關於 iOS 3.1.3 與 iOS 3.1.3 for iPod touch 的安全性內容

本文說明 iOS 3.1.3 與 iOS 3.1.3 for iPod touch 的安全性內容。

為保障客戶權益,在進行完整調查並提供所有必要的修補程式或發行版本之前,Apple 不會揭露、討論或確認安全性問題。若要瞭解有關「Apple 產品安全性」的更多資訊,請造訪 Apple 產品安全性網站。

如需有關「Apple 產品安全性 PGP 金鑰」的資訊,請參閱<如何使用 Apple 產品安全性 PGP 金鑰>。

如可能,請使用 CVE ID 參閱有關漏洞的進一步資訊。

若要瞭解其他安全性更新的資訊,請參閱<Apple 安全性更新>。

這篇文章已封存,而且 Apple 也不會再更新。

iOS 3.1.3 與 iOS 3.1.3 for iPod touch

  • CoreAudio

    CVE-ID:CVE-2010-0036

    適用於:iOS 1.0 - 3.1.2、iOS for iPod touch 1.1 - 3.1.2

    影響:播放惡意製作的 mp4 音訊檔案可能導致應用程式意外終止或執行任意程式碼

    說明:處理 mp4 音訊檔案時,發生緩衝區溢位問題。播放惡意製作的 mp4 音訊檔案可能導致應用程式意外終止或執行任意程式碼。界限檢查機制已經改良,此問題已經解決。感謝 trapkit.de 的 Tobias Klein 回報此一問題。

  • ImageIO

    CVE-ID:CVE-2009-2285

    適用於:iOS 1.0 - 3.1.2、iOS for iPod touch 1.1 - 3.1.2

    影響:檢視惡意製作的 TIFF 影像可能造成應用程式意外終止或執行任意程式碼

    說明:ImageIO 處理 TIFF 影像時,發生緩衝區溢位問題。檢視惡意製作的 TIFF 影像可能造成應用程式意外終止或執行任意程式碼。界限檢查機制已經改良,此問題已經解決。

  • 恢復模式

    CVE-ID:CVE-2010-0038

    適用於:iOS 1.0 - 3.1.2、iOS for iPod touch 1.1 - 3.1.2

    影響:拿到已鎖定設備的人也許能存取使用者的資料

    說明:處理特定 USB 控制訊息時,存在記憶體損毀問題。拿到設備的人可能利用這點,不需輸入密碼,就能存取使用者的資料。此問題已透過改善 USB 控制訊息的處理方式而解決。

  • WebKit

    CVE-ID:CVE-2009-3384

    適用於:iOS 1.0 - 3.1.2、iOS for iPod touch 1.1 - 3.1.2

    影響:存取惡意製作的 FTP 伺服器時,可能導致應用程式意外終止、資訊外洩,或執行任意程式碼

    說明:WebKit 處理 FTP 目錄列表的方式,存在輸入驗證問題。存取惡意製作的 FTP 伺服器時,可能導致資訊外洩、應用程式意外終止,或執行任意程式碼。此更新改善剖析 FTP 目錄列表的機制,進而解決這些問題。感謝 Google Inc. 的 Michal Zalewski 回報這些問題。

  • WebKit

    CVE-ID:CVE-2009-2841

    適用於:iOS 1.0 - 3.1.2、iOS for iPod touch 1.1 - 3.1.2

    影響:停用載入遠端影像的功能時,Mail 可能載入遠端的音訊和視訊內容

    說明:WebKit 碰到指向外部資源的 HTML 5 媒體元件時,不會發出資源載入回呼 (callback),以判斷是否應該載入此資源。這個問題可能導致系統向遠端伺服器送出不想要的要求。例如,HTML 格式電子郵件的寄件人就能利用這個漏洞,判斷是否有人讀取郵件。此更新能在 WebKit 碰到 HTML 5 媒體元件時產生資源載入回呼,進而解決這個問題。

重要事項:協力廠商網站與產品的資訊僅為提供訊息之目的,且不構成背書或建議。Apple 對於協力廠商網站所提及之資訊或產品的選擇、效能或運用,概不負責。Apple 提供此資訊僅供使用者之便。Apple 未測試這些網站上的資訊,且對於其準確性或可靠性不具有任何立場。在網際網路上所得之資訊或產品有其危險性,Apple 對於該內容概不負責。請瞭解協力廠商網站與 Apple 各自為獨立個體,Apple 對於該網站的內容不具有控制權。請洽詢廠商以瞭解詳情。

發佈日期: