Obsah zabezpečenia v systéme iOS 4.3

V tomto dokumente sa popisuje obsah zabezpečenia v systéme iOS 4.3.

V tomto dokumente sa popisuje obsah zabezpečenia v aktualizácii iOS 4.3, ktorú možno stiahnuť a nainštalovať pomocou aplikácie iTunes.

S cieľom ochrany svojich zákazníkov spoločnosť Apple neposkytuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problém úplne nepreskúma a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.

Ďalšie informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.

Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.

iOS 4.3

  • CoreGraphics

    K dispozícii pre: iOS 3.0 až 4.2.1 pre iPhone 3GS a novší, iOS 3.1 až 4.2.1 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.2.1 pre iPad

    Dopad: Viacero nedostatočne zabezpečených miest v knižnici FreeType

    Popis: V knižnici FreeType existovalo viacero nedostatočne zabezpečených miest, z ktorých tie najvážnejšie mohli pri spracovaní písma so škodlivým kódom viesť k spusteniu ľubovoľného kódu. Tieto problémy boli vyriešené aktualizovaním knižnice FreeType na verziu 2.4.3. Ďalšie informácie sú dostupné na stránke knižnice FreeType na adrese http://www.freetype.org.

    CVE-ID

    CVE-2010-3855

  • ImageIO

    K dispozícii pre: iOS 3.0 až 4.2.1 pre iPhone 3GS a novší, iOS 3.1 až 4.2.1 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.2.1 pre iPad

    Dopad: Zobrazenie obrázka TIFF so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovaní obrázkov TIFF s kódovaním JPEG prostredníctvom knižnice libTIFF dochádzalo k pretečeniu medzipamäte. Zobrazenie obrázka TIFF so škodlivým kódom mohlo viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu.

    CVE-ID

    CVE-2011-0191: Apple

  • ImageIO

    K dispozícii pre: iOS 3.0 až 4.2.1 pre iPhone 3GS a novší, iOS 3.1 až 4.2.1 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.2.1 pre iPad

    Dopad: Zobrazenie obrázka TIFF so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovaní obrázkov TIFF s kódovaním CCITT Group 4 prostredníctvom knižnice libTIFF dochádzalo k pretečeniu medzipamäte. Zobrazenie obrázka TIFF so škodlivým kódom mohlo viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu.

    CVE-ID

    CVE-2011-0192: Apple

  • libxml

    K dispozícii pre: iOS 3.0 až 4.2.1 pre iPhone 3GS a novší, iOS 3.1 až 4.2.1 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.2.1 pre iPad

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovaní výrazov XPath prostredníctvom knižnice libxml dochádzalo k problému s dvojitým uvoľnením. Návšteva webovej stránky so škodlivým kódom mohla viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu.

    CVE-ID

    CVE-2010-4494: Yang Dingning z organizácie NCNIPC, absolvent univerzity Čínskej akadémie vied

  • Siete

    K dispozícii pre: iOS 3.0 až 4.2.1 pre iPhone 3GS a novší, iOS 3.1 až 4.2.1 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.2.1 pre iPad

    Dopad: Server môže byť schopný identifikovať zariadenie naprieč pripojeniami

    Popis: Pri používaní automatickej konfigurácie adresy bez stavu (SLAAC) obsahuje adresa IPv6 vybraná zariadením jeho MAC adresu. Server podporujúci protokol IPv6 kontaktovaný zariadením môže pomocou tejto adresy sledovať zariadenie naprieč pripojeniami. Táto aktualizácia implementuje rozšírenie protokolu IPv6 popísané v dokumente RFC 3041 pridaním dočasnej náhodnej adresy používanej pre odchádzajúce pripojenia.

  • Safari

    K dispozícii pre: iOS 3.0 až 4.2.1 pre iPhone 3GS a novší, iOS 3.1 až 4.2.1 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.2.1 pre iPad

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k ukončeniu prehliadača MobileSafari pri spustení

    Popis: Webová stránka so škodlivým kódom môže obsahovať kód jazyka JavaScript, ktorý opakovane spúšťa inú aplikáciu v zariadení prostredníctvom jej popisovača URL. Návšteva takejto webovej stránky v prehliadači MobileSafari spôsobí ukončenie prehliadača MobileSafari a spustenie cieľovej aplikácie. Táto sekvencia pokračuje pri každom otvorení prehliadača MobileSafari. Tento problém bol vyriešený návratom na predchádzajúcu stránku, keď sa prehliadač Safari opätovne otvorí po spustení inej aplikácie prostredníctvom jej popisovača URL.

    CVE-ID

    CVE-2011-0158: Nitesh Dhanjani zo spoločnosti Ernst & Young LLP

  • Safari

    K dispozícii pre: iOS 4.0 až 4.2.1 pre iPhone 3GS a novší, iOS 4.0 až 4.2.1 pre iPod touch (3. generácia) a novší, iOS 4.2 až 4.2.1 pre iPad

    Dopad: Vymazanie súborov cookie v nastaveniach prehliadača Safari nemusí mať žiadny efekt

    Popis: V niektorých situáciách nemá vymazanie súborov cookie v nastaveniach prehliadača Safari žiadny efekt, ak je prehliadač Safari spustený. Tento problém bol vyriešený vylepšením spracovávania súborov cookie. Tento problém neovplyvňuje staršie systémy než iOS 4.0.

    CVE-ID

    CVE-2011-0159: Erik Wong zo spoločnosti Google Inc.

  • WebKit

    K dispozícii pre: iOS 3.0 až 4.2.1 pre iPhone 3GS a novší, iOS 3.1 až 4.2.1 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.2.1 pre iPad

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: V mechanizme WebKit existuje viacero problémov súvisiacich s poškodením pamäte. Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu.

    CVE-ID

    CVE-2010-1792

    CVE-2010-1824: kuzzcc a wushi zo skupiny team509 v spolupráci s projektom TippingPoint Zero Day Initiative

    CVE-2011-0111: Sergey Glazunov

    CVE-2011-0112: Yuzo Fujishima zo spoločnosti Google Inc.

    CVE-2011-0113: Andreas Kling zo spoločnosti Nokia

    CVE-2011-0114: Chris Evans z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2011-0115: J23 v spolupráci s projektom TippingPoint Zero Day Initiative a Emil A Eklund zo spoločnosti Google, Inc.

    CVE-2011-0116: anonymný výskumník spolupracujúci s projektom TippingPoint Zero Day Initiative

    CVE-2011-0117: Abhishek Arya (Inferno) zo spoločnosti Google, Inc.

    CVE-2011-0118: Abhishek Arya (Inferno) zo spoločnosti Google, Inc.

    CVE-2011-0119: Abhishek Arya (Inferno) zo spoločnosti Google, Inc.

    CVE-2011-0120: Abhishek Arya (Inferno) zo spoločnosti Google, Inc.

    CVE-2011-0121: Abhishek Arya (Inferno) zo spoločnosti Google, Inc.

    CVE-2011-0122: Slawomir Blazek

    CVE-2011-0123: Abhishek Arya (Inferno) zo spoločnosti Google, Inc.

    CVE-2011-0124: Yuzo Fujishima zo spoločnosti Google Inc.

    CVE-2011-0125: Abhishek Arya (Inferno) zo spoločnosti Google, Inc.

    CVE-2011-0126: Mihai Parparita zo spoločnosti Google, Inc.

    CVE-2011-0127: Abhishek Arya (Inferno) zo spoločnosti Google, Inc.

    CVE-2011-0128: David Bloom

    CVE-2011-0129: Famlam

    CVE-2011-0130: Apple

    CVE-2011-0131: wushi zo skupiny team509

    CVE-2011-0132: wushi zo skupiny team509 v spolupráci s projektom TippingPoint Zero Day Initiative

    CVE-2011-0133: wushi zo skupiny team509 v spolupráci s projektom TippingPoint Zero Day Initiative

    CVE-2011-0134: Jan Tosovsky

    CVE-2011-0135: anonymný používateľ

    CVE-2011-0136: Sergey Glazunov

    CVE-2011-0137: Sergey Glazunov

    CVE-2011-0138: kuzzcc

    CVE-2011-0140: Sergey Glazunov

    CVE-2011-0141: Chris Rohlf zo spoločnosti Matasano Security

    CVE-2011-0142: Abhishek Arya (Inferno) zo spoločnosti Google, Inc.

    CVE-2011-0143: Slawomir Blazek a Sergey Glazunov

    CVE-2011-0144: Emil A Eklund zo spoločnosti Google, Inc.

    CVE-2011-0145: Abhishek Arya (Inferno) zo spoločnosti Google, Inc.

    CVE-2011-0146: Abhishek Arya (Inferno) zo spoločnosti Google, Inc.

    CVE-2011-0147: Dirk Schulze

    CVE-2011-0148: Michal Zalewski zo spoločnosti Google, Inc.

    CVE-2011-0149: wushi zo skupiny team509 v spolupráci s projektom TippingPoint Zero Day Initiative a SkyLined z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2011-0150: Michael Gundlach zo safariadblock.com

    CVE-2011-0151: Abhishek Arya (Inferno) zo spoločnosti Google, Inc.

    CVE-2011-0152: Skylined z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2011-0153: Abhishek Arya (Inferno) zo spoločnosti Google, Inc.

    CVE-2011-0154: anonymný výskumník spolupracujúci s projektom TippingPoint Zero Day Initiative

    CVE-2011-0155: Aki Helin zo spoločnosti OUSPG

    CVE-2011-0156: Abhishek Arya (Inferno) zo spoločnosti Google, Inc.

    CVE-2011-0157: Benoit Jacob zo spoločnosti Mozilla

    CVE-2011-0168: Sergey Glazunov

  • WebKit

    K dispozícii pre: iOS 3.0 až 4.2.1 pre iPhone 3GS a novší, iOS 3.1 až 4.2.1 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.2.1 pre iPad

    Dopad: Prihlasovacie údaje základného overovania HTTP môžu byť neúmyselne sprístupnené inej stránke

    Popis: Ak stránka používa základné overovanie HTTP a presmeruje na inú stránku, prihlasovacie údaje na overenie sa môžu odoslať na inú stránku. Tento problém bol vyriešený vylepšením spracovávania prihlasovacích údajov.

    CVE-ID

    CVE-2011-0160: McIntosh Cooey zo skupiny Twelve Hundred Group, Harald Hanche-Olsen, Chuck Hohn zo spoločnosti 1111 Internet LLC v spolupráci s inštitútom CERT a Paul Hinze z Braintree

  • WebKit

    K dispozícii pre: iOS 3.0 až 4.2.1 pre iPhone 3GS a novší, iOS 3.1 až 4.2.1 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.2.1 pre iPad

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k zámene deklarácií štýlov medzi stránkami

    Popis: Pri spracovávaní prvku na prístup k súboru Attr.style mechanizmom WebKit dochádzalo k problému so zámenou pôvodu. Návšteva webovej stránky so škodlivým kódom mohla stránke umožniť vloženie kódu CSS do iných dokumentov. Tento problém bol vyriešený odstránením prvku na prístup k súboru Attr.style.

    CVE-ID

    CVE-2011-0161: Apple

  • WebKit

    K dispozícii pre: iOS 3.0 až 4.2.1 pre iPhone 3GS a novší, iOS 3.1 až 4.2.1 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.2.1 pre iPad

    Dopad: Webová stránka so škodlivým kódom môže zabrániť iným stránkam v odoslaní požiadavky na určité prostriedky

    Popis: Pri spracovávaní prostriedkov uložených vo vyrovnávacej pamäti mechanizmom WebKit dochádzalo k problému, ktorý umožňoval útok typu cache poisoning. Webová stránka so škodlivým kódom mohla iným stránkam zabrániť v odoslaní požiadavky na určité prostriedky. Tento problém bol vyriešený vylepšenou kontrolou typu.

    CVE-ID

    CVE-2011-0163: Apple

  • Wi-Fi

    K dispozícii pre: iOS 3.0 až 4.2.1 pre iPhone 3GS a novší, iOS 3.1 až 4.2.1 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.2.1 pre iPad

    Dopad: Pri pripojení k Wi-Fi sieti môže byť útočník v tej istej sieti schopný spôsobiť resetovanie zariadenia

    Popis: Pri spracovávaní rámcov Wi-Fi dochádzalo k problému s kontrolou rozsahu. Pri pripojení k Wi-Fi sieti mohol byť útočník v tej istej sieti schopný spôsobiť resetovanie zariadenia.

    CVE-ID

    CVE-2011-0162: Scott Boyd zo spoločnosti ePlus Technology, Inc.

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Používanie internetu má svoje riziká. Ak potrebujete ďalšie informácie, obráťte sa na dodávateľa. Ďalšie názvy spoločností a produktov môžu byť ochrannými známkami príslušných vlastníkov.

Dátum zverejnenia: