Obsah zabezpečenia v aktualizácii softvéru iOS 5.0.1

V tomto dokumente sa popisuje obsah zabezpečenia v aktualizácii softvéru iOS 5.0.1.

V tomto dokumente sa popisuje obsah zabezpečenia v aktualizácii iOS 5.0.1, ktorú možno stiahnuť a nainštalovať pomocou aplikácie iTunes.

S cieľom ochrany svojich zákazníkov spoločnosť Apple neposkytuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problém úplne nepreskúma a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.

Ďalšie informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.

Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.

Aktualizácia softvéru iOS 5.0.1

  • CFNetwork

    K dispozícii pre: iOS 3.0 až 5.0 pre iPhone 3GS, iPhone 4 a iPhone 4s, iOS 3.1 až 5.0 pre iPod touch (3. generácia) a novší, iOS 3.2 až 5.0 pre iPad, iOS 4.3 až 5.0 pre iPad 2

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k úniku citlivých informácií

    Popis: Pri spracovávaní adries URL so škodlivým kódom knižnicou CFNetwork dochádzalo k problému. Pri prístupe na adresu URL protokolu HTTP alebo HTTPS so škodlivým kódom mohla knižnica CFNetwork navigovať na nesprávny server.

    CVE-ID

    CVE-2011-3246: Erling Ellingsen zo spoločnosti Facebook

  • CoreGraphics

    K dispozícii pre: iOS 3.0 až 5.0 pre iPhone 3GS, iPhone 4 a iPhone 4s, iOS 3.1 až 5.0 pre iPod touch (3. generácia) a novší, iOS 3.2 až 5.0 pre iPad, iOS 4.3 až 5.0 pre iPad 2

    Dopad: Zobrazenie dokumentu obsahujúceho písmo so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

    Popis: V knižnici FreeType existovalo viacero problémov s poškodením pamäte, z ktorých tie najvážnejšie mohli pri spracovaní písma so škodlivým kódom viesť k spusteniu ľubovoľného kódu.

    CVE-ID

    CVE-2011-3439: Apple

  • Zabezpečenie údajov

    K dispozícii pre: iOS 3.0 až 5.0 pre iPhone 3GS, iPhone 4 a iPhone 4s, iOS 3.1 až 5.0 pre iPod touch (3. generácia) a novší, iOS 3.2 až 5.0 pre iPad, iOS 4.3 až 5.0 pre iPad 2

    Dopad: Útočník s oprávneniami v sieti môže zachytávať prihlasovacie údaje používateľov alebo iné citlivé informácie

    Popis: Dve certifikačné autority uvedené v zozname dôveryhodných koreňových certifikátov vydali nezávisle od seba sprostredkovateľské certifikáty spoločnosti DigiCert Malaysia. Spoločnosť DigiCert Malaysia vydala certifikáty so slabými kľúčmi, ktoré nemôže zrušiť. Útočník s oprávneniami v sieti môže zachytiť prihlasovacie údaje používateľov alebo iné citlivé informácie určené pre stránku s certifikátom vydaným spoločnosťou DigiCert Malaysia. Tento problém bol vyriešený nakonfigurovaním predvolených systémových nastavení dôveryhodnosti tak, aby certifikáty spoločnosti DigiCert Malaysia neboli považované za dôveryhodné. Za nahlásenie tohto problému by sme radi poďakovali Bruceovi Mortonovi zo spoločnosti Entrust, Inc.

  • Jadro

    K dispozícii pre: iOS 3.0 až 5.0 pre iPhone 3GS, iPhone 4 a iPhone 4s, iOS 3.1 až 5.0 pre iPod touch (3. generácia) a novší, iOS 3.2 až 5.0 pre iPad, iOS 4.3 až 5.0 pre iPad 2

    Dopad: Aplikácia môže spustiť nepodpísaný kód

    Popis: V rámci volania systému mmap na kontrolu platných kombinácií príznakov dochádzalo k logickej chybe. Tento problém mohol viesť k obídeniu kontrol podpisu kódu. Tento problém neovplyvňuje zariadenia so staršou verziou systému iOS než 4.3.

    CVE-ID

    CVE-2011-3442: Charlie Miller zo spoločnosti Accuvant Labs

  • libinfo

    K dispozícii pre: iOS 3.0 až 5.0 pre iPhone 3GS, iPhone 4 a iPhone 4s, iOS 3.1 až 5.0 pre iPod touch (3. generácia) a novší, iOS 3.2 až 5.0 pre iPad, iOS 4.3 až 5.0 pre iPad 2

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k úniku citlivých informácií

    Popis: Pri spracovávaní vyhľadávaní názvov DNS knižnicou libinfo dochádzalo k problému. Pri preklade názvu hostiteľa so škodlivým kódom mohla knižnica libinfo vrátiť nesprávny výsledok.

    CVE-ID

    CVE-2011-3441: Erling Ellingsen zo spoločnosti Facebook, Per Johansson zo spoločnosti Blocket AB

  • Uzamykanie heslom

    K dispozícii pre: iOS 4.3 až 5.0 pre iPad 2

    Dopad: Osoba s fyzickým prístupom k zamknutému iPadu 2 môže byť schopná získať prístup k niektorým dátam používateľa

    Popis: Ak používateľ otvorí kryt Smart Cover v okamihu, keď iPad 2 potvrdzuje vypnutie v stave uzamknutia, iPad nebude vyžadovať heslo. Umožňuje to získať určitú úroveň prístupu k obsahu iPadu, dáta chránené technológiou Data Protection však nie sú prístupné a aplikácie sa nedajú spúšťať.

    CVE-ID

    CVE-2011-3440

 

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Používanie internetu má svoje riziká. Ak potrebujete ďalšie informácie, obráťte sa na dodávateľa. Ďalšie názvy spoločností a produktov môžu byť ochrannými známkami príslušných vlastníkov.

Dátum zverejnenia: