关于 iOS 4.3 的安全性内容

本文介绍了 iOS 4.3 的安全性内容。

本文介绍 iOS 4.3 的安全性内容,可使用 iTunes 下载并安装。

为保护我们的客户,在未进行详尽调查并推出必要的修补程序或发行版之前,Apple 不会公开、讨论或确认安全性问题。要了解有关 Apple 产品安全性的更多信息,请参阅“Apple 产品安全性”网站。

有关 Apple 产品安全性 PGP 密钥的信息,请参阅“如何使用 Apple 产品安全性 PGP 密钥”。

如果可能,请使用 CVE ID 来查阅漏洞的详细信息。

要了解有关其他安全性更新的信息,请参阅“Apple 安全性更新”。

iOS 4.3

  • CoreGraphics

    适用于:适用于 iPhone 3GS 和更新机型的 iOS 3.0 到 4.2.1、适用于 iPod touch(第 3 代)和更新机型的 iOS 3.1 到 4.2.1、适用于 iPad 的 iOS 3.2 到 4.2.1

    影响:FreeType 中存在多个漏洞

    说明:FreeType 中已存在多个漏洞,其中最严重的漏洞可能会在处理恶意制作的字体时导致任意代码执行。这些问题已通过将 FreeType 更新至 2.4.3 版得到解决。通过 FreeType 网站 http://www.freetype.org/ 可以获得进一步信息

    CVE-ID

    CVE-2010-3855

  • ImageIO

    适用于:适用于 iPhone 3GS 和更新机型的 iOS 3.0 到 4.2.1、适用于 iPod touch(第 3 代)和更新机型的 iOS 3.1 到 4.2.1、适用于 iPad 的 iOS 3.2 到 4.2.1

    影响:查看恶意制作的 TIFF 图像可能会导致应用软件意外终止或任意代码执行

    说明:libTIFF 在处理 JPEG 编码的 TIFF 图像时存在缓冲区溢出。查看恶意制作的 TIFF 图像可能会导致应用软件意外终止或任意代码执行。

    CVE-ID

    CVE-2011-0191:Apple

  • ImageIO

    适用于:适用于 iPhone 3GS 和更新机型的 iOS 3.0 到 4.2.1、适用于 iPod touch(第 3 代)和更新机型的 iOS 3.1 到 4.2.1、适用于 iPad 的 iOS 3.2 到 4.2.1

    影响:查看恶意制作的 TIFF 图像可能会导致应用软件意外终止或任意代码执行

    说明:libTIFF 在处理 CCITT 组别 4 编码的 TIFF 图像时存在缓冲区溢出。查看恶意制作的 TIFF 图像可能会导致应用软件意外终止或任意代码执行。

    CVE-ID

    CVE-2011-0192:Apple

  • libxml

    适用于:适用于 iPhone 3GS 和更新机型的 iOS 3.0 到 4.2.1、适用于 iPod touch(第 3 代)和更新机型的 iOS 3.1 到 4.2.1、适用于 iPad 的 iOS 3.2 到 4.2.1

    影响:访问恶意制作的网站可能会导致应用软件意外终止或任意代码执行

    说明:libxml 在处理 XPath 表达式时存在双重释放问题。访问恶意制作的网站可能会导致应用软件意外终止或任意代码执行。

    CVE-ID

    CVE-2010-4494:Graduate University of Chinese Academy of Sciences NCNIPC 的 Yang Dingning

  • 联网

    适用于:适用于 iPhone 3GS 和更新机型的 iOS 3.0 到 4.2.1、适用于 iPod touch(第 3 代)和更新机型的 iOS 3.1 到 4.2.1、适用于 iPad 的 iOS 3.2 到 4.2.1

    影响:服务器可以通过连接识别设备

    说明:使用无状态地址自动配置 (SLAAC) 时,设备选取的 IPv6 地址包含设备的 MAC 地址。设备联系的已启用 IPv6 的服务器可以使用地址通过连接跟踪设备。此更新通过添加用于传出连接的临时随机地址,实施 RFC 3041 中说明的 IPv6 扩展。

  • Safari

    适用于:适用于 iPhone 3GS 和更新机型的 iOS 3.0 到 4.2.1、适用于 iPod touch(第 3 代)和更新机型的 iOS 3.1 到 4.2.1、适用于 iPad 的 iOS 3.2 到 4.2.1

    影响:访问恶意制作的网站可能会导致 MobileSafari 启动时退出

    说明:恶意制作的网站可能包含 javascript,这会反复导致设备上的另一个应用软件通过其 URL 处理程序启动。通过 MobileSafari 访问此网站将导致 MobileSafari 退出,而目标应用软件启动。每次打开 MobileSafari 将持续出现这个情况。此问题已通过下列方法解决:在另一个应用软件通过其 URL 处理程序启动后并重新打开 Safari 时,返回上一页。

    CVE-ID

    CVE-2011-0158:Ernst & Young LLP 的 Nitesh Dhanjani

  • Safari

    适用于:适用于 iPhone 3GS 和更新机型的 iOS 4.0 到 4.2.1、适用于 iPod touch(第 3 代)和更新机型的 iOS 4.0 到 4.2.1、适用于 iPad 的 iOS 4.2 到 4.2.1

    影响:在 Safari 设置中清除 cookie 可能不起作用

    影响:在 Safari 设置中清除 cookie 可能不起作用。此问题已通过改进对 cookie 的处理得到解决。此问题不影响 iOS 4.0 之前的系统。

    CVE-ID

    CVE-2011-0159:Google Inc. 的 Erik Wong

  • WebKit

    适用于:适用于 iPhone 3GS 和更新机型的 iOS 3.0 到 4.2.1、适用于 iPod touch(第 3 代)和更新机型的 iOS 3.1 到 4.2.1、适用于 iPad 的 iOS 3.2 到 4.2.1

    影响:访问恶意制作的网站可能会导致应用软件意外终止或任意代码执行

    说明:WebKit 中存在多个内存损坏问题。访问恶意制作的网站可能会导致应用软件意外终止或任意代码执行。

    CVE-ID

    CVE-2010-1792

    CVE-2010-1824:kuzzcc 和与 TippingPoint 的 Zero Day Initiative 合作的 team509 的 wushi

    CVE-2011-0111:Sergey Glazunov

    CVE-2011-0112:Google, Inc. 的 Yuzo Fujishima

    CVE-2011-0113:Nokia 的 Andreas Kling

    CVE-2011-0114:Google Chrome Security Team 的 Chris Evans

    CVE-2011-0115:与 TippingPoint 的 Zero Day Initiative 合作的 J23 和 Google, Inc. 的 Emil A Eklund.

    CVE-2011-0116:与 TippingPoint 的 Zero Day Initiative 合作的一位匿名研究人员

    CVE-2011-0117:Google, Inc. 的 Abhishek Arya (Inferno)

    CVE-2011-0118:Google, Inc. 的 Abhishek Arya (Inferno)

    CVE-2011-0119:Google, Inc. 的 Abhishek Arya (Inferno)

    CVE-2011-0120:Google, Inc. 的 Abhishek Arya (Inferno)

    CVE-2011-0121:Google, Inc. 的 Abhishek Arya (Inferno)

    CVE-2011-0122:Slawomir Blazek

    CVE-2011-0123:Google, Inc. 的 Abhishek Arya (Inferno)

    CVE-2011-0124:Google, Inc. 的 Yuzo Fujishima

    CVE-2011-0125:Google, Inc. 的 Abhishek Arya (Inferno)

    CVE-2011-0126:Google, Inc. 的 Mihai Parparita

    CVE-2011-0127:Google, Inc. 的 Abhishek Arya (Inferno)

    CVE-2011-0128:David Bloom

    CVE-2011-0129:Famlam

    CVE-2011-0130:Apple

    CVE-2011-0131:team509 的 wushi

    CVE-2011-0132:与 TippingPoint 的 Zero Day Initiative 合作的 team509 的 wushi

    CVE-2011-0133:与 TippingPoint 的 Zero Day Initiative 合作的 team509 的 wushi

    CVE-2011-0134:Jan Tosovsky

    CVE-2011-0135:一位匿名报告者

    CVE-2011-0136:Sergey Glazunov

    CVE-2011-0137:Sergey Glazunov

    CVE-2011-0138:kuzzcc

    CVE-2011-0140:Sergey Glazunov

    CVE-2011-0141:Matasano Security 的 Chris Rohlf

    CVE-2011-0142:Google, Inc. 的 Abhishek Arya (Inferno)

    CVE-2011-0143:Slawomir Blazek 和 Sergey Glazunov

    CVE-2011-0144:Google, Inc. 的 Emil A Eklund

    CVE-2011-0145:Google, Inc. 的 Abhishek Arya (Inferno)

    CVE-2011-0146:Google, Inc. 的 Abhishek Arya (Inferno)

    CVE-2011-0147:Dirk Schulze

    CVE-2011-0148:Google, Inc. 的 Michal Zalewski

    CVE-2011-0149:与 TippingPoint 的 Zero Day Initiative 合作的 team509 的 wushi 和 Google Chrome Security Team 的 SkyLined

    CVE-2011-0150:safariadblock.com 的 Michael Gundlach

    CVE-2011-0151:Google, Inc. 的 Abhishek Arya (Inferno)

    CVE-2011-0152:Google Chrome Security Team 的 SkyLined

    CVE-2011-0153:Google, Inc. 的 Abhishek Arya (Inferno)

    CVE-2011-0154:与 TippingPoint 的 Zero Day Initiative 合作的一位匿名研究人员

    CVE-2011-0155:OUSPG 的 Aki Helin

    CVE-2011-0156:Google, Inc. 的 Abhishek Arya (Inferno)

    CVE-2011-0157:Mozilla 的 Benoit Jacob

    CVE-2011-0168:Sergey Glazunov

  • WebKit

    适用于:适用于 iPhone 3GS 和更新机型的 iOS 3.0 到 4.2.1、适用于 iPod touch(第 3 代)和更新机型的 iOS 3.1 到 4.2.1、适用于 iPad 的 iOS 3.2 到 4.2.1

    影响:HTTP 基本认证凭证可能无意间泄露给其他网站

    说明:如果站点使用 HTTP 基本认证并重定向到其他站点,则认证证书可能会被发送到其他站点。此问题已通过改进对证书的处理得到解决。

    CVE-ID

    CVE-2011-0160:Twelve Hundred Group 的 McIntosh Cooey、Harald Hanche-Olsen、与 CERT 合作的 1111 Internet LLC 的 Chuck Hohn、Braintree 的 Paul Hinze

  • WebKit

    适用于:适用于 iPhone 3GS 和更新机型的 iOS 3.0 到 4.2.1、适用于 iPod touch(第 3 代)和更新机型的 iOS 3.1 到 4.2.1、适用于 iPad 的 iOS 3.2 到 4.2.1

    影响:访问恶意制作的网站可能会导致跨站点样式声明

    说明:WebKit 在处理 Attr.style 访问函数时存在跨域问题。访问恶意制作的网站可能会允许该站点将 CSS 插入到其他文稿。此问题已通过移除 Attr.style 访问函数得到解决。

    CVE-ID

    CVE-2011-0161:Apple

  • WebKit

    适用于:适用于 iPhone 3GS 和更新机型的 iOS 3.0 到 4.2.1、适用于 iPod touch(第 3 代)和更新机型的 iOS 3.1 到 4.2.1、适用于 iPad 的 iOS 3.2 到 4.2.1

    影响:恶意制作的网站可能会阻止其他站点请求特定资源

    说明:WebKit 在处理缓存资源时存在缓存投毒问题。恶意制作的网站可能会阻止其他站点请求特定资源。此问题已通过改进类型检查得到解决。

    CVE-ID

    CVE-2011-0163:Apple

  • Wi-Fi

    适用于:适用于 iPhone 3GS 和更新机型的 iOS 3.0 到 4.2.1、适用于 iPod touch(第 3 代)和更新机型的 iOS 3.1 到 4.2.1、适用于 iPad 的 iOS 3.2 到 4.2.1

    影响:连接到 Wi-Fi 时,同一网络下的攻击者有机会能强制设备重启

    说明:在处理 Wi-Fi 框架时存在边界检查问题。连接到 Wi-Fi 时,同一网络下的攻击者有机会能强制设备重启。

    CVE-ID

    CVE-2011-0162:ePlus Technology, inc. 的 Scott Boyd

有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考,不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。互联网的使用具有一定风险。请联系供应商以了解其他信息。其他公司和产品名称可能是其各自所有公司的商标。

发布日期: