V tomto dokumente sa popisuje obsah zabezpečenia v aktualizácii softvéru iOS 4.2.7, ktorú možno stiahnuť a nainštalovať pomocou aplikácie iTunes.
S cieľom ochrany svojich zákazníkov spoločnosť Apple neposkytuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problém úplne nepreskúma a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.
Ďalšie informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.
Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.
Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.
Aktualizácia softvéru iOS 4.2.7 pre iPhone
-
Politika dôveryhodnosti certifikátov
K dispozícii pre: iOS 4.2.5 až 4.2.6 pre iPhone 4 (CDMA)
Dopad: Útočník s oprávneniami v sieti môže zachytávať prihlasovacie údaje používateľov alebo iné citlivé informácie
Popis: Partnerská registračná autorita spoločnosti Comodo vydala niekoľko podvodných certifikátov SSL. Útočníkovi využívajúcemu útok typu MITM (man-in-the-middle) to môže umožniť presmerovať pripojenia a zachytávať prihlasovacie údaje používateľov alebo iné citlivé informácie. Tento problém bol vyriešený zaradením podvodných certifikátov na čiernu listinu.
Poznámka: V systémoch Mac OS X bol tento problém vyriešený prostredníctvom aktualizácie softvéru 2011-002. V systémoch Windows určuje prehliadač Safari dôveryhodné certifikáty serverov SSL na základe ukladacieho priestoru certifikátov obsiahnutého v hostiteľskom operačnom systéme. Použitie aktualizácie popísanej v článku 2524375 databázy Microsoft Knowledge Base spôsobí, že prehliadač Safari bude tieto certifikáty považovať za nedôveryhodné. Tento článok je k dispozícii na stránke http://support.microsoft.com/kb/2524375/sk-sk.
-
QuickLook
K dispozícii pre: iOS 4.2.5 až 4.2.6 pre iPhone 4 (CDMA)
Dopad: Zobrazenie súboru balíka Microsoft Office so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Pri spracovávaní súborov balíka Microsoft Office aplikáciou QuickLook dochádzalo k problémom s poškodením pamäte. Zobrazenie súboru balíka Microsoft Office so škodlivým kódom mohlo viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu.
CVE-ID
CVE-2011-1417: Charlie Miller a Dion Blazakis v spolupráci s projektom TippingPoint Zero Day Initiative
-
WebKit
K dispozícii pre: iOS 4.2.5 až 4.2.6 pre iPhone 4 (CDMA)
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Pri spracovávaní množín uzlov dochádzalo k problému s pretečením celočíselných hodnôt. Návšteva webovej stránky so škodlivým kódom mohla viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu.
CVE-ID
CVE-2011-1290: Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp Weinmann a anonymný výskumník v spolupráci s projektom TippingPoint Zero Day Initiative
-
WebKit
K dispozícii pre: iOS 4.2.5 až 4.2.6 pre iPhone 4 (CDMA)
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Pri spracovávaní textových uzlov dochádzalo k problému s použitím po uvoľnení. Návšteva webovej stránky so škodlivým kódom mohla viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu.
CVE-ID
CVE-2011-1344: Vupen Security v spolupráci s projektom TippingPoint Zero Day Initiative a Martin Barbella