Obsah zabezpečenia v aktualizácii softvéru iOS 4.3.2

V tomto dokumente sa opisuje obsah zabezpečenia v aktualizácii softvéru iOS 4.3.2.

V tomto dokumente sa opisuje obsah zabezpečenia v aktualizácii softvéru iOS 4.3.2, ktorú možno stiahnuť a nainštalovať pomocou iTunes.

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.

Informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku „Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple“.

Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.

Aktualizácia softvéru iOS 4.3.2

  • Certificate Trust Policy

    Dostupné pre: iOS 3.0 až 4.3.1 pre iPhone 3GS a novší, iOS 3.1 až 4.3.1 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.3.1 pre iPad

    Dopad: Útočník s oprávneniami v sieti môže zachytávať prihlasovacie údaje používateľov alebo iné citlivé informácie

    Popis: Pridružená registračná autorita Comodo vydala niekoľko podvodných certifikátov SSL. Útočníkovi využívajúcemu útok typu MITM (man-in-the-middle) to môže umožniť presmerovať pripojenia a zachytávať prihlasovacie údaje používateľov alebo iné citlivé informácie. Tento problém bol vyriešený pridaním podvodných certifikátov do zoznamu zakázaných.

    Poznámka: V systémoch Mac OS X bol tento problém vyriešený aktualizáciou zabezpečenia 2011-002. V prípade systémov Windows sa Safari pri určovaní, či je certifikát servera SSL dôveryhodný, spolieha na úložisko certifikátov hostiteľského operačného systému. Po aplikovaní aktualizácie opísanej v článku 2524375 vedomostnej databázy Microsoftu bude Safari tieto certifikáty považovať za nedôveryhodné. Článok je k dispozícii na adrese http://support.microsoft.com/kb/2524375

  • libxslt

    Dostupné pre: iOS 3.0 až 4.3.1 pre iPhone 3GS a novší, iOS 3.1 až 4.3.1 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.3.1 pre iPad

    Dopad: Pri návšteve webovej stránky so škodlivým kódom môže dôjsť k zverejneniu adries v rámci haldy

    Popis: Implementácia funkcie generate-id() XPath knižnice libxslt zverejňovala adresu vyrovnávacej pamäte haldy. Pri návšteve webovej stránky so škodlivým kódom môže dôjsť k zverejneniu adries v rámci haldy, čo môže pomôcť pri obchádzaní ochrany v podobe náhodného rozloženia priestoru adries. Tento problém bol vyriešený generovaním ID na základe rozdielu medzi adresami dvoch vyrovnávacích pamätí haldy.

    CVE-ID

    CVE-2011-0195 : Chris Evans z tímu Google Chrome Security Team

  • QuickLook

    Dostupné pre: iOS 3.0 až 4.3.1 pre iPhone 3GS a novší, iOS 3.1 až 4.3.1 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.3.1 pre iPad

    Dopad: Zobrazenie súboru balíka Microsoft Office so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracúvaní súborov balíka Microsoft Office súčasťou QuickLook dochádzalo k problému súvisiacemu s poškodením pamäte. Zobrazenie súboru balíka Microsoft Office so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu.

    CVE-ID

    CVE-2011-1417 : Charlie Miller a Dion Blazakis spolupracujúci s projektom Zero Day Initiative tímu TippingPoint

  • WebKit

    Dostupné pre: iOS 3.0 až 4.3.1 pre iPhone 3GS a novší, iOS 3.1 až 4.3.1 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.3.1 pre iPad

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracúvaní množín uzlov dochádzalo k problému s pretečením celočíselných hodnôt. Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo vykonaniu ľubovoľného kódu.

    CVE-ID

    CVE-2011-1290 : Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp Weinmann a anonymný výskumník spolupracujúci s projektom Zero Day Initiative tímu TippingPoint

  • WebKit

    Dostupné pre: iOS 3.0 až 4.3.1 pre iPhone 3GS a novší, iOS 3.1 až 4.3.1 pre iPod touch (3. generácia) a novší, iOS 3.2 až 4.3.1 pre iPad

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracúvaní textových uzlov dochádzalo k problému s použitím po uvoľnení. Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo vykonaniu ľubovoľného kódu.

    CVE-ID

    CVE-2011-1344 : Vupen Security v spolupráci s projektom Zero Day Initiative tímu TippingPoint a Martin Barbella

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.

Dátum zverejnenia: