Про оновлення системи безпеки v1.0.1 для iPhone
Цей документ описує оновлення системи безпеки v1.0.1 для iPhone, яке можна завантажити й інсталювати через iTunes, як описано нижче.
Щоб захистити своїх клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її і не бере участі в її обговоренні, доки не буде завершено вивчення відповідної проблеми й не буде опубліковано необхідні виправлення або нові випуски. Щоб дізнатися більше про безпеку продуктів Apple, відвідайте вебсайт Apple Product Security.
Відомості про ключ PGP від Apple Product Security наведено в статті «Використання ключа PGP від Apple Product Security».
Якщо можливо, вразливості мають ідентифікатори CVE для отримання додаткової інформації.
Докладніше про інші оновлення системи безпеки описано в статті «Оновлення системи безпеки Apple».
Оновлення v1.0.1 для iPhone
Safari
CVE-ID: CVE-2007-2400
Доступно для: v1.0 iPhone
Вплив: відвідування шкідливого вебсайту може призвести до створення міжсайтових скриптів.
Опис: модель безпеки Safari забороняє JavaScript на віддалених вебсторінках змінювати сторінки за межами їхнього домену. Умова перегонів під час оновлення сторінки в поєднанні з переспрямуванням HTTP може дозволити JavaScript з однієї сторінки змінювати сторінку, на яку здійснюється переспрямування. Це може спричинити зчитування або довільне змінення файлів cookie й сторінок. Це оновлення усуває проблему, виправляючи контроль доступу до властивостей вікна. Подяка за повідомлення про цю проблему: Lawrence Lai, Stan Switzer і Ed Rowe з Adobe Systems, Inc.
Safari
CVE-ID: CVE-2007-3944
Доступно для: v1.0 iPhone
Вплив: перегляд шкідливої вебсторінки може призводити до виконання довільного коду.
Опис: у бібліотеці регулярних виразів Perl (PCRE), яка використовується механізмом JavaScript у Safari, виникає проблема переповнення буфера купи. Спонукаючи користувача відвідати шкідливу вебсторінку, зловмисник може ініціювати проблему, яка може призвести до довільного виконання коду. Це оновлення вирішує проблему завдяки додатковій перевірці регулярних виразів JavaScript. Подяка за повідомлення про цю проблему: Charlie Miller і Jake Honoroff з Independent Security Evaluators.
WebCore
CVE-ID: CVE-2007-2401
Доступно для: v1.0 iPhone
Вплив: відвідування шкідливого вебсайту може призвести до створення міжсайтових запитів.
Опис: у XMLHttpRequest виникає проблема ін’єкції HTTP під час серіалізації заголовків в HTTP-запит. Спонукаючи користувача відвідати шкідливу вебсторінку, зловмисник може викликати проблему створення міжсайтових скриптів. Це оновлення вирішує проблему завдяки додатковій перевірці параметрів заголовка. Подяка за повідомлення про цю проблему: Richard Moore із Westpoint Ltd.
WebKit
CVE-ID: CVE-2007-3742
Доступно для: v1.0 iPhone
Вплив: схожі символи в URL-адресі можуть використовуватися для маскування веб-сайту.
Опис: використовуючи підтримку міжнародного доменного імені (IDN) і шрифти Unicode, вбудовані в Safari, можна створювати URL-адреси, яка містить схожі символи. Вони можуть використовуватися на шкідливих вебсайтах, щоб спрямовувати користувачів на підроблений сайт, який візуально знається законним доменом. Це оновлення вирішує проблему завдяки поліпшеній перевірці дійсності доменного імені. Подяка за повідомлення про цю проблему: Tomohito Yoshino з Business Architects Inc.
WebKit
CVE-ID: CVE-2007-2399
Доступно для: v1.0 iPhone
Вплив: відвідування шкідливого сайту може призводити до несподіваного завершення роботи програми або виконання довільного коду.
Опис: недійсне перетворення типу під час візуалізації наборів фреймів може призвести до пошкодження пам’яті. Відвідування шкідливої вебсторінки може призводити до несподіваного завершення роботи програми або виконання довільного коду. Подяка за повідомлення про цю проблему: Rhys Kidd із Westnet.
Примітка щодо інсталяції
Це оновлення доступне лише через iTunes і не відображається в програмі «Оновлення ПЗ» на комп’ютері або на сайті завантажень Apple. Переконайтеся, що підключилися до Інтернету й інсталювали останню версію iTunes з www.apple.com/itunes.
iTunes автоматично перевіряє сервер оновлень Apple за тижневим графіком. Коли з’явиться оновлення, iTunes його завантажить. Коли iPhone буде підключено до комп’ютера, iTunes запропонує користувачеві інсталювати оновлення. Рекомендуємо негайно інсталювати оновлення, якщо це можливо. Якщо ви виберете параметр «не інсталювати», ви побачите цю пропозицію під час наступного підключення iPhone. Процес автоматичного оновлення може тривати до тижня залежно від того, у який день iTunes перевіряє наявність оновлень.
Оновлення можна отримати вручну за допомогою кнопки «Перевірити наявність оновлень» або через iTunes. Після цього оновлення можна буде інсталювати, коли iPhone буде підключено до комп’ютера.
Щоб перевірити, чи iPhone оновився:
Перейдіть у програму «Параметри» на iPhone.
Клацніть «Загальні».
Клацніть «Про пристрій». Після інсталяції оновлення відображатиметься версія 1.0.1 (1C25).