关于 iOS 5.0.1 软件更新的安全性内容

本文介绍了 iOS 5.0.1 的安全性内容。

本文介绍了 iOS 5.0.1 的安全性内容，可使用 iTunes 下载并安装 iOS 5.0.1。

为保护我们的客户，在未进行详尽调查并推出必要的修补程序或发行版之前，Apple 不会公开、讨论或确认安全性问题。要了解有关 Apple 产品安全性的更多信息，请参阅“Apple 产品安全性”网站。

有关 Apple 产品安全性 PGP 密钥的信息，请参阅“如何使用 Apple 产品安全性 PGP 密钥”。

如果可能，请使用 CVE ID 来查阅漏洞的详细信息。

要了解有关其他安全性更新的信息，请参阅“Apple 安全性更新”。

iOS 5.0.1 软件更新

CFNetwork
适用于：iPhone 3GS、iPhone 4 和 iPhone 4s 的 iOS 3.0 到 5.0、iPod touch（第 3 代）和更新机型的 iOS 3.1 到 5.0、iPad 的 iOS 3.2 到 5.0、iPad 2 的 iOS 4.3 到 5.0
影响：访问恶意制作的网站可能会导致敏感信息泄露
说明：CFNetwork 在处理恶意制作的 URL 时存在问题。访问恶意制作的 HTTP 或 HTTPS URL 时，CFNetwork 可能会导航到错误的服务器。
CVE-ID
CVE-2011-3246：Facebook 的 Erling Ellingsen

CoreGraphics
适用于：iPhone 3GS、iPhone 4 和 iPhone 4s 的 iOS 3.0 到 5.0、iPod touch（第 3 代）和更新机型的 iOS 3.1 到 5.0、iPad 的 iOS 3.2 到 5.0、iPad 2 的 iOS 4.3 到 5.0
影响：查看包含恶意制作的字体的文稿可能会导致任意代码执行
说明：FreeType 中存在多个内存损坏问题，其中最严重的损坏可能会在处理恶意制作的字体时导致任意代码执行。
CVE-ID
CVE-2011-3439：Apple

数据安全
适用于：iPhone 3GS、iPhone 4 和 iPhone 4s 的 iOS 3.0 到 5.0、iPod touch（第 3 代）和更新机型的 iOS 3.1 到 5.0、iPad 的 iOS 3.2 到 5.0、iPad 2 的 iOS 4.3 到 5.0
影响：拥有特权网络地位的攻击者可拦截用户凭证或其他敏感信息
说明：可信根证书列表中的两个证书颁发机构已向 DigiCert Malaysia 单独发出了中间证书。DigiCert Malaysia 已发出包含无法撤销的弱密钥的证书。拥有特权网络地位的攻击者可能会拦截用户凭证或其他针对包含由 DigiCert Malaysia 所发出证书的站点的敏感信息。此问题已通过配置默认系统信任设置以使 DigiCert Malaysia 的证书不受信得到解决。感谢 Entrust, Inc. 的 Bruce Morton 报告此问题。

libinfo
适用于：iPhone 3GS、iPhone 4 和 iPhone 4s 的 iOS 3.0 到 5.0、iPod touch（第 3 代）和更新机型的 iOS 3.1 到 5.0、iPad 的 iOS 3.2 到 5.0、iPad 2 的 iOS 4.3 到 5.0
影响：访问恶意制作的网站可能会导致敏感信息泄露
说明：libinfo 在处理 DNS 名称查找时存在问题。解析恶意制作的主机名时，libinfo 可能会返回错误的结果。
CVE-ID
CVE-2011-3441：Facebook 的 Erling Ellingsen、Blocket AB 的 Per Johansson

密码锁定
适用于：iPad 2 的 iOS 4.3 到 5.0
影响：具有已锁定 iPad 2 物理访问权限的人可以访问用户的部分数据
说明：如果 iPad 2 确认在锁定状态下已关机时下打开 Smart Cover，则 iPad 不需要输入密码。这会允许某些用户访问 iPad，但由“数据保护”提供保护的数据不可访问，并且应用软件无法启动。
CVE-ID
CVE-2011-3440

有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考，不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。联系供应商以了解其他信息。

发布日期： 2023 年 11 月 03 日