Obsah zabezpečenia v aktualizácii softvéru iOS 4.3.2

V tomto dokumente sa popisuje obsah zabezpečenia v aktualizácii softvéru iOS 4.3.2.

V tomto dokumente sa popisuje obsah zabezpečenia v aktualizácii softvéru iOS 4.3.2, ktorú možno stiahnuť a nainštalovať pomocou aplikácie iTunes.

S cieľom ochrany svojich zákazníkov spoločnosť Apple neposkytuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problém úplne nepreskúma a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.

Ďalšie informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.

Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.

Aktualizácia softvéru iOS 4.3.2

  • Politika dôveryhodnosti certifikátov

    K dispozícii pre: iOS 3.0 až 4.3.1 pre iPhone 3GS a novší, iOS 3.1 až 4.3.1 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.3.1 pre iPad

    Dopad: Útočník s oprávneniami v sieti môže zachytávať prihlasovacie údaje používateľov alebo iné citlivé informácie

    Popis: Partnerská registračná autorita spoločnosti Comodo vydala niekoľko podvodných certifikátov SSL. Útočníkovi využívajúcemu útok typu MITM (man-in-the-middle) to môže umožniť presmerovať pripojenia a zachytávať prihlasovacie údaje používateľov alebo iné citlivé informácie. Tento problém bol vyriešený zaradením podvodných certifikátov na čiernu listinu.

    Poznámka: V systémoch Mac OS X bol tento problém vyriešený prostredníctvom aktualizácie softvéru 2011-002. V systémoch Windows určuje prehliadač Safari dôveryhodné certifikáty serverov SSL na základe ukladacieho priestoru certifikátov obsiahnutého v hostiteľskom operačnom systéme. Použitie aktualizácie popísanej v článku 2524375 databázy Microsoft Knowledge Base spôsobí, že prehliadač Safari bude tieto certifikáty považovať za nedôveryhodné. Tento článok je k dispozícii na stránke http://support.microsoft.com/kb/2524375/sk-sk.

  • libxslt

    K dispozícii pre: iOS 3.0 až 4.3.1 pre iPhone 3GS a novší, iOS 3.1 až 4.3.1 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.3.1 pre iPad

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k úniku adries v halde

    Popis: Implementácia funkcie generate-id() XPath v rámci knižnice libxslt odhaľovala adresu medzipamäte haldy. Návšteva webovej stránky so škodlivým kódom mohla viesť k úniku adries v halde, ktoré mohli pomôcť pri obídení ochrany náhodného generovania rozloženia priestoru adries. Tento problém bol vyriešený generovaním ID založeného na rozdiele medzi adresami dvoch medzipamätí haldy.

    CVE-ID

    CVE-2011-0195: Chris Evans z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome

  • QuickLook

    K dispozícii pre: iOS 3.0 až 4.3.1 pre iPhone 3GS a novší, iOS 3.1 až 4.3.1 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.3.1 pre iPad

    Dopad: Zobrazenie súboru balíka Microsoft Office so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní súborov balíka Microsoft Office aplikáciou QuickLook dochádzalo k problému s poškodením pamäte. Zobrazenie súboru balíka Microsoft Office so škodlivým kódom mohlo viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu.

    CVE-ID

    CVE-2011-1417: Charlie Miller a Dion Blazakis v spolupráci s projektom TippingPoint Zero Day Initiative

  • WebKit

    K dispozícii pre: iOS 3.0 až 4.3.1 pre iPhone 3GS a novší, iOS 3.1 až 4.3.1 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.3.1 pre iPad

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní množín uzlov dochádzalo k problému s pretečením celočíselných hodnôt. Návšteva webovej stránky so škodlivým kódom mohla viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu.

    CVE-ID

    CVE-2011-1290: Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp Weinmann a anonymný výskumník v spolupráci s projektom TippingPoint Zero Day Initiative

  • WebKit

    K dispozícii pre: iOS 3.0 až 4.3.1 pre iPhone 3GS a novší, iOS 3.1 až 4.3.1 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.3.1 pre iPad

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní textových uzlov dochádzalo k problému s použitím po uvoľnení. Návšteva webovej stránky so škodlivým kódom mohla viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu.

    CVE-ID

    CVE-2011-1344: Vupen Security v spolupráci s projektom TippingPoint Zero Day Initiative a Martin Barbella

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Používanie internetu má svoje riziká. Ak potrebujete ďalšie informácie, obráťte sa na dodávateľa. Ďalšie názvy spoločností a produktov môžu byť ochrannými známkami príslušných vlastníkov.

Dátum zverejnenia: