Informacije o sigurnosnom sadržaju ažuriranja softvera iOS 5

U ovom se dokumentu opisuje sigurnosni sadržaj ažuriranja softvera iOS 5.

U ovom se dokumentu opisuje sigurnosni sadržaj ažuriranja softvera iOS 5, koje se može preuzeti i instalirati pomoću programa iTunes.

Da bi zaštitio korisnike, Apple ne otkriva, ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i javno ne ponudi zakrpe ili nova izdanja. Da biste saznali više o sigurnosti Appleovih proizvoda, posjetite web-mjesto Sigurnost Appleovih proizvoda.

Informacije o PGP ključu za sigurnost Appleovih proizvoda potražite u članku "Upotreba PGP ključa za sigurnost Appleovih proizvoda".

Kada je to moguće, CVE ID-ovi služe kao referenca za dodatne informacije o slabim točkama.

Da biste saznali više o sigurnosnim ažuriranjima, pročitajte članak "Appleova sigurnosna ažuriranja".

Ažuriranje softvera iOS 5

  • CalDAV

    Dostupno za: iOS od 3.0 do 4.3.5 za iPhone 3GS i iPhone 4, iOS od 3.1 do 4.3.5 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.3.5 za iPad

    Učinak: napadač s povlaštenim položajem u mreži može presresti korisničke vjerodajnice ili druge povjerljive podatke s poslužitelja za kalendar CalDAV

    Opis: CalDAV nije provjeravao je li SSL certifikat koji je poslužitelj poslao pouzdan.

    CVE-ID

    CVE-2011-3253: Leszek Tasiemski iz tvrtke nSense

  • Kalendar

    Dostupno za: iOS od 4.2.0 do 4.3.5 za iPhone 3GS i iPhone 4, iOS od 4.2.0 do 4.3.5 za iPod touch (treće generacije) i noviji, iOS od 4.2.0 do 4.3.5 za iPad

    Učinak: otvaranjem zlonamjerne pozivnice za kalendar mogla bi se umetnuti skripta u lokalnu domenu

    Opis: u načinu na koji je Kalendar obrađivao poruke s pozivnicama postojao je problem s umetanjem skripti. Problem je riješen poboljšanim izbjegavanjem posebnih znakova u porukama s pozivnicama. Problem ne utječe na uređaje sa sustavom starijim od verzije iOS 4.2.0.

    CVE-ID

    CVE-2011-3254: Rick Deacon

  • CFNetwork

    Dostupno za: iOS od 3.0 do 4.3.5 za iPhone 3GS i iPhone 4, iOS od 3.1 do 4.3.5 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.3.5 za iPad

    Učinak: korisnikova lozinka za AppleID mogla bi se zapisati u lokalnu datoteku

    Opis: korisnikova lozinka i korisničko ime za AppleID zapisivali su se u datoteku koju su aplikacije u sustavu mogle čitati. To je riješeno tako što se vjerodajnice više ne bilježe.

    CVE-ID

    CVE-2011-3255: Peter Quade iz tvrtke qdevelop

  • CFNetwork

    Dostupno za: iOS od 3.0 do 4.3.5 za iPhone 3GS i iPhone 4, iOS od 3.1 do 4.3.5 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.3.5 za iPad

    Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati otkrivanje osjetljivih podataka

    Opis: postojao je problem u načinu na koji CFNetwork obrađuje HTTP kolačiće. Prilikom posjeta zlonamjernom HTTP ili HTTPS URL-u CFNetwork mogao bi kolačiće za neku domenu pogrešno poslati na poslužitelj izvan te domene.

    CVE-ID

    CVE-2011-3246: Erling Ellingsen iz Facebooka

  • CoreFoundation

    Dostupno za: iOS od 3.0 do 4.3.5 za iPhone 3GS i iPhone 4, iOS od 3.1 do 4.3.5 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.3.5 za iPad

    Učinak: posjet zlonamjernom web-mjestu ili otvaranje zlonamjerne e-mail poruke može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    Opis: u načinu na koji CoreFoundation obrađuje tokenizaciju niza postojao je problem s oštećenjem memorije.

    CVE-ID

    CVE-2011-0259: Apple

  • CoreGraphics

    Dostupno za: iOS od 3.0 do 4.3.5 za iPhone 3GS i iPhone 4, iOS od 3.1 do 4.3.5 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.3.5 za iPad

    Učinak: otvaranje dokumenta sa zlonamjernim fontom može uzrokovati izvršavanje proizvoljnog koda

    Opis: u komponenti freetype postojalo je više problema s oštećenjem memorije, a najozbiljniji od njih mogao je dopustiti izvršavanje proizvoljnog koda prilikom obrade zlonamjerno sastavljenog fonta.

    CVE-ID

    CVE-2011-3256: Apple

  • CoreMedia

    Dostupno za: iOS od 3.0 do 4.3.5 za iPhone 3GS i iPhone 4, iOS od 3.1 do 4.3.5 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.3.5 za iPad

    Učinak: pristup zlonamjernom web-mjestu može uzrokovati otkrivanje videopodataka s drugog web-mjesta

    Opis: u načinu na koji je CoreMedia obrađivao preusmjeravanja s jednog web-mjesta na drugo postojao je problem s resursima s više izvora. Problem se rješava poboljšanim praćenjem izvora.

    CVE-ID

    CVE-2011-0187: Nirankush Panchbhai i Microsoftovo istraživanje slabih točaka (MSVR)

  • Pristup podacima

    Dostupno za: iOS od 3.0 do 4.3.5 za iPhone 3GS i iPhone 4, iOS od 3.1 do 4.3.5 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.3.5 za iPad

    Učinak: problem s upravljanjem kolačićima za razmjenu pošte mogao bi uzrokovati netočnu sinkronizaciju podataka na različitim računima

    Opis: ako je konfigurirano više računa za razmjenu pošte, a povezani su s istim poslužiteljem, sesija bi mogla primiti valjani kolačić namijenjen drugom računu. Problem je riješen odvajanjem kolačića za različite račune.

    CVE-ID

    CVE-2011-3257: Bob Sielken iz tvrtke IBM

  • Sigurnost podataka

    Dostupno za: iOS od 3.0 do 4.3.5 za iPhone 3GS i iPhone 4, iOS od 3.1 do 4.3.5 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.3.5 za iPad

    Učinak: napadač s mrežnim ovlastima mogao je presresti korisničke vjerodajnice ili druge povjerljive podatke

    Opis: više izdavača certifikata kojima upravlja DigiNotar izdavalo je lažne certifikate. Problem je riješen tako što je DigiNotar uklonjen s popisa pouzdanih korijenskih certifikata te s popisa izdavača certifikata za proširenu validaciju i konfiguriranjem zadanih sistemskih postavki pouzdanosti na način da se certifikati DigiNotar, uključujući one koje izdaju drugi izdavači, ne smatraju pouzdanima.

  • Sigurnost podataka

    Dostupno za: iOS od 3.0 do 4.3.5 za iPhone 3GS i iPhone 4, iOS od 3.1 do 4.3.5 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.3.5 za iPad

    Učinak: podrška za certifikate X.509 s raspršivanjem MD5 mogla bi korisnike izložiti zavaravanju i otkrivanju podataka kako se napadi budu poboljšavali

    Opis: iOS prihvaćao je certifikate potpisane algoritmom raspršivanja MD5. Taj algoritam sadrži poznatu kriptografsku slabu točku. Dodatna istraživanja ili pogrešno konfiguriran izdavač certifikata mogli bi dopustiti izradu certifikata X.509 koji sadrže vrijednosti pod nadzorom napadača, a sustav bi ih smatrao pouzdanima. Time bi se protokoli na temelju certifikata X.509 izložili zavaravanju, presretanju i otkrivanju podataka. Ovim se ažuriranjem onemogućuje podrška za certifikate X.509 koji sadrže raspršivanje MD5 za bilo koju drugu svrhu, osim u svrhu pouzdanog korijenskog certifikata.

    CVE-ID

    CVE-2011-3427

  • Sigurnost podataka

    Dostupno za: iOS od 3.0 do 4.3.5 za iPhone 3GS i iPhone 4, iOS od 3.1 do 4.3.5 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.3.5 za iPad

    Učinak: napadač bi mogao dešifrirati dio SSL veze

    Opis: dosad su bile podržane samo verzije SSLv3 i TLS 1.0 SSL-a. Te verzije sadrže slabe točke u protokolima prilikom korištenja blok-šifri. Presretač je mogao umetnuti nevažeće podatke i time zatvoriti vezu, ali i otkriti neke informacije o prethodno razmijenjenim podacima. Ako se ista veza pokuša uspostaviti više puta, napadač bi u konačnici mogao dešifrirati podatke koji se šalju, npr. lozinku. Problem je riješen dodavanjem podrške za TLS 1.2.

    CVE-ID

    CVE-2011-3389

  • Početni zaslon

    Dostupno za: iOS od 3.0 do 4.3.5 za iPhone 3GS i iPhone 4, iOS od 3.1 do 4.3.5 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.3.5 za iPad

    Učinak: prebacivanje s jedne aplikacije na drugu može otkriti osjetljive podatke iz aplikacije

    Opis: prilikom prebacivanja s jedne aplikacije na drugu gestom s četiri prsta na zaslonu se moglo pokazati stanje prijašnje aplikacije. Problem se rješava tako da sustav prilikom prelaska s jedne aplikacije na drugu pravilno pozove metodu applicationWillResignActive:

    CVE-ID

    CVE-2011-3431: Abe White iz tvrtke Hedonic Software Inc.

  • Ulaz i izlaz slika

    Dostupno za: iOS od 3.0 do 4.3.5 za iPhone 3GS i iPhone 4, iOS od 3.1 do 4.3.5 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.3.5 za iPad

    Učinak: prikaz zlonamjerne TIFF datoteke može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    Opis: u načinu na koji je libTIFF obrađivao TIFF slike s kodiranjem CCITT Group 4 dolazilo je do prelijevanja iz međuspremnika.

    CVE-ID

    CVE-2011-0192: Apple

  • Ulaz i izlaz slika

    Dostupno za: iOS od 3.0 do 4.3.5 za iPhone 3GS i iPhone 4, iOS od 3.1 do 4.3.5 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.3.5 za iPad

    Učinak: otvaranje zlonamjerne TIFF datoteke može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    Opis: u načinu na koji je ImageIO obrađivao TIFF slike s kodiranjem CCITT Group 4 dolazilo je do prelijevanja iz međuspremnika snopa.

    CVE-ID

    CVE-2011-0241: Cyril CATTIAUX iz tvrtke Tessi Technologies

  • Međunarodne komponente za Unicode

    Dostupno za: iOS od 3.0 do 4.3.5 za iPhone 3GS i iPhone 4, iOS od 3.1 do 4.3.5 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.3.5 za iPad

    Učinak: u aplikacijama koje koriste ICU mogu postojati slabe točke koje omogućuju neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    Opis: u načinu na koji je ICU generirao ključeve za razvrstavanje dugih nizova uglavnom sastavljenih od velikih slova dolazilo je do prelijevanja iz međuspremnika.

    CVE-ID

    CVE-2011-0206: David Bienvenu iz tvrtke Mozilla

  • Kernel

    Dostupno za: iOS od 3.0 do 4.3.5 za iPhone 3GS i iPhone 4, iOS od 3.1 do 4.3.5 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.3.5 za iPad

    Učinak: udaljeni napadač mogao bi resetirati uređaj

    Opis: kernel nije uspijevao odmah vratiti memoriju zauzetu nepotpunim TCP vezama. Napadač s mogućnošću povezivanja s osluškujućim servisom na iOS uređaju mogao je iscrpiti sistemske resurse.

    CVE-ID

    CVE-2011-3259: Wouter van der Veer iz tvrtke Topicus I&I i Josh Enders

  • Kernel

    Dostupno za: iOS od 3.0 do 4.3.5 za iPhone 3GS i iPhone 4, iOS od 3.1 do 4.3.5 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.3.5 za iPad

    Učinak: lokalni korisnik mogao bi uzrokovati resetiranje sustava

    Opis: prilikom upravljanja opcijama IPV6 priključka postojao je problem s dereferencom vrijednosti null.

    CVE-ID

    CVE-2011-1132: Thomas Clement iz tvrtke Intego

  • Tipkovnice

    Dostupno za: iOS od 3.0 do 4.3.5 za iPhone 3GS i iPhone 4, iOS od 3.1 do 4.3.5 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.3.5 za iPad

    Učinak: korisnik bi mogao saznati posljednje slovo lozinke

    Opis: tipkovnica putem koje je upisan posljednji znak lozinke nakratko se prikazivala prilikom sljedećeg korištenja tipkovnice.

    CVE-ID

    CVE-2011-3245: Paul Mousdicas

  • libxml

    Dostupno za: iOS od 3.0 do 4.3.5 za iPhone 3GS i iPhone 4, iOS od 3.1 do 4.3.5 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.3.5 za iPad

    Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    Opis: u načinu na koji je libxml obrađivao XML podatke dolazilo je do prelijevanja jednog bajta iz međuspremnika snopa.

    CVE-ID

    CVE-2011-0216: Billy Rios iz Googleova tima za sigurnost

  • OfficeImport

    Dostupno za: iOS od 3.0 do 4.3.5 za iPhone 3GS i iPhone 4, iOS od 3.1 do 4.3.5 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.3.5 za iPad

    Učinak: otvaranje zlonamjerne datoteke programa Word može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    Opis: u načinu na koji je OfficeImport obrađivao dokumente programa Microsoft Word dolazilo je do prelijevanja iz međuspremnika.

    CVE-ID

    CVE-2011-3260: Tobias Klein za Verisign iDefense Labs

  • OfficeImport

    Dostupno za: iOS od 3.0 do 4.3.5 za iPhone 3GS i iPhone 4, iOS od 3.1 do 4.3.5 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.3.5 za iPad

    Učinak: otvaranje zlonamjerne datoteke programa Excel može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    Opis: u načinu na koji je OfficeImport obrađivao datoteke programa Excel postojao je problem s dvostrukim oslobađanjem.

    CVE-ID

    CVE-2011-3261: Tobias Klein s web-mjesta www.trapkit.de

  • OfficeImport

    Dostupno za: iOS od 3.0 do 4.3.5 za iPhone 3GS i iPhone 4, iOS od 3.1 do 4.3.5 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.3.5 za iPad

    Učinak: preuzimanje zlonamjerne datoteke iz sustava Microsoft Office može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    Opis: u načinu na koji OfficeImport obrađuje datoteke iz sustava Microsoft Office postojao je problem s oštećenjem memorije.

    CVE-ID

    CVE-2011-0208: Tobias Klein za iDefense VCP

  • OfficeImport

    Dostupno za: iOS od 3.0 do 4.3.5 za iPhone 3GS i iPhone 4, iOS od 3.1 do 4.3.5 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.3.5 za iPad

    Učinak: preuzimanje zlonamjerne datoteke programa Excel može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda

    Opis: u načinu na koji OfficeImport obrađuje datoteke programa Excel postojao je problem s oštećenjem memorije.

    CVE-ID

    CVE-2011-0184: Tobias Klein za iDefense VCP

  • Safari

    Dostupno za: iOS od 3.0 do 4.3.5 za iPhone 3GS i iPhone 4, iOS od 3.1 do 4.3.5 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.3.5 za iPad

    Učinak: otvaranje zlonamjernih datoteka na određenim web-mjestima moglo bi omogućiti napad unakrsnim skriptiranjem

    Opis: iOS nije podržavao vrijednost "attachment" u zaglavlju Content-Disposition za HTTP. Brojna web-mjesta pomoću tog su zaglavlja nudila datoteke koje je na web-mjesto prenijela treća strana, npr. privitke iz web-aplikacija za e-mail. Skripte u datotekama ponuđenima putem te vrijednosti zaglavlja pokretale bi se kao da je datoteka postavljena unutar teksta, tj. s potpunim pristupom drugim resursima na izvornom poslužitelju. Problem je riješen učitavanjem privitaka u izoliranom sigurnosnom izvoru bez pristupa resursima s drugih web-mjesta.

    CVE-ID

    CVE-2011-3426: Christian Matthies za iDefense VCP, Yoshinori Oota iz tvrtke Business Architects Inc za JP/CERT

  • Postavke

    Dostupno za: iOS od 3.0 do 4.3.5 za iPhone 3GS i iPhone 4, iOS od 3.1 do 4.3.5 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.3.5 za iPad

    Učinak: napadač s fizičkim pristupom uređaju mogao bi otkriti lozinku za ograničenja

    Opis: funkcija roditeljskih ograničenja provodi ograničenja korisničkog sučelja. Konfiguracija roditeljskih ograničenja zaštićena je lozinkom koja se prije spremala na disk kao običan tekst. Problem je riješen sigurnim pohranjivanjem lozinke za roditeljska ograničenja u sistemski privjesak ključeva.

    CVE-ID

    CVE-2011-3429: prijavila anonimna osoba

  • Postavke

    Dostupno za: iOS od 3.0 do 4.3.5 za iPhone 3GS i iPhone 4, iOS od 3.1 do 4.3.5 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.3.5 za iPad

    Učinak: zavaravajuće korisničko sučelje

    Opis: konfiguracije i postavke primijenjene putem konfiguracijskih profila nisu pravilno funkcionirale ni na jednom jeziku osim engleskog. Stoga su se postavke mogle pogrešno prikazivati. Problem je riješen uklanjanjem pogreške u lokalizaciji.

    CVE-ID

    CVE-2011-3430: Florian Kreitmaier iz tvrtke Siemens CERT

  • Upozorenja za UIKit

    Dostupno za: iOS od 3.0 do 4.3.5 za iPhone 3GS i iPhone 4, iOS od 3.1 do 4.3.5 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.3.5 za iPad

    Učinak: posjet zlonamjernom web-mjestu mogao bi uzrokovati neočekivano nereagiranje uređaja

    Opis: prevelika maksimalna duljina teksta zlonamjernim je web-mjestima dopuštala da uzrokuju nereagiranje sustava iOS prilikom iscrtavanja dijaloških okvira za prihvaćanje vrlo dugačkih URI-ja "tel:". Problem je riješen primjenom razumnije maksimalne veličine URI-ja.

    CVE-ID

    CVE-2011-3432: Simon Young sa Sveučilišta Anglia Ruskin

  • WebKit

    Dostupno za: iOS od 3.0 do 4.3.5 za iPhone 3GS i iPhone 4, iOS od 3.1 do 4.3.5 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.3.5 za iPad

    Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    Opis: U WebKitu je otkriven veći broj problema s oštećenom memorijom.

    CVE-ID

    CVE-2011-0218: SkyLined iz tima za sigurnost preglednika Google Chrome

    CVE-2011-0221: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome

    CVE-2011-0222: Nikita Tarakanov i Alex Bazhanyuk iz istraživačkog tima CISS i Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome

    CVE-2011-0225: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome

    CVE-2011-0232: J23 koji radi na inicijativi Zero Day Initiative tvrtke Tipping Point

    CVE-2011-0233: wushi iz grupe team509, koja radi na inicijativi Zero Day Initiative tvrtke TippingPoint

    CVE-2011-0234: Rob King koji radi na inicijativi Zero Day Initiative tvrtke Tipping Point, wushi iz grupe team509, koja radi na inicijativi Zero Day Initiative tvrtke TippingPoint

    CVE-2011-0235: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome

    CVE-2011-0238: Adam Barth iz tima za sigurnost preglednika Google Chrome

    CVE-2011-0254: anonimni istraživač koji radi na inicijativi Zero Day Initiative tvrtke TippingPoint

    CVE-2011-0255: anonimni prijavitelj koji radi na inicijativi Zero Day Initiative tvrtke TippingPoint

    CVE-2011-0981: Rik Cabanier iz tvrtke Adobe Systems, Inc

    CVE-2011-0983: Martin Barbella

    CVE-2011-1109: Sergey Glazunov

    CVE-2011-1114: Martin Barbella

    CVE-2011-1115: Martin Barbella

    CVE-2011-1117: wushi iz grupe team509

    CVE-2011-1121: miaubiz

    CVE-2011-1188: Martin Barbella

    CVE-2011-1203: Sergey Glazunov

    CVE-2011-1204: Sergey Glazunov

    CVE-2011-1288: Andreas Kling iz tvrtke Nokia

    CVE-2011-1293: Sergey Glazunov

    CVE-2011-1296: Sergey Glazunov

    CVE-2011-1449: Marek Majkowski

    CVE-2011-1451: Sergey Glazunov

    CVE-2011-1453: wushi iz grupe team509, koja radi na inicijativi Zero Day Initiative tvrtke TippingPoint

    CVE-2011-1457: John Knottenbelt iz Googlea

    CVE-2011-1462: wushi iz grupe team509

    CVE-2011-1797: wushi iz grupe team509

    CVE-2011-2338: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome putem alata AddressSanitizer

    CVE-2011-2339: Cris Neckar iz tima za sigurnost preglednika Google Chrome

    CVE-2011-2341: wushi iz grupe team509 za Verisign iDefence Labs

    CVE-2011-2351: miaubiz

    CVE-2011-2352: Apple

    CVE-2011-2354: Apple

    CVE-2011-2356: Adam Barth i Abhishek Arya iz tima za sigurnost preglednika Google Chrome putem alata AddressSanitizer

    CVE-2011-2359: miaubiz

    CVE-2011-2788: Mikolaj Malecki iz Samsunga

    CVE-2011-2790: miaubiz

    CVE-2011-2792: miaubiz

    CVE-2011-2797: miaubiz

    CVE-2011-2799: miaubiz

    CVE-2011-2809: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome

    CVE-2011-2813: Cris Neckar iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer

    CVE-2011-2814: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome putem alata AddressSanitizer

    CVE-2011-2816: Apple

    CVE-2011-2817: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome putem alata AddressSanitizer

    CVE-2011-2818: Martin Barbella

    CVE-2011-2820: Raman Tenneti i Philip Rogers iz Googlea

    CVE-2011-2823: SkyLined iz tima za sigurnost preglednika Google Chrome

    CVE-2011-2827: miaubiz

    CVE-2011-2831: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome putem alata AddressSanitizer

    CVE-2011-3232: Aki Helin iz OUSPG-a

    CVE-2011-3234: miaubiz

    CVE-2011-3235: Dimitri Glazkov, Kent Tamura, Dominic Cooney iz razvojne zajednice za Chromium i Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome

    CVE-2011-3236: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome putem alata AddressSanitizer

    CVE-2011-3237: Dimitri Glazkov, Kent Tamura, Dominic Cooney iz razvojne zajednice za Chromium i Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome

    CVE-2011-3244: vkouchna

  • WebKit

    Dostupno za: iOS od 3.0 do 4.3.5 za iPhone 3GS i iPhone 4, iOS od 3.1 do 4.3.5 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.3.5 za iPad

    Učinak: posjet zlonamjernom web-mjestu mogao je uzrokovati napad unakrsnim skriptiranjem

    Opis: u načinu obrade URL-ova s ugrađenim korisničkim imenom postojao je problem s resursima iz više izvora. Problem se rješava boljom obradom URL-ova s ugrađenim korisničkim imenom.

    CVE-ID

    CVE-2011-0242: Jobert Abma iz tvrtke Online24

  • WebKit

    Dostupno za: iOS od 3.0 do 4.3.5 za iPhone 3GS i iPhone 4, iOS od 3.1 do 4.3.5 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.3.5 za iPad

    Učinak: posjet zlonamjernom web-mjestu mogao je uzrokovati napad unakrsnim skriptiranjem

    Opis: u načinu obrade DOM čvorova postojao je problem s resursima iz više izvora.

    CVE-ID

    CVE-2011-1295: Sergey Glazunov

  • WebKit

    Dostupno za: iOS od 3.0 do 4.3.5 za iPhone 3GS i iPhone 4, iOS od 3.1 do 4.3.5 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.3.5 za iPad

    Učinak: zlonamjerno web-mjesto moglo bi u adresnoj traci prikazivati neki drugi URL

    Opis: u načinu obrade DOM objekta povijesti postojao je problem s prikazom lažnog URL-a.

    CVE-ID

    CVE-2011-1107: Jordi Chancel

  • WebKit

    Dostupno za: iOS od 3.0 do 4.3.5 za iPhone 3GS i iPhone 4, iOS od 3.1 do 4.3.5 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.3.5 za iPad

    Učinak: posjetom zlonamjernom web-mjestu moglo je doći do izvršavanja proizvoljnog koda

    Opis: u načinu na koji WebKit koristi libxslt postojao je problem s konfiguracijom. Posjet zlonamjernom web-mjestu može uzrokovati stvaranje proizvoljnih datoteka s korisnikovim ovlastima, što bi moglo dovesti do izvršavanja proizvoljnog koda. Problem se rješava poboljšanim postavkama sigurnosti za libxslt.

    CVE-ID

    CVE-2011-1774: Nicolas Gregoire iz tvrtke Agarri

  • WebKit

    Dostupno za: iOS od 3.0 do 4.3.5 za iPhone 3GS i iPhone 4, iOS od 3.1 do 4.3.5 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.3.5 za iPad

    Učinak: posjet zlonamjernom web-mjestu i povlačenje sadržaja na stranici može uzrokovati otkrivanje podataka

    Opis: u načinu na koji WebKit obrađuje povlačenje i ispuštanje u formatu HTML5 postojao je problem s resursima iz više izvora. Problem se rješava tako da se ne dopušta povlačenje i ispuštanje iz jednog izvora u drugi.

    CVE-ID

    CVE-2011-0166: Michal Zalewski iz tvrtke Google Inc.

  • WebKit

    Dostupno za: iOS od 3.0 do 4.3.5 za iPhone 3GS i iPhone 4, iOS od 3.1 do 4.3.5 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.3.5 za iPad

    Učinak: posjet zlonamjernom web-mjestu mogao je uzrokovati razotkrivanje informacija

    Opis: u načinu obrade nezavisnih Java skripti postojao je problem s resursima iz više izvora.

    CVE-ID

    CVE-2011-1190: Daniel Divricean s web-mjesta divricean.ro

  • WebKit

    Dostupno za: iOS od 3.0 do 4.3.5 za iPhone 3GS i iPhone 4, iOS od 3.1 do 4.3.5 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.3.5 za iPad

    Učinak: posjet zlonamjernom web-mjestu mogao je uzrokovati napad unakrsnim skriptiranjem

    Opis: u načinu obrade metode window.open postojao je problem s resursima iz više izvora.

    CVE-ID

    CVE-2011-2805: Sergey Glazunov

  • WebKit

    Dostupno za: iOS od 3.0 do 4.3.5 za iPhone 3GS i iPhone 4, iOS od 3.1 do 4.3.5 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.3.5 za iPad

    Učinak: posjet zlonamjernom web-mjestu mogao je uzrokovati napad unakrsnim skriptiranjem

    Opis: u načinu obrade neaktivnih DOM prozora postojao je problem s resursima iz više izvora.

    CVE-ID

    CVE-2011-3243: Sergey Glazunov

  • WebKit

    Dostupno za: iOS od 3.0 do 4.3.5 za iPhone 3GS i iPhone 4, iOS od 3.1 do 4.3.5 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.3.5 za iPad

    Učinak: posjet zlonamjernom web-mjestu mogao je uzrokovati napad unakrsnim skriptiranjem

    Opis: u načinu obrade svojstva document.documentURI postojao je problem s resursima iz više izvora.

    CVE-ID

    CVE-2011-2819: Sergey Glazunov

  • WebKit

    Dostupno za: iOS od 3.0 do 4.3.5 za iPhone 3GS i iPhone 4, iOS od 3.1 do 4.3.5 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.3.5 za iPad

    Učinak: zlonamjerno web-mjesto moglo bi pratiti URL-ove koje korisnik posjećuje unutar okvira

    Opis: u načinu obrade događaja prije učitavanja postojao je problem s resursima iz više izvora.

    CVE-ID

    CVE-2011-2800: Juho Nurminen

  • Wi-Fi

    Dostupno za: iOS od 3.0 do 4.3.5 za iPhone 3GS i iPhone 4, iOS od 3.1 do 4.3.5 za iPod touch (treće generacije) i noviji, iOS od 3.2 do 4.3.5 za iPad

    Učinak: vjerodajnice za Wi-Fi mogu biti zapisane na lokalnoj datoteci

    Opis: vjerodajnice za Wi-Fi, uključujući lozinku i enkripcijske ključeve, zapisivale su se u datoteku koju su aplikacije u sustavu mogle čitati. To je riješeno tako što se vjerodajnice više ne bilježe.

    CVE-ID

    CVE-2011-3434: Laurent OUDOT iz tvrtke TEHTRI Security

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: