Проблеми системи безпеки, які було усунено в оновленні iPhone 1.1.1

У цьому документі описано проблеми системи безпеки, які було усунено в оновленні iPhone 1.1.1.

Щоб захистити клієнтів, Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не буде завершено вивчення відповідної проблеми та не буде опубліковано будь-які необхідні виправлення або випуски. Докладніше про захист продуктів Apple див. на веб-сайті Як повідомити про вразливість безпеки або приватності.

Відомості про ключ PGP для захисту продуктів Apple див. у статті Як використовувати ключ PGP для захисту продуктів Apple.

Якщо це можливо, слід використовувати ідентифікатори CVE, щоб дізнатися більше про вразливості.

Щоб дізнатися про інші оновлення системи безпеки, див. статтю Оновлення системи безпеки Apple.

Оновлення iPhone v1.1.1

Bluetooth

CVE-ID: CVE-2007-3753

Наслідки: зловмисник у межах діапазону доступності Bluetooth може спричинити несподіване завершення роботи програми або виконання довільного коду.

Опис: на Bluetooth-сервері iPhone існує проблема з перевіркою вводу. Зловмисник може спровокувати збій, надсилаючи шкідливі пакети Service Discovery Protocol (SDP) на iPhone з увімкненим Bluetooth, унаслідок чого програма може несподівано завершити роботу або виконати довільний код. У цьому оновленні таку проблему було вирішено завдяки виконанню додаткової перевірки пакетів SDP. Висловлюємо подяку Кевіну Махаффі та Джону Герінгу з Flexilis Mobile Security за повідомлення про цю проблему.

Mail

CVE-ID: CVE-2007-3754

Наслідки: якщо перевіряти електронну пошту через ненадійні мережі, можливе розголошення інформації через атаку типу «людина посередині».

Опис: коли програму «Пошта» налаштовано на використання протоколу SSL для встановлення вхідних і вихідних з’єднань, то система не попереджає користувача про зміну ідентифікаційних даних поштового сервера або про те, що йому не можна довіряти. Зловмисник, який перехоплює з’єднання, може видавати себе за поштовий сервер користувача й отримувати його облікові дані електронної пошти або іншу конфіденційну інформацію. У цьому оновленні проблему було вирішено завдяки використанню належного попередження про зміну ідентифікаційних даних віддаленого поштового сервера.

Mail

CVE-ID: CVE-2007-3755

Наслідки: після переходу за посиланням на номер телефону (tel:) у програмі «Пошта» буде виконано виклик без підтвердження.

Опис: у програмі «Пошта» підтримуються посилання на номери телефонів (tel:) для здійснення викликів. Зловмисник може спонукати користувача перейти за посиланням на номер телефону в поштовому повідомленні, щоб iPhone виконав дзвінок без підтвердження власника. У цьому оновленні проблему було вирішено завдяки використанню вікна підтвердження перед тим, як набирати номер телефону за посиланням у програмі «Пошта». Висловлюємо подяку Енді Барічі з McAfee за повідомлення про цю проблему.

Safari

CVE-ID: CVE-2007-3756

Наслідки: відвідування шкідливого веб-сайту може спричинити розголошення інформації про URL-контент.

Опис: через помилку розробки в Safari веб-сторінка може зчитувати URL-адресу, яка наразі відображається в її головному вікні. Якщо користувач відвідає шкідливу веб-сторінку, зловмисник може отримати URL-адресу сторінки, яка ніяк із нею не пов’язана. У цьому оновленні проблему було вирішено за допомогою вдосконаленої функції перевірки безпеки між доменами. Висловлюємо подяку Міхалу Залевському з Google Inc. і Secunia Research за повідомлення про цю проблему.

Safari

CVE-ID: CVE-2007-3757

Наслідки: при відвідуванні шкідливого веб-сайту ви можете ненавмисно здійснити виклик або набрати не той номер, який очікуєте.

Опис: у Safari підтримуються посилання на номери телефонів (tel:) для здійснення викликів. Коли ви натиснете посилання на номер телефону, Safari підтвердить, що потрібно виконати дзвінок. Якщо посилання було створено зловмисниками, під час підтвердження може відображатися не той номер, який було набрано, а інший. Вийшовши із Safari під час процесу підтвердження, ви можете ненавмисно підтвердити виклик. У цьому оновленні проблему було вирішено завдяки правильному відображенню номера, який буде набрано, і необхідності підтвердження для здійснення дзвінка. Висловлюємо вдячність Біллі Хоффману та Брайану Саллівану з HP Security Labs (колишня назва — SPI Labs), а також Едуардо Тангу за повідомлення про цю проблему.

Safari

CVE-ID: CVE-2007-3758

Наслідки: відвідування шкідливого веб-сайту може спричинити міжсайтовий скриптинг.

Опис: у браузері Safari існує вразливість під назвою «міжсайтовий скриптинг», через яку зловмисники можуть налаштовувати властивості вікон JavaScript на веб-сайтах, що обслуговуються з іншого домену. Якщо користувач відвідає шкідливий веб-сайт, зловмисник може спровокувати проблему, унаслідок якої отримає доступ до стану вікна та розташування сторінок, що відображаються на інших веб-сайтах, або зможе їх змінити. У цьому оновленні проблему було вирішено за допомогою покращеного контролю доступу до цих властивостей. Висловлюємо подяку Міхалу Залевському з Google Inc. за повідомлення про цю проблему.

Safari

CVE-ID: CVE-2007-3759

Наслідки: відключення JavaScript не набере чинності, поки Safari не буде перезапущено.

Опис: Safari можна налаштувати таким чином, щоб увімкнути або вимкнути JavaScript. Цей параметр не набуватиме чинності до наступного перезапуску Safari. Зазвичай це відбувається після перезавантаження iPhone. У результаті користувачі можуть помилково вважати, що JavaScript вимкнено, хоча це не так. У цьому оновленні проблему було вирішено завдяки застосуванню нових налаштувань перед завантаженням нових веб-сторінок.

Safari

CVE-ID: CVE-2007-3760

Наслідки: відвідування шкідливого веб-сайту може спричинити міжсайтовий скриптинг.

Опис: міжсайтовий скриптинг у браузері Safari дає змогу зловмисникам обійти політику того ж походження за допомогою тегів frame. Якщо користувач переходить на шкідливу веб-сторінку, зловмисник може спровокувати цю вразливість, яка здатна спричинити виконання JavaScript у контексті іншого веб-сайту. У цьому оновленні проблему було вирішено через заборону JavaScript як джерела iframe, а також через обмеження доступу до JavaScript у тегах фреймів лише тим доступом, що й до сайту, з якого його було отримано. Висловлюємо подяку Міхалу Залевському з Google Inc. і Secunia Research за повідомлення про цю проблему.

Safari

CVE-ID: CVE-2007-3761

Наслідки: відвідування шкідливого веб-сайту може спричинити міжсайтовий скриптинг.

Опис: міжсайтовий скриптинг у Safari дає змогу пов’язувати події JavaScript із неправильним фреймом. Якщо користувач переходить на шкідливу веб-сторінку, зловмисник може спровокувати виконання JavaScript у контексті іншого веб-сайту. У цьому оновленні проблему було вирішено через прив’язку подій JavaScript до правильного початкового фрейму.

Safari

CVE-ID: CVE-2007-4671

Наслідки: JavaScript на веб-сайтах може отримувати доступ до вмісту документів, що надсилаються через HTTPS, або керувати ним.

Опис: через уразливість у Safari файли, що передаються по HTTP, можна змінювати, а також можна отримувати доступ до файлів, що передаються по HTTPS у тому ж домені. Якщо користувач переходить на шкідливу веб-сторінку, зловмисник може спровокувати виконання JavaScript у контексті веб-сторінок HTTPS у цьому домені. У цьому оновленні проблему було вирішено через обмеження доступу між JavaScript, що виконується у фреймах HTTP й HTTPS. Висловлюємо вдячність Кейго Ямазакі з LAC Co., Ltd. (Little eArth Corporation Co., Ltd.) за повідомлення про цю проблему.

Примітка щодо інсталяції.

Це оновлення доступне лише через iTunes і не відображатиметься в програмі «Оновлення програмного забезпечення» на вашому комп’ютері або на сайті завантажень Apple. Переконайтеся, що у вас є підключення до Інтернету та встановлено найновішу версію iTunes із сайту www.apple.com/itunes.

iTunes автоматично перевірятиме сервер оновлень Apple згідно зі своїм щотижневим розкладом. Коли оновлення з’явиться, програма завантажить його. Щойно iPhone буде під’єднано до комп’ютера, iTunes запропонує користувачу інсталювати оновлення. Ми рекомендуємо негайно застосувати оновлення, якщо це можливо. Якщо ви виберете варіант «Не інсталювати», цей параметр з’явиться під час наступного підключення iPhone.

Процес автоматичного оновлення може тривати протягом тижня, залежно від дня, коли iTunes перевіряє наявність оновлень. Ви можете отримати оновлення вручну, натиснувши кнопку «Пошук оновлень» в iTunes. Після цього оновлення можна буде застосувати, коли ваш iPhone буде підключено до комп’ютера.

Щоб перевірити, чи вдалось інсталювати оновлення на iPhone, виконайте наведені нижче дії.

1. Перейдіть у меню «Параметри».

2. Натисніть «Загальні».

3. Виберіть «Про пристрій». Після застосування цього оновлення версія зміниться на «1.1.1 (3A109a)».