The haigutav turvaauk Mobile Safaris on parandatud Apple'i iOS -i operatsioonisüsteemi värskendustega.
Apple uuendas äsja iOS -i 4.0.2 iPhone'i jaoks (ja iPod touch) ja iOS 3.2.2 iPadi jaoks. Värskendused parandavad turvaauku, mis võimaldas Safaril käivitada PDF -failidesse manustatud koodi.
Värskendused on saadaval iTunes'i kaudu. Allalaadimiseks klõpsake "Otsi värskendusi".
Kui kavatsete oma seadme jailbreakida, tehke seda enne värskendamist. o ärge imestage, kui uusim püsivara sisaldab ka põhiriba värskendust. Kui see juhtub, blokeerib see ka operaatori ultrasn0w avamise.
Ilmselgelt murravad uued iOS -i värskendused jailbreaki kell JailbreakMe.com, mis kasutas ära haavatavust.
Värskendused võivad sisaldada ka uut põhiriba püsivara, mis puruneb kandja avamine. IOS -seadme jailbreakimiseks ja avamiseks vaadake meie Jailbreak Superguide.
Siin on Apple'i üksikasjad:
Teave iPhone 4.0 ja iPod touchi iOS 4.0.2 värskenduse turvasisu kohta
Viimati muudetud: 11. august 2010
Artikkel: HT4291
Kokkuvõte
See dokument kirjeldab iPhone'i ja iPod touchi iOS 4.0.2 värskenduse turvasisu, mida saab alla laadida ja installida
kasutades iTunes'i.Meie klientide kaitseks ei avalikusta, aruta ega kinnita Apple turvaprobleeme enne täielikku uurimist ja vajalike plaastrite või väljalaskete kättesaadavaks tegemist. Apple'i toodete turvalisuse kohta lisateabe saamiseks vaadake Apple'i toodete turvalisus veebisait.
Lisateavet Apple Product Security PGP võtme kohta leiate jaotisestKuidas kasutada Apple Product Security PGP võtit.”
Kus võimalik, CVE ID -d kasutatakse haavatavustele viitamiseks lisateabe saamiseks.
Teiste turvavärskenduste kohta leiate lisateavet jaotisestApple'i turvavärskendused“.
Mõjutatud tooted
iPhone, toote turvalisus, iPod touch
iOS 4.0.2 värskendus iPhone'ile ja iPod touchile
FreeType
CVE-ID: CVE-2010-1797
Saadaval: iOS 2.0 kuni 4.0.1 iPhone 3G ja uuemate versioonide jaoks, iOS 2.1 kuni 4.0 iPod touch (2. põlvkond) ja uuemad versioonid
Mõju: pahatahtlikult loodud manustatud fontidega PDF -dokumendi vaatamine võib lubada suvalist koodi täitmist
Kirjeldus: FreeType'i CFF -opkoodide käsitlemisel on virnapuhvri ületäitumine. Pahatahtlikult loodud manustatud fontidega PDF -dokumendi vaatamine võib lubada suvalist koodi täitmist. Seda probleemi lahendatakse piiride täiustatud kontrolli abil.
IOSurface
CVE-ID: CVE-2010-2973
Saadaval: iOS 2.0 kuni 4.0.1 iPhone 3G ja uuemate versioonide jaoks, iOS 2.1 kuni 4.0 iPod touch (2. põlvkond) ja uuemad versioonid
Mõju: pahatahtlik kood, mis töötab, kuna kasutaja võib saada süsteemiõigusi
Kirjeldus: IOSurface'i atribuutide käitlemisel esineb täisarvuline ületäitumine, mis võib lubada pahatahtlikul koodil kasutajana süsteemiõigusi hankida. Seda probleemi lahendatakse piiride täiustatud kontrolli abil.
++
Teave iOS 3.2.2 värskenduse iPadi kohta
Viimati muudetud: 11. august 2010
Artikkel: HT4292
Kokkuvõte
Selles dokumendis kirjeldatakse iOS -i 3.2.2 värskenduse turvasisu iPadile, mille saab alla laadida ja installida kasutades iTunes'i.
Meie klientide kaitseks ei avalikusta, aruta ega kinnita Apple turvaprobleeme enne täielikku uurimist ja vajalike plaastrite või väljalaskete kättesaadavaks tegemist. Apple'i toodete turvalisuse kohta lisateabe saamiseks vaadake Apple'i toodete turvalisus veebisait.
Lisateavet Apple Product Security PGP võtme kohta leiate jaotisest „Kuidas kasutada Apple Product Security PGP võti.”
Kus võimalik, CVE ID -d kasutatakse haavatavustele viitamiseks lisateabe saamiseks.
Teiste turvavärskenduste kohta leiate lisateavet jaotisestApple'i turvavärskendused“.
Mõjutatud tooted
Toote turvalisus, iPad
iOS 3.2.2 Värskendus iPadile
FreeType
CVE-ID: CVE-2010-1797
Saadaval: iOS 3.2 ja 3.2.1 iPadile
Mõju: pahatahtlikult loodud manustatud fontidega PDF -dokumendi vaatamine võib lubada suvalist koodi täitmist
Kirjeldus: FreeType'i CFF -opkoodide käsitlemisel on virnapuhvri ületäitumine. Pahatahtlikult loodud manustatud fontidega PDF -dokumendi vaatamine võib lubada suvalist koodi täitmist. Seda probleemi lahendatakse piiride täiustatud kontrolli abil.
IOSurface
CVE-ID: CVE-2010-2973
Saadaval: iOS 3.2 ja 3.2.1 iPadile
Mõju: pahatahtlik kood, mis töötab, kuna kasutaja võib saada süsteemiõigusi
Kirjeldus: IOSurface'i atribuutide käitlemisel esineb täisarvuline ületäitumine, mis võib lubada pahatahtlikul koodil kasutajana süsteemiõigusi hankida. Seda probleemi lahendatakse piiride täiustatud kontrolli abil.