Obsah zabezpečenia v aktualizácii softvéru iOS 5

V tomto dokumente sa popisuje obsah zabezpečenia v aktualizácii softvéru iOS 5.

V tomto dokumente sa popisuje obsah zabezpečenia v aktualizácii softvéru iOS 5, ktorú možno stiahnuť a nainštalovať pomocou aplikácie iTunes.

S cieľom ochrany svojich zákazníkov spoločnosť Apple neposkytuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problém úplne nepreskúma a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.

Ďalšie informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.

Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.

Aktualizácia softvéru iOS 5

  • CalDAV

    K dispozícii pre: iOS 3.0 až 4.3.5 pre iPhone 3GS a iPhone 4 (GSM), iOS 3.1 až 4.3.5 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.3.5 pre iPad

    Dopad: Útočník s oprávneniami v sieti môže zachytávať prihlasovacie údaje používateľov alebo iné citlivé informácie zo servera kalendárov CalDAV

    Popis: Súčasť CalDAV nekontrolovala, či bol certifikát SSL poskytnutý serverom dôveryhodný.

    CVE-ID

    CVE-2011-3253: Leszek Tasiemski zo spoločnosti nSense

  • Kalendár

    K dispozícii pre: iOS 4.2.0 až 4.3.5 pre iPhone 3GS a iPhone 4, iOS 4.2.0 až 4.3.5 pre iPod touch (3. generácia) a novší, iOS 4.2.0 až 4.3.5 pre iPad

    Dopad: Zobrazenie pozvánky do kalendára so škodlivým kódom môže viesť k vloženiu skriptu do lokálnej domény

    Popis: Pri spracovávaní poznámok v pozvánkach aplikáciou Kalendár dochádzalo k problému s vložením skriptu. Tento problém bol vyriešený vylepšením ukončenia špeciálnych znakov v poznámkach pozvánok. Tento problém neovplyvňuje zariadenia so staršou verziou systému iOS než 4.2.0.

    CVE-ID

    CVE-2011-3254: Rick Deacon

  • CFNetwork

    K dispozícii pre: iOS 3.0 až 4.3.5 pre iPhone 3GS a iPhone 4 (GSM), iOS 3.1 až 4.3.5 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.3.5 pre iPad

    Dopad: Heslo účtu Apple ID sa môže zaznamenať do lokálneho súboru

    Popis: Heslo a meno používateľa účtu Apple ID sa zaznamenali do súboru, ktorý mohli čítať aplikácie v systéme. Tento problém bol vyriešený nastavením systému tak, aby sa tieto prihlasovacie údaje nezaznamenávali.

    CVE-ID

    CVE-2011-3255: Peter Quade z qdevelop

  • CFNetwork

    K dispozícii pre: iOS 3.0 až 4.3.5 pre iPhone 3GS a iPhone 4 (GSM), iOS 3.1 až 4.3.5 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.3.5 pre iPad

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k úniku citlivých informácií

    Popis: Pri spracovávaní súborov cookie protokolu HTTP knižnicou CFNetwork dochádzalo k problému. Pri prístupe na adresu URL protokolu HTTP alebo HTTPS so škodlivým kódom mohla knižnica CFNetwork nesprávne odoslať súbory cookie domény na server mimo danej domény.

    CVE-ID

    CVE-2011-3246: Erling Ellingsen zo spoločnosti Facebook

  • CoreFoundation

    K dispozícii pre: iOS 3.0 až 4.3.5 pre iPhone 3GS a iPhone 4 (GSM), iOS 3.1 až 4.3.5 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.3.5 pre iPad

    Dopad: Zobrazenie webovej stránky alebo e-mailovej správy so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní generovania tokenov reťazcov knižnicou CoreFoundation dochádzalo k problému s poškodením pamäte.

    CVE-ID

    CVE-2011-0259: Apple

  • CoreGraphics

    K dispozícii pre: iOS 3.0 až 4.3.5 pre iPhone 3GS a iPhone 4 (GSM), iOS 3.1 až 4.3.5 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.3.5 pre iPad

    Dopad: Zobrazenie dokumentu obsahujúceho písmo so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

    Popis: V knižnici FreeType existovalo viacero problémov s poškodením pamäte, z ktorých tie najvážnejšie mohli pri spracovaní písma so škodlivým kódom viesť k spusteniu ľubovoľného kódu.

    CVE-ID

    CVE-2011-3256: Apple

  • CoreMedia

    K dispozícii pre: iOS 3.0 až 4.3.5 pre iPhone 3GS a iPhone 4 (GSM), iOS 3.1 až 4.3.5 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.3.5 pre iPad

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k úniku dát videí z inej stránky

    Popis: Pri spracovávaní presmerovaní medzi stránkami knižnicou CoreMedia dochádzalo k problému so zámenou pôvodu. Tento problém bol vyriešený vylepšením sledovania pôvodu.

    CVE-ID

    CVE-2011-0187: Nirankush Panchbhai a tím Microsoft Vulnerability Research (MSVR)

  • Prístup k dátam

    K dispozícii pre: iOS 3.0 až 4.3.5 pre iPhone 3GS a iPhone 4 (GSM), iOS 3.1 až 4.3.5 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.3.5 pre iPad

    Dopad: Problém so správou súborov cookie pri výmene pošty mohol spôsobiť nesprávnu synchronizáciu dát v rôznych účtoch

    Popis: Ak sú nakonfigurované viaceré účty výmeny pošty, ktoré sa pripájajú k tomu istému serveru, relácia mohla teoreticky prijať platný súbor cookie zodpovedajúci inému účtu. Tento problém bol vyriešený oddelením súborov cookie z rôznych účtov.

    CVE-ID

    CVE-2011-3257: Bob Sielken zo spoločnosti IBM

  • Zabezpečenie údajov

    K dispozícii pre: iOS 3.0 až 4.3.5 pre iPhone 3GS a iPhone 4 (GSM), iOS 3.1 až 4.3.5 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.3.5 pre iPad

    Dopad: Útočník s oprávneniami v sieti môže zachytávať prihlasovacie údaje používateľov alebo iné citlivé informácie

    Popis: Viaceré certifikačné autority prevádzkované spoločnosťou DigiNotar vydali podvodné certifikáty. Tento problém bol vyriešený odstránením spoločnosti DigiNotar zo zoznamu dôveryhodných koreňových certifikátov a zo zoznamu certifikačných autorít s rozšírením overovaním (EV) a nakonfigurovaním predvolených systémových nastavení dôveryhodnosti tak, aby certifikáty spoločnosti DigiNotar (vrátane certifikátov vydaných inými autoritami) neboli považované za dôveryhodné.

  • Zabezpečenie údajov

    K dispozícii pre: iOS 3.0 až 4.3.5 pre iPhone 3GS a iPhone 4 (GSM), iOS 3.1 až 4.3.5 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.3.5 pre iPad

    Dopad: Podpora certifikátov X.509 s algoritmami hash MD5 mohla pri zdokonalených útokoch vystaviť používateľov falšovaniu a úniku informácií

    Popis: Systém iOS akceptoval certifikáty podpísané pomocou algoritmu hash MD5. Tento algoritmus má známe kryptografické slabiny. Ďalší prieskum alebo nesprávne nakonfigurovaná certifikačná autorita mohla povoliť vytvorenie certifikátov X.509 s hodnotami ovládanými útočníkom, ktorým by systém dôveroval. Protokoly založené na štandarde X.509 by tým boli vystavené falšovaniu, útokom typu MITM (man-in-the-middle) a úniku informácií. Táto aktualizácia zakazuje podporu certifikátu X.509 s algoritmom hash MD5. Tento certifikát možno použiť len ako dôveryhodný koreňový certifikát.

    CVE-ID

    CVE-2011-3427

  • Zabezpečenie údajov

    K dispozícii pre: iOS 3.0 až 4.3.5 pre iPhone 3GS a iPhone 4 (GSM), iOS 3.1 až 4.3.5 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.3.5 pre iPad

    Dopad: Útočník mohol dešifrovať časť pripojenia SSL

    Popis: Boli podporované len verzie SSLv3 a TLS 1.0 protokolu SSL. Tieto verzie obsahovali protokol s nedostatočne zabezpečený miestami, ktoré sa prejavili pri použitých blokových šifier. Útočník využívajúcich útok typu MITM (man-in-the-middle) mohol vkladať neplatné dáta, spôsobiť ukončenie pripojenia a odhaliť informácie týkajúce sa predchádzajúcich dát. Ak sa pokus o pripojenie vykonal opakovane, útočník mohol byť schopný dešifrovať odosielané dáta, napríklad heslo. Tento problém bol vyriešený pridaním podpory protokolu TLS 1.2.

    CVE-ID

    CVE-2011-3389

  • Plocha

    K dispozícii pre: iOS 3.0 až 4.3.5 pre iPhone 3GS a iPhone 4 (GSM), iOS 3.1 až 4.3.5 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.3.5 pre iPad

    Dopad: Prepínanie medzi aplikáciami môže viesť k úniku citlivých informácií aplikácií

    Popis: Pri prepínaní medzi aplikáciami pomocou gesta štyrmi prstami na prepnutie medzi aplikáciami sa na displeji mohla zobraziť aplikácia v predchádzajúcom stave. Tento problém bol vyriešený nastavením systému tak, aby pri prechode medzi aplikáciami správne volal metódu applicationWillResignActive:

    CVE-ID

    CVE-2011-3431: Abe White zo spoločnosti Hedonic Software Inc.

  • ImageIO

    K dispozícii pre: iOS 3.0 až 4.3.5 pre iPhone 3GS a iPhone 4 (GSM), iOS 3.1 až 4.3.5 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.3.5 pre iPad

    Dopad: Zobrazenie obrázka TIFF so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovaní obrázkov TIFF s kódovaním CCITT Group 4 prostredníctvom knižnice libTIFF dochádzalo k pretečeniu medzipamäte.

    CVE-ID

    CVE-2011-0192: Apple

  • ImageIO

    K dispozícii pre: iOS 3.0 až 4.3.5 pre iPhone 3GS a iPhone 4 (GSM), iOS 3.1 až 4.3.5 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.3.5 pre iPad

    Dopad: Zobrazenie obrázka TIFF so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovaní obrázkov TIFF s kódovaním CCITT Group 4 prostredníctvom knižnice ImageIO dochádzalo k pretečeniu medzipamäte haldy.

    CVE-ID

    CVE-2011-0241: Cyril CATTIAUX zo spoločnosti Tessi Technologies

  • Medzinárodné komponenty pre kódovanie Unicode

    K dispozícii pre: iOS 3.0 až 4.3.5 pre iPhone 3GS a iPhone 4 (GSM), iOS 3.1 až 4.3.5 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.3.5 pre iPad

    Dopad: Pri používaní aplikácií, ktoré používajú knižnice ICU, môže dochádzať k ich neočakávanému ukončeniu alebo spusteniu ľubovoľného kódu

    Popis: Pri generovaní kľúčov knižnicou ICU na zoradenie dlhých reťazcov obsahujúcich prevažne veľké písmená dochádzalo k problému s pretečením medzipamäte.

    CVE-ID

    CVE-2011-0206: David Bienvenu zo spoločnosti Mozilla

  • Jadro

    K dispozícii pre: iOS 3.0 až 4.3.5 pre iPhone 3GS a iPhone 4 (GSM), iOS 3.1 až 4.3.5 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.3.5 pre iPad

    Dopad: Vzdialený útočník môže spôsobiť resetovanie zariadenia

    Popis: Jadro nebolo schopné rýchlo obnoviť pamäť z neúplných pripojení TCP. Útočníkovi s možnosťou pripojenia k službe načúvania v zariadení so systémom iOS to mohlo umožniť vyčerpať systémové prostriedky.

    CVE-ID

    CVE-2011-3259: Wouter van der Veer zo spoločnosti Topicus I&I a Josh Enders

  • Jadro

    K dispozícii pre: iOS 3.0 až 4.3.5 pre iPhone 3GS a iPhone 4 (GSM), iOS 3.1 až 4.3.5 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.3.5 pre iPad

    Dopad: Lokálny používateľ môže byť schopný spôsobiť resetovanie systému

    Popis: Pri spracovávaní možností soketu protokolu IPV6 dochádzalo k problému s nulovou dereferenciou.

    CVE-ID

    CVE-2011-1132: Thomas Clement zo spoločnosti Intego

  • Klávesnice

    K dispozícii pre: iOS 3.0 až 4.3.5 pre iPhone 3GS a iPhone 4 (GSM), iOS 3.1 až 4.3.5 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.3.5 pre iPad

    Dopad: Používateľ môže byť schopný určiť informácie o poslednom znaku hesla

    Popis: Klávesnica používaná na zadanie posledného znaku hesla sa pri ďalšom použití klávesnice nakrátko zobrazila.

    CVE-ID

    CVE-2011-3245: Paul Mousdicas

  • libxml

    K dispozícii pre: iOS 3.0 až 4.3.5 pre iPhone 3GS a iPhone 4 (GSM), iOS 3.1 až 4.3.5 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.3.5 pre iPad

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Dopad: Pri spracovávaní dát XML knižnicou libxml dochádzalo k pretečeniu medzipamäte haldy o jeden bajt.

    CVE-ID

    CVE-2011-0216: Billy Rios z tímu spoločnosti Google pre zabezpečenie

  • OfficeImport

    K dispozícii pre: iOS 3.0 až 4.3.5 pre iPhone 3GS a iPhone 4 (GSM), iOS 3.1 až 4.3.5 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.3.5 pre iPad

    Dopad: Zobrazenie súboru programu Word so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní dokumentov programu Microsoft Word knižnicou OfficeImport dochádzalo k pretečeniu medzipamäte.

    CVE-ID

    CVE-2011-3260: Tobias Klein v spolupráci so spoločnosťou Verisign iDefense Labs

  • OfficeImport

    K dispozícii pre: iOS 3.0 až 4.3.5 pre iPhone 3GS a iPhone 4 (GSM), iOS 3.1 až 4.3.5 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.3.5 pre iPad

    Dopad: Zobrazenie súboru programu Excel so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní súborov programu Excel knižnicou OfficeImport dochádzalo k problému s dvojitým uvoľnením.

    CVE-ID

    CVE-2011-3261: Tobias Klein z www.trapkit.de

  • OfficeImport

    K dispozícii pre: iOS 3.0 až 4.3.5 pre iPhone 3GS a iPhone 4 (GSM), iOS 3.1 až 4.3.5 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.3.5 pre iPad

    Dopad: Stiahnutie súboru balíka Microsoft Office so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní súborov balíka Microsoft Office knižnicou OfficeImport dochádzalo k problému s poškodením pamäte.

    CVE-ID

    CVE-2011-0208: Tobias Klein v spolupráci so spoločnosťou iDefense VCP

  • OfficeImport

    K dispozícii pre: iOS 3.0 až 4.3.5 pre iPhone 3GS a iPhone 4 (GSM), iOS 3.1 až 4.3.5 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.3.5 pre iPad

    Dopad: Stiahnutie súboru programu Excel so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní súborov programu Excel knižnicou OfficeImport dochádzalo k problému s poškodením pamäte.

    CVE-ID

    CVE-2011-0184: Tobias Klein v spolupráci so spoločnosťou iDefense VCP

  • Safari

    K dispozícii pre: iOS 3.0 až 4.3.5 pre iPhone 3GS a iPhone 4 (GSM), iOS 3.1 až 4.3.5 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.3.5 pre iPad

    Dopad: Otvorenie súboru so škodlivým kódom na určitých webových stránkach môže viesť k útoku využívajúcemu skriptovanie medzi lokalitami (XSS)

    Popis: Systém iOS nepodporoval hodnotu „attachment“ hlavičky HTTP Content-Disposition. Túto hlavičku používajú mnohé webové stránky na poskytovanie súborov, ktoré na stránku odoslala tretia strana, ako sú napríklad prílohy vo webových e-mailových aplikáciách. Ľubovoľný skript v súboroch poskytovaný s touto hodnotou hlavičky by sa spustil rovnako, ako keby bol poskytovaný vnorene, a mal by úplný prístup k ostatným prostriedkom na pôvodnom serveri. Tento problém bol vyriešený načítavaním príloh v izolovanom zabezpečenom priestore bez prístupu k prostriedkom na iných stránkach.

    CVE-ID

    CVE-2011-3426: Christian Matthies v spolupráci so spoločnosťou iDefense VCP, Yoshinori Oota zo spoločnosti Business Architects Inc. v spolupráci s inštitútom JP/CERT

  • Nastavenia

    K dispozícii pre: iOS 3.0 až 4.3.5 pre iPhone 3GS a iPhone 4 (GSM), iOS 3.1 až 4.3.5 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.3.5 pre iPad

    Dopad: Útočný s fyzickým prístupom k zariadeniu môže byť schopný získať heslo obmedzení

    Popis: Funkcia rodičovských obmedzení vynucuje použitie obmedzení používateľského rozhrania. Konfigurácia rodičovských obmedzení je chránená heslom, ktorá bola pred aktualizáciou uložená v súbore s obyčajným textom na disku. Tento problém bol vyriešený bezpečným uložením hesla rodičovských obmedzení v systémovej kľúčenke.

    CVE-ID

    CVE-2011-3429: anonymný používateľ

  • Nastavenia

    K dispozícii pre: iOS 3.0 až 4.3.5 pre iPhone 3GS a iPhone 4 (GSM), iOS 3.1 až 4.3.5 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.3.5 pre iPad

    Dopad: Zavádzajúce používateľské rozhranie

    Popis: Konfigurácie a nastavenia použité prostredníctvom konfiguračných profilov nefungovali správne pri používaní iného jazyka než angličtina. V dôsledku toho sa mohli nastavenia nesprávne zobrazovať. Tento problém bol vyriešený odstránením chyby lokalizácie.

    CVE-ID

    CVE-2011-3430: Florian Kreitmaier zo spoločnosti Siemens CERT

  • Upozornenia UIKit

    K dispozícii pre: iOS 3.0 až 4.3.5 pre iPhone 3GS a iPhone 4 (GSM), iOS 3.1 až 4.3.5 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.3.5 pre iPad

    Dopad: Návšteva webovej stránky so škodlivým kódom môže spôsobiť neočakávané zamrznutie zariadenia

    Popis: V dôsledku príliš veľkej maximálnej dĺžky rozloženia textu mohli webové stránky so škodlivým kódom spôsobiť zamrznutie systému iOS pri vykresľovaní dialógových okien prijatia veľmi dlhých identifikátorov URI typu tel: Tento problém bol vyriešený použitím vhodnejšej maximálnej veľkosti identifikátorov URI.

    CVE-ID

    CVE-2011-3432: Simon Young z univerzity Anglia Ruskin

  • WebKit

    K dispozícii pre: iOS 3.0 až 4.3.5 pre iPhone 3GS a iPhone 4 (GSM), iOS 3.1 až 4.3.5 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.3.5 pre iPad

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: V mechanizme WebKit existovalo viacero problémov súvisiacich s poškodením pamäte.

    CVE-ID

    CVE-2011-0218: Skylined z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2011-0221: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2011-0222: Nikita Tarakanov a Alex Bazhanyuk z tímu CISS Research Team a Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2011-0225: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2011-0232: J23 v spolupráci s projektom TippingPoint Zero Day Initiative

    CVE-2011-0233: wushi zo skupiny team509 v spolupráci s projektom TippingPoint Zero Day Initiative

    CVE-2011-0234: Rob King v spolupráci s projektom TippingPoint Zero Day Initiative a wushi zo skupiny team509 v spolupráci s projektom TippingPoint Zero Day Initiative

    CVE-2011-0235: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2011-0238: Adam Barth z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2011-0254: anonymný výskumník spolupracujúci s projektom TippingPoint Zero Day Initiative

    CVE-2011-0255: anonymný používateľ spolupracujúci s projektom TippingPoint Zero Day Initiative

    CVE-2011-0981: Rik Cabanier zo spoločnosti Adobe Systems, Inc.

    CVE-2011-0983: Martin Barbella

    CVE-2011-1109: Sergey Glazunov

    CVE-2011-1114: Martin Barbella

    CVE-2011-1115: Martin Barbella

    CVE-2011-1117: wushi zo skupiny team509

    CVE-2011-1121: miaubiz

    CVE-2011-1188: Martin Barbella

    CVE-2011-1203: Sergey Glazunov

    CVE-2011-1204: Sergey Glazunov

    CVE-2011-1288: Andreas Kling zo spoločnosti Nokia

    CVE-2011-1293: Sergey Glazunov

    CVE-2011-1296: Sergey Glazunov

    CVE-2011-1449: Marek Majkowski

    CVE-2011-1451: Sergey Glazunov

    CVE-2011-1453: wushi zo skupiny team509 v spolupráci s projektom TippingPoint Zero Day Initiative

    CVE-2011-1457: John Knottenbelt zo spoločnosti Google

    CVE-2011-1462: wushi zo skupiny team509

    CVE-2011-1797: wushi zo skupiny team509

    CVE-2011-2338: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer

    CVE-2011-2339: Cri Neckar z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2011-2341: wushi zo skupiny team509 v spolupráci so spoločnosťou Verisign iDefense Labs

    CVE-2011-2351: miaubiz

    CVE-2011-2352: Apple

    CVE-2011-2354: Apple

    CVE-2011-2356: Adam Barth a Abhishek Arya z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer

    CVE-2011-2359: miaubiz

    CVE-2011-2788: Mikolaj Malecki zo spoločnosti Samsung

    CVE-2011-2790: miaubiz

    CVE-2011-2792: miaubiz

    CVE-2011-2797: miaubiz

    CVE-2011-2799: miaubiz

    CVE-2011-2809: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2011-2813: Cris Neckar z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer

    CVE-2011-2814: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer

    CVE-2011-2816: Apple

    CVE-2011-2817: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer

    CVE-2011-2818: Martin Barbella

    CVE-2011-2820: Raman Tenneti a Philip Rogers zo spoločnosti Google

    CVE-2011-2823: Skylined z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2011-2827: miaubiz

    CVE-2011-2831: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer

    CVE-2011-3232: Aki Helin zo spoločnosti OUSPG

    CVE-2011-3234: miaubiz

    CVE-2011-3235: Dimitri Glazkov, Kent Tamura, Dominic Cooney z vývojovej komunity projektu Chromium a Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2011-3236: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer

    CVE-2011-3237: Dimitri Glazkov, Kent Tamura, Dominic Cooney z vývojovej komunity projektu Chromium a Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2011-3244: vkouchna

  • WebKit

    K dispozícii pre: iOS 3.0 až 4.3.5 pre iPhone 3GS a iPhone 4 (GSM), iOS 3.1 až 4.3.5 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.3.5 pre iPad

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k útoku využívajúcemu skriptovanie medzi lokalitami (XSS)

    Popis: Pri spracovávaní adries URL s vloženým menom používateľa dochádzalo k problému so zámenou pôvodu. Tento problém bol vyriešený vylepšením spracovávania adries URL s vloženým menom používateľa.

    CVE-ID

    CVE-2011-0242: Jobert Abma zo spoločnosti Online24

  • WebKit

    K dispozícii pre: iOS 3.0 až 4.3.5 pre iPhone 3GS a iPhone 4 (GSM), iOS 3.1 až 4.3.5 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.3.5 pre iPad

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k útoku využívajúcemu skriptovanie medzi lokalitami (XSS)

    Popis: Pri spracovávaní uzlov DOM dochádzalo k problému so zámenou pôvodu.

    CVE-ID

    CVE-2011-1295: Sergey Glazunov

  • WebKit

    K dispozícii pre: iOS 3.0 až 4.3.5 pre iPhone 3GS a iPhone 4 (GSM), iOS 3.1 až 4.3.5 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.3.5 pre iPad

    Popis: Webová stránka so škodlivým kódom môže byť schopná spôsoby zobrazenia inej adresy URL na paneli s adresou

    Popis: Pri spracovávaní objektu histórie DOM dochádzalo k problému s falšovaním adresy URL.

    CVE-ID

    CVE-2011-1107: Jordi Chancel

  • WebKit

    K dispozícii pre: iOS 3.0 až 4.3.5 pre iPhone 3GS a iPhone 4 (GSM), iOS 3.1 až 4.3.5 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.3.5 pre iPad

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

    Popis: Pri používaní knižnice libxslt mechanizmom WebKit dochádzalo k problému s konfiguráciou. Návšteva webovej stránky so škodlivým kódom mohla viesť k vytvoreniu ľubovoľných súborov s oprávneniami používateľa, čo mohlo viesť k spusteniu ľubovoľného kódu. Tento problém bol vyriešený vylepšením nastavení zabezpečenia knižnice libxslt.

    CVE-ID

    CVE-2011-1774: Nicolas Gregoire zo spoločnosti Agarri

  • WebKit

    K dispozícii pre: iOS 3.0 až 4.3.5 pre iPhone 3GS a iPhone 4 (GSM), iOS 3.1 až 4.3.5 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.3.5 pre iPad

    Dopad: Návšteva webovej stránky so škodlivým kódom a presunutie obsahu na stránke môže viesť k úniku informácií

    Popis: Pri spracovávaní presúvania obsahu na stránke HTML5 mechanizmom WebKit dochádzalo k problému so zámenou pôvodu. Tento problém bol vyriešený zakázaním presúvania obsahu medzi prvkami s rôznym pôvodom.

    CVE-ID

    CVE-2011-0166: Michal Zalewski zo spoločnosti Google, Inc.

  • WebKit

    K dispozícii pre: iOS 3.0 až 4.3.5 pre iPhone 3GS a iPhone 4 (GSM), iOS 3.1 až 4.3.5 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.3.5 pre iPad

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k úniku informácií

    Popis: Pri spracovávaní skriptov Web Worker dochádzalo k problému so zámenou pôvodu.

    CVE-ID

    CVE-2011-1190: Daniel Divricean z divricean.ro

  • WebKit

    K dispozícii pre: iOS 3.0 až 4.3.5 pre iPhone 3GS a iPhone 4 (GSM), iOS 3.1 až 4.3.5 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.3.5 pre iPad

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k útoku využívajúcemu skriptovanie medzi lokalitami (XSS)

    Popis: Pri spracovávaní metódy window.open dochádzalo k problému so zámenou pôvodu.

    CVE-ID

    CVE-2011-2805: Sergey Glazunov

  • WebKit

    K dispozícii pre: iOS 3.0 až 4.3.5 pre iPhone 3GS a iPhone 4 (GSM), iOS 3.1 až 4.3.5 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.3.5 pre iPad

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k útoku využívajúcemu skriptovanie medzi lokalitami (XSS)

    Popis: Pri spracovávaní neaktívnych okien DOM dochádzalo k problému so zámenou pôvodu.

    CVE-ID

    CVE-2011-3243: Sergey Glazunov

  • WebKit

    K dispozícii pre: iOS 3.0 až 4.3.5 pre iPhone 3GS a iPhone 4 (GSM), iOS 3.1 až 4.3.5 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.3.5 pre iPad

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k útoku využívajúcemu skriptovanie medzi lokalitami (XSS)

    Popis: Pri spracovávaní vlastnosti document.documentURI dochádzalo k problému so zámenou pôvodu.

    CVE-ID

    CVE-2011-2819: Sergey Glazunov

  • WebKit

    K dispozícii pre: iOS 3.0 až 4.3.5 pre iPhone 3GS a iPhone 4 (GSM), iOS 3.1 až 4.3.5 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.3.5 pre iPad

    Dopad: Webová stránka so škodlivým kódom môže byť schopná sledovať adresy URL, ktoré používateľ navštevuje v príslušnom rámci

    Popis: Pri spracovávaní udalosti beforeload dochádzalo k problému so zámenou pôvodu.

    CVE-ID

    CVE-2011-2800: Juho Nurminen

  • Wi-Fi

    K dispozícii pre: iOS 3.0 až 4.3.5 pre iPhone 3GS a iPhone 4 (GSM), iOS 3.1 až 4.3.5 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.3.5 pre iPad

    Dopad: Prihlasovacie údaje do Wi-Fi sietí sa môžu zaznamenávať do lokálneho súboru

    Popis: Prihlasovacie údaje do Wi-Fi sietí (vrátane prístupovej fázy a šifrovacích kľúčov) sa zaznamenávali do súboru, ktorý mohli čítať aplikácie v systéme. Tento problém bol vyriešený nastavením systému tak, aby sa tieto prihlasovacie údaje nezaznamenávali.

    CVE-ID

    CVE-2011-3434: Laurent OUDOT zo spoločnosti TEHTRI Security

 

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Používanie internetu má svoje riziká. Ak potrebujete ďalšie informácie, obráťte sa na dodávateľa. Ďalšie názvy spoločností a produktov môžu byť ochrannými známkami príslušných vlastníkov.

Dátum zverejnenia: