為保障客戶的安全,在進行完整調查並提供所有必要的修補程式或版本之前,Apple 不會揭露、討論或確認安全性問題。若要瞭解 Apple 產品安全性的更多相關資訊,請參閱 Apple 產品安全性網站。
如需 Apple 產品安全性 PGP 金鑰的詳細資訊,請參閱「如何使用 Apple 產品安全性 PGP 金鑰」。
如果可能,CVE ID 會用來參照安全關漏洞,以取得進一步資訊。
若要瞭解其他安全性更新,請參閱「Apple 安全性更新」。
iOS 6.0.1
核心
適用於:iPhone 3GS 和後續機型、iPod touch(第 4 代)和後續機型、iPad 2 和後續機型
影響:惡意製作或遭到攻擊的 iOS 應用程式可能可以判斷核心中的位址
說明:處理與核心延伸功能的相關 API 時,存在資訊外洩問題。包含 OSBundleMachOHeaders 金鑰的回應可能涵蓋核心位址,這可能有助於略過位址空間佈局隨機化保護。已藉由在傳回位址之前取消滑動位址解決此問題。
CVE-ID
CVE-2012-3749:Azimuth Security 的 Mark Dowd、Square 的 Eric Monti 和其他匿名研究員
密碼鎖定
適用於:iPhone 3GS 和後續機型、iPod touch(第 4 代)和後續機型、iPad 2 和後續機型
影響:可實際取得裝置的人可能能夠存取 Passbook 通行證,不需要輸入密碼
說明:在鎖定螢幕中處理 Passbook 通行證時,存在狀態管理問題。已透過改良 Passbook 通行證處理解決此問題。
CVE-ID
CVE-2012-3750:Anton Tsviatkou
WebKit
適用於:iPhone 3GS 和後續機型、iPod touch(第 4 代)和後續機型、iPad 2 和後續機型
影響:瀏覽惡意製作的網站時,可能導致應用程式意外終止或執行任意程式碼
說明:處理 JavaScript 陣列時,存在檢查時間至使用時間問題。已透過其他的 JavaScript 陣列驗證解決此問題。
CVE-ID
CVE-2012-3748:Certified Secure 的 Joost Pol 和 Daan Keuper 與 HP TippingPoint Zero Day Initiative 小組合作
WebKit
適用於:iPhone 3GS 和後續機型、iPod touch(第 4 代)和後續機型、iPad 2 和後續機型
影響:瀏覽惡意製作的網站時,可能導致應用程式意外終止或執行任意程式碼
說明:處理 SVG 影像時,有釋放後使用記憶體出錯(use-after-free)的問題。改良記憶體處理機制後,已解決此問題。
CVE-ID
CVE-2012-5112:Pinkie Pie 與 Google Pwnium 2 比賽單位合作