Obsah zabezpečenia v aktualizácii softvéru iOS 4.2.7 pre iPhone

V tomto dokumente sa opisuje obsah zabezpečenia v aktualizácii softvéru iOS 4.2.7.

V tomto dokumente sa opisuje obsah zabezpečenia v aktualizácii softvéru iOS 4.2.7, ktorú možno stiahnuť a nainštalovať pomocou iTunes.

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.

Informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku „Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple“.

Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku „Aktualizácie zabezpečenia od spoločnosti Apple“.

Aktualizácia softvéru iOS 4.2.7 pre iPhone

• Certificate Trust Policy

  K dispozícii pre: iOS 4.2.5 až 4.2.6 pre iPhone 4 (CDMA)

  Dopad: Útočník so sieťovými oprávneniami môže zachytávať prihlasovacie údaje používateľov alebo iné citlivé informácie

  Popis: Pridružená registračná autorita Comodo vydala niekoľko podvodných certifikátov SSL. Útočníkovi využívajúcemu útok typu MITM (man-in-the-middle) to môže umožniť presmerovať pripojenia a zachytávať prihlasovacie údaje používateľov alebo iné citlivé informácie. Tento problém bol vyriešený pridaním podvodných certifikátov do zoznamu zakázaných.

  Poznámka: Pre používateľov systémov Mac OS X bol tento problém vyriešený aktualizáciou zabezpečenia 2011-002. V prípade systémov Windows sa Safari pri určovaní, či je certifikát servera SSL dôveryhodný, spolieha na úložisko certifikátov hostiteľského operačného systému. Po aplikovaní aktualizácie opísanej v článku vedomostnej databázy Microsoftu 2524375 bude Safari tieto certifikáty považovať za nedôveryhodné. Článok je k dispozícii na adrese: http://support.microsoft.com/kb/2524375

• QuickLook

  K dispozícii pre: iOS 4.2.5 až 4.2.6 pre iPhone 4 (CDMA)

  Dopad: Zobrazenie súboru balíka Microsoft Office so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k spusteniu ľubovoľného kódu

  Popis: Pri manipulácii so súbormi balíka Microsoft Office v programe QuickLook dochádzalo k problémom s poškodením pamäte. Zobrazenie súboru balíka Microsoft Office so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k spusteniu ľubovoľného kódu.

  CVE-ID

  CVE-2011-1417: Charlie Miller a Dion Blazakis v spolupráci s projektom Zero Day Initiative tímu TippingPoint

• WebKit

  K dispozícii pre: iOS 4.2.5 až 4.2.6 pre iPhone 4 (CDMA)

  Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k spusteniu ľubovoľného kódu

  Popis: Pri manipulácii s množinami uzlov dochádzalo k problému s pretečením rozsahu celých čísel. Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k spusteniu ľubovoľného kódu.

  CVE-ID

  CVE-2011-1290: Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp Weinmann a anonymný výskumník v spolupráci s projektom Zero Day Initiative tímu TippingPoint

• WebKit

  K dispozícii pre: iOS 4.2.5 až 4.2.6 pre iPhone 4 (CDMA)

  Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k spusteniu ľubovoľného kódu

  Popis: Pri manipulácii s textovými uzlami dochádzalo k problému s použitím po uvoľnení. Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k spusteniu ľubovoľného kódu.

  CVE-ID

  CVE-2011-1344: Vupen Security v spolupráci s projektom Zero Day Initiative tímu TippingPoint a Martin Barbella