关于 iOS 5.0.1 软件更新的安全性内容

本文介绍了 iOS 5.0.1 的安全性内容。

本文介绍了 iOS 5.0.1 的安全性内容,可使用 iTunes 下载并安装 iOS 5.0.1。

为保护我们的客户,在未进行详尽调查并推出必要的修补程序或发行版之前,Apple 不会公开、讨论或确认安全性问题。要了解有关 Apple 产品安全性的更多信息,请参阅“Apple 产品安全性”网站。

有关 Apple 产品安全性 PGP 密钥的信息,请参阅“如何使用 Apple 产品安全性 PGP 密钥”。

如果可能,请使用 CVE ID 来查阅漏洞的详细信息。

要了解有关其他安全性更新的信息,请参阅“Apple 安全性更新”。

iOS 5.0.1 软件更新

  • CFNetwork

    适用于:iPhone 3GS、iPhone 4 和 iPhone 4s 的 iOS 3.0 到 5.0、iPod touch(第 3 代)和更新机型的 iOS 3.1 到 5.0、iPad 的 iOS 3.2 到 5.0、iPad 2 的 iOS 4.3 到 5.0

    影响:访问恶意制作的网站可能会导致敏感信息泄露

    说明:CFNetwork 在处理恶意制作的 URL 时存在问题。访问恶意制作的 HTTP 或 HTTPS URL 时,CFNetwork 可能会导航到错误的服务器。

    CVE-ID

    CVE-2011-3246:Facebook 的 Erling Ellingsen

  • CoreGraphics

    适用于:iPhone 3GS、iPhone 4 和 iPhone 4s 的 iOS 3.0 到 5.0、iPod touch(第 3 代)和更新机型的 iOS 3.1 到 5.0、iPad 的 iOS 3.2 到 5.0、iPad 2 的 iOS 4.3 到 5.0

    影响:查看包含恶意制作的字体的文稿可能会导致任意代码执行

    说明:FreeType 中存在多个内存损坏问题,其中最严重的损坏可能会在处理恶意制作的字体时导致任意代码执行。

    CVE-ID

    CVE-2011-3439:Apple

  • 数据安全

    适用于:iPhone 3GS、iPhone 4 和 iPhone 4s 的 iOS 3.0 到 5.0、iPod touch(第 3 代)和更新机型的 iOS 3.1 到 5.0、iPad 的 iOS 3.2 到 5.0、iPad 2 的 iOS 4.3 到 5.0

    影响:拥有特权网络地位的攻击者可拦截用户凭证或其他敏感信息

    说明:可信根证书列表中的两个证书颁发机构已向 DigiCert Malaysia 单独发出了中间证书。DigiCert Malaysia 已发出包含无法撤销的弱密钥的证书。拥有特权网络地位的攻击者可能会拦截用户凭证或其他针对包含由 DigiCert Malaysia 所发出证书的站点的敏感信息。此问题已通过配置默认系统信任设置以使 DigiCert Malaysia 的证书不受信得到解决。感谢 Entrust, Inc. 的 Bruce Morton 报告此问题。

  • 内核

    适用于:iPhone 3GS、iPhone 4 和 iPhone 4s 的 iOS 3.0 到 5.0、iPod touch(第 3 代)和更新机型的 iOS 3.1 到 5.0、iPad 的 iOS 3.2 到 5.0、iPad 2 的 iOS 4.3 到 5.0

    影响:某个应用软件可能会执行未签发的代码

    说明:mmap 系统调用在检查有效的标记组合时存在逻辑错误。此问题可能会导致绕过代码签名检查。此问题并不影响运行 iOS 4.3 之前版本的 iOS 设备。

    CVE-ID

    CVE-2011-3442:Accuvant Labs 的 Charlie Miller

  • libinfo

    适用于:iPhone 3GS、iPhone 4 和 iPhone 4s 的 iOS 3.0 到 5.0、iPod touch(第 3 代)和更新机型的 iOS 3.1 到 5.0、iPad 的 iOS 3.2 到 5.0、iPad 2 的 iOS 4.3 到 5.0

    影响:访问恶意制作的网站可能会导致敏感信息泄露

    说明:libinfo 在处理 DNS 名称查找时存在问题。解析恶意制作的主机名时,libinfo 可能会返回错误的结果。

    CVE-ID

    CVE-2011-3441:Facebook 的 Erling Ellingsen、Blocket AB 的 Per Johansson

  • 密码锁定

    适用于:iPad 2 的 iOS 4.3 到 5.0

    影响:具有已锁定 iPad 2 物理访问权限的人可以访问用户的部分数据

    说明:如果 iPad 2 确认在锁定状态下已关机时下打开 Smart Cover,则 iPad 不需要输入密码。这会允许某些用户访问 iPad,但由“数据保护”提供保护的数据不可访问,并且应用软件无法启动。

    CVE-ID

    CVE-2011-3440

 

有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考,不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。互联网的使用具有一定风险。请联系供应商以了解其他信息。其他公司和产品名称可能是其各自所有公司的商标。

发布日期: