webovej stránky so škodlivým kódom mohla viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený vylepšením spracovania pamäte. Nahlásenie tohto problému je zásluhou Rohita Makasana zo spoločnosti Google Inc.

  • WebKit

    CVE-ID: CVE-2010-3809

    K dispozícii pre: iOS 2.0 až 4.1 pre iPhone 3G a novší, iOS 2.1 až 4.1 pre iPod touch (2. generácia) a novší, iOS 3.2 až 3.2.2 pre iPad

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní vnorených štýlov mechanizmom WebKit dochádzalo k problému s neplatnou zmenou typu. Návšteva webovej stránky so škodlivým kódom mohla viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený vylepšením spracovávania vnorených štýlov. Nahlásenie tohto problému je zásluhou Abhisheka Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome.

  • WebKit

    CVE-ID: CVE-2010-3810

    K dispozícii pre: iOS 2.0 až 4.1 pre iPhone 3G a novší, iOS 2.1 až 4.1 pre iPod touch (2. generácia) a novší, iOS 3.2 až 3.2.2 pre iPad

    Popis: Webová stránka so škodlivým kódom môže byť schopná sfalšovať adresu na paneli adresy alebo pridať ľubovoľné stránky do histórie

    Popis: Pri spracovávaní objektu histórie mechanizmom WebKit dochádzalo k problému so zámenou pôvodu. Webová stránka so škodlivým kódom mohla byť schopná sfalšovať adresu na paneli adresy alebo pridať ľubovoľné stránky do histórie. Tento problém bol vyriešený vylepšením sledovania pôvodov zabezpečenia. Nahlásenie tohto problému je zásluhou Mikea Taylora zo spoločnosti Opera Software.

  • WebKit

    CVE-ID: CVE-2010-3805

    K dispozícii pre: iOS 2.0 až 4.1 pre iPhone 3G a novší, iOS 2.1 až 4.1 pre iPod touch (2. generácia) a novší, iOS 3.2 až 3.2.2 pre iPad

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní soketov WebSocket mechanizmom WebKit dochádzalo k podtečeniu celočíselný hodnôt. Návšteva webovej stránky so škodlivým kódom mohla viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený vylepšenou kontrolou rozsahu. Nahlásenie tohto problému je zásluhou Keitha Campbella a Crisa Neckara z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome.

  • WebKit

    CVE-ID: CVE-2010-3823

    K dispozícii pre: iOS 2.0 až 4.1 pre iPhone 3G a novší, iOS 2.1 až 4.1 pre iPod touch (2. generácia) a novší, iOS 3.2 až 3.2.2 pre iPad

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní geolokačných objektov mechanizmom WebKit dochádzalo k problému s použitím po uvoľnení. Návšteva webovej stránky so škodlivým kódom mohla viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený vylepšením spracovania pamäte. Nahlásenie tohto problému je zásluhou používateľa kuzzcc.

  • WebKit

    CVE-ID: CVE-2010-3116

    K dispozícii pre: iOS 2.0 až 4.1 pre iPhone 3G a novší, iOS 2.1 až 4.1 pre iPod touch (2. generácia) a novší, iOS 3.2 až 3.2.2 pre iPad

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní doplnkov mechanizmom WebKit dochádzalo k viacerým problémom s použitím po uvoľnení. Návšteva webovej stránky so škodlivým kódom mohla viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tieto problémy boli vyriešené vylepšením spracovania pamäte.

  • WebKit

    CVE-ID: CVE-2010-3812

    K dispozícii pre: iOS 2.0 až 4.1 pre iPhone 3G a novší, iOS 2.1 až 4.1 pre iPod touch (2. generácia) a novší, iOS 3.2 až 3.2.2 pre iPad

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní textových objektov mechanizmom WebKit dochádzalo k pretečeniu celočíselných hodnôt. Návšteva webovej stránky so škodlivým kódom mohla viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený vylepšenou kontrolou rozsahu. Nahlásenie tohto problému je zásluhou používateľa J23 spolupracujúceho s projektom TippingPoint Zero Day Initiative.

  • WebKit

    CVE-ID: CVE-2010-3808

    K dispozícii pre: iOS 2.0 až 4.1 pre iPhone 3G a novší, iOS 2.1 až 4.1 pre iPod touch (2. generácia) a novší, iOS 3.2 až 3.2.2 pre iPad

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní príkazov úprav mechanizmom WebKit dochádzalo k problému s neplatnou zmenou typu. Návšteva webovej stránky so škodlivým kódom mohla viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený vylepšením spracovávania príkazov úprav. Nahlásenie tohto problému je zásluhou používateľa wushi zo skupiny team509.

  • WebKit

    CVE-ID: CVE-2010-3259

    K dispozícii pre: iOS 2.0 až 4.1 pre iPhone 3G a novší, iOS 2.1 až 4.1 pre iPod touch (2. generácia) a novší, iOS 3.2 až 3.2.2 pre iPad

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k úniku dát obrázkov z inej webovej stránky

    Popis: Pri spracovávaní obrázkov vytvorených z prvkov „canvas“ mechanizmom WebKit dochádzalo k problému so zámenou pôvodu. Návšteva webovej stránky so škodlivým kódom mohla viesť k úniku dát obrázkov z inej webovej stránky. Tento problém bol vyriešený vylepšením sledovania pôvodov zabezpečenia. Nahlásenie tohto problému je zásluhou Isaaca Dawson a Jamesa Qiua zo spoločnosti Microsoft a tímu Microsoft Vulnerability Research (MSVR).

  • WebKit

    CVE-ID: CVE-2010-1822

    K dispozícii pre: iOS 2.0 až 4.1 pre iPhone 3G a novší, iOS 2.1 až 4.1 pre iPod touch (2. generácia) a novší, iOS 3.2 až 3.2.2 pre iPad

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní prvkov SVG v dokumentoch s iným formátom než SVG mechanizmom WebKit dochádzalo k problému s neplatnou zmenou typu. Návšteva webovej stránky so škodlivým kódom mohla viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený vylepšením spracovávania prvkov SVG. Nahlásenie tohto problému je zásluhou používateľa wushi zo skupiny team509.

  • WebKit

    CVE-ID: CVE-2010-3811

    K dispozícii pre: iOS 2.0 až 4.1 pre iPhone 3G a novší, iOS 2.1 až 4.1 pre iPod touch (2. generácia) a novší, iOS 3.2 až 3.2.2 pre iPad

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní atribútov prvkov mechanizmom WebKit dochádzalo k problému s použitím po uvoľnení. Návšteva webovej stránky so škodlivým kódom mohla viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený vylepšením spracovania pamäte. Nahlásenie tohto problému je zásluhou Michala Zalewskiho.

  • WebKit

    CVE-ID: CVE-2010-3817

    K dispozícii pre: iOS 2.0 až 4.1 pre iPhone 3G a novší, iOS 2.1 až 4.1 pre iPod touch (2. generácia) a novší, iOS 3.2 až 3.2.2 pre iPad

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní 3D transformácií CSS mechanizmom WebKit dochádzalo k problému s neplatnou zmenou typu. Návšteva webovej stránky so škodlivým kódom mohla viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený vylepšením spracovávania 3D transformácií CSS. Nahlásenie tohto problému je zásluhou Abhisheka Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome.

  • WebKit

    CVE-ID: CVE-2010-3818

    K dispozícii pre: iOS 2.0 až 4.1 pre iPhone 3G a novší, iOS 2.1 až 4.1 pre iPod touch (2. generácia) a novší, iOS 3.2 až 3.2.2 pre iPad

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní vnorených textových polí mechanizmom WebKit dochádzalo k problému s použitím po uvoľnení. Návšteva webovej stránky so škodlivým kódom mohla viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený vylepšením spracovania pamäte. Nahlásenie tohto problému je zásluhou Abhisheka Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome.

  • WebKit

    CVE-ID: CVE-2010-3819

    K dispozícii pre: iOS 2.0 až 4.1 pre iPhone 3G a novší, iOS 2.1 až 4.1 pre iPod touch (2. generácia) a novší, iOS 3.2 až 3.2.2 pre iPad

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní polí CSS mechanizmom WebKit dochádzalo k problému s neplatnou zmenou typu. Návšteva webovej stránky so škodlivým kódom mohla viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený vylepšením spracovávania polí CSS. Nahlásenie tohto problému je zásluhou Abhisheka Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome.

  • WebKit

    CVE-ID: CVE-2010-3820

    K dispozícii pre: iOS 2.0 až 4.1 pre iPhone 3G a novší, iOS 2.1 až 4.1 pre iPod touch (2. generácia) a novší, iOS 3.2 až 3.2.2 pre iPad

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní upraviteľných prvkov mechanizmom WebKit dochádzalo k problému s prístupom k neinicializovanej pamäti. Návšteva webovej stránky so škodlivým kódom mohla viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený vylepšením spracovávania upraviteľných prvkov. Uznanie: Apple.

  • WebKit

    CVE-ID: CVE-2010-1789

    K dispozícii pre: iOS 2.0 až 4.1 pre iPhone 3G a novší, iOS 2.1 až 4.1 pre iPod touch (2. generácia) a novší, iOS 3.2 až 3.2.2 pre iPad

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní objektov reťazcov JavaScript mechanizmom WebKit dochádzalo k pretečeniu medzipamäte haldy. Návšteva webovej stránky so škodlivým kódom mohla viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený vylepšenou kontrolou rozsahu. Uznanie: Apple.

  • WebKit

    CVE-ID: CVE-2010-1806

    K dispozícii pre: iOS 2.0 až 4.1 pre iPhone 3G a novší, iOS 2.1 až 4.1 pre iPod touch (2. generácia) a novší, iOS 3.2 až 3.2.2 pre iPad

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní prvkov so štýlom dynamických nadpisov mechanizmom WebKit dochádzalo k problému s použitím po uvoľnení. Návšteva webovej stránky so škodlivým kódom mohla viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený vylepšením spracovávania ukazovateľov objektov. Nahlásenie tohto problému je zásluhou skupiny team509 spolupracujúcej s projektom TippingPoint Zero Day Initiative.

  • WebKit

    CVE-ID: CVE-2010-3257

    K dispozícii pre: iOS 2.0 až 4.1 pre iPhone 3G a novší, iOS 2.1 až 4.1 pre iPod touch (2. generácia) a novší, iOS 3.2 až 3.2.2 pre iPad

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní aktivácie prvku mechanizmom WebKit dochádzalo k problému s použitím po uvoľnení. Návšteva webovej stránky so škodlivým kódom mohla viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený vylepšením správy pamäte. Nahlásenie tohto problému je zásluhou tímu VUPEN Vulnerability Research Team.

  • WebKit

    CVE-ID: CVE-2010-3826

    K dispozícii pre: iOS 2.0 až 4.1 pre iPhone 3G a novší, iOS 2.1 až 4.1 pre iPod touch (2. generácia) a novší, iOS 3.2 až 3.2.2 pre iPad

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní farieb v dokumentoch SVG mechanizmom WebKit dochádzalo k problému s neplatnou zmenou typu. Návšteva webovej stránky so škodlivým kódom mohla viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený vylepšením spracovávania farieb v dokumentoch SVG. Nahlásenie tohto problému je zásluhou Abhisheka Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome.

  • WebKit

    CVE-ID: CVE-2010-1807

    K dispozícii pre: iOS 2.0 až 4.1 pre iPhone 3G a novší, iOS 2.1 až 4.1 pre iPod touch (2. generácia) a novší, iOS 3.2 až 3.2.2 pre iPad

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní dátových typov s plávajúcou desatinnou čiarkou mechanizmom WebKit dochádzalo k problému s overovaním vstupu. Návšteva webovej stránky so škodlivým kódom mohla viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený vylepšením spracovávania hodnôt s plávajúcou desatinnou čiarkou. Nahlásenie tohto problému je zásluhou Luka Wagnera zo spoločnosti Mozilla.

  • WebKit

    CVE-ID: CVE-2010-3821

    K dispozícii pre: iOS 2.0 až 4.1 pre iPhone 3G a novší, iOS 2.1 až 4.1 pre iPod touch (2. generácia) a novší, iOS 3.2 až 3.2.2 pre iPad

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní pseudoprvku „:first-letter“ v štýloch CSS mechanizmom WebKit dochádzalo k problému s poškodením pamäte. Návšteva webovej stránky so škodlivým kódom mohla viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený vylepšením spracovávania pseudoprvku „:first-letter“. Nahlásenie tohto problému je zásluhou Crisa Neckara a Abhisheka Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome.

  • WebKit

    CVE-ID: CVE-2010-3804

    K dispozícii pre: iOS 2.0 až 4.1 pre iPhone 3G a novší, iOS 2.1 až 4.1 pre iPod touch (2. generácia) a novší, iOS 3.2 až 3.2.2 pre iPad

    Dopad: Webové stránky môžu tajne sledovať používateľov

    Popis: Prehliadač Safari generuje náhodné čísla pre aplikácie JavaScript pomocou predvídateľného algoritmu. Webovej stránke to mohlo umožňovať sledovať konkrétnu reláciu prehliadača Safari bez použitia súborov cookie alebo pomocou skrytých prvkov formulárov, IP adries či iných techník. Táto aktualizácia rieši tento problém používaním výkonnejšieho generátora náhodných čísel. Nahlásenie tohto problému je zásluhou Amita Kleina zo spoločnosti Trusteer.

  • WebKit

    CVE-ID: CVE-2010-3813

    K dispozícii pre: iOS 2.0 až 4.1 pre iPhone 3G a novší, iOS 2.1 až 4.1 pre iPod touch (2. generácia) a novší, iOS 3.2 až 3.2.2 pre iPad

    Dopad: Mechanizmus WebKit môže vykonávať predbežné načítavanie DNS, aj keď je zakázané

    Popis: Keď mechanizmus WebKit narazí na prvok odkazu HTML, ktorý požaduje predbežné načítavanie DNS, vykoná túto operáciu aj v prípade, ak je predbežné načítavanie zakázané. Výsledkom môžu byť nežiaduce požiadavky na vzdialené servery. Odosielateľ e-mailovej správy vo formáte HTML mohol toto správanie použiť napríklad na určenie, či bola správa prečítaná. Tento problém bol vyriešený vylepšením spracovávania žiadostí o predbežné načítavanie DNS. Nahlásenie tohto problému je zásluhou Jeffa Johnsona zo spoločnosti Rogue Amoeba Software.

  • WebKit

    CVE-ID: CVE-2010-3822

    K dispozícii pre: iOS 2.0 až 4.1 pre iPhone 3G a novší, iOS 2.1 až 4.1 pre iPod touch (2. generácia) a novší, iOS 3.2 až 3.2.2 pre iPad

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní štýlov počítadiel CSS mechanizmom WebKit dochádzalo k problému s neinicializovaným ukazovateľom. Návšteva webovej stránky so škodlivým kódom mohla viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený vylepšením spracovávania štýlov počítadiel CSS. Nahlásenie tohto problému je zásluhou používateľa kuzzcc.

  • WebKit

    K dispozícii pre: iOS 2.0 až 4.1 pre iPhone 3G a novší, iOS 2.1 až 4.1 pre iPod touch (2. generácia) a novší, iOS 3.2 až 3.2.2 pre iPad

    Popis: Webová stránka so škodlivým kódom môže byť schopná určiť, ktoré stránky používateľ navštívil

    Popis: Pri spracovávaní pseudotriedy „:visited“ jazyka CSS mechanizmom WebKit dochádzalo k problému s návrhom. Webová stránka so škodlivým kódom mohla byť schopná určiť, ktoré stránky používateľ navštívil. Táto aktualizácia obmedzuje schopnosť webových stránok upravovať štýl stránok na základe toho, či boli odkazy navštívené.

  • Viaceré komponenty

    CVE-ID: CVE-2010-0051, CVE-2010-0544, CVE-2010-0042, CVE-2010-1384, CVE-2010-1387, CVE-2010-1392, CVE-2010-1394, CVE-2010-1403, CVE-2010-1405, CVE-2010-1407, CVE-2010-1408, CVE-2010-1410, CVE-2010-1414, CVE-2010-1415, CVE-2010-1416, CVE-2010-1417, CVE-2010-1418, CVE-2010-1421, CVE-2010-1422, CVE-2010-1757, CVE-2010-1758, CVE-2010-1764, CVE-2010-1770, CVE-2010-1771, CVE-2010-1780, CVE-2010-1781, CVE-2010-1782, CVE-2010-1783, CVE-2010-1784, CVE-2010-1785, CVE-2010-1786, CVE-2010-1787, CVE-2010-1788, CVE-2010-1791, CVE-2010-1793, CVE-2010-1811, CVE-2010-1812, CVE-2010-1813, CVE-2010-1814, CVE-2010-1815

    K dispozícii pre: iOS 3.2 až 3.2.2 pre iPad

    Dopad: Viaceré opravy zabezpečenia v systéme iOS pre iPad

    Popis: Táto aktualizácia zahŕňa opravy zabezpečenia, ktoré boli sprístupnené pre iPhone a iPod touch v systémoch iOS 4 a iOS 4.1.

 

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Používanie internetu má svoje riziká. Ak potrebujete ďalšie informácie, obráťte sa na dodávateľa. Ďalšie názvy spoločností a produktov môžu byť ochrannými známkami príslušných vlastníkov.

Dátum zverejnenia: