The otvorená bezpečnostná diera v Mobile Safari bola opravená aktualizáciami operačného systému Apple iOS.
Spoločnosť Apple práve aktualizovala systém iOS na 4.0.2 pre iPhone (a iPod touch) a iOS 3.2.2 pre iPad. Aktualizácie opravujú chybu zabezpečenia, ktorá Safari umožňovala spúšťať kód vložený do súborov PDF.
Aktualizácie sú k dispozícii prostredníctvom iTunes. Na stiahnutie kliknite na „Skontrolovať aktualizáciu“.
Ak plánujete zariadenie prepadnúť z väzenia, urobte to pred aktualizáciou. nebuďte prekvapení, ak najnovší firmvér obsahuje aj aktualizáciu základného pásma. Ak sa to stane, zablokuje sa aj odomknutie nosiča ultrasn0w.
Je zrejmé, že nové aktualizácie systému iOS prelomia útek z väzenia JailbreakMe.com, ktorá využila zraniteľnosť.
Aktualizácie môžu tiež obsahovať nový firmvér základného pásma, ktorý sa pokazí odomknutie nosiča. Ak chcete útek z väzenia a odomknutie zariadenia iOS, pozrite si naše Superguide pre útek z väzenia.
Tu sú podrobnosti od spoločnosti Apple:
Informácie o bezpečnostnom obsahu aktualizácie iOS 4.0.2 pre iPhone a iPod touch
Naposledy upravené: 11. augusta 2010
Článok: HT4291
Zhrnutie
Tento dokument popisuje bezpečnostný obsah aktualizácie iOS 4.0.2 pre iPhone a iPod touch, ktorú je možné stiahnuť a nainštalovať pomocou iTunes.
V záujme ochrany našich zákazníkov spoločnosť Apple nezverejňuje, nediskutuje ani nepotvrdzuje problémy so zabezpečením, kým neprebehne úplné vyšetrenie a nebudú k dispozícii všetky potrebné opravy alebo vydania. Ak sa chcete dozvedieť viac o Apple Product Security, pozrite sa na Zabezpečenie produktu Apple webové stránky.
Informácie o kľúči PGP zabezpečenia produktu Apple nájdete v časti „Ako používať kľúč PGP zabezpečenia produktu Apple.”
Kde je možné, ID CVE slúžia na odkazovanie na zraniteľné miesta pre ďalšie informácie.
Ak sa chcete dozvedieť viac o ďalších aktualizáciách zabezpečenia, pozrite si časť „Aktualizácie zabezpečenia Apple“.
Ovplyvnené produkty
iPhone, zabezpečenie produktu, iPod touch
Aktualizácia iOS 4.0.2 pre iPhone a iPod touch
FreeType
CVE-ID: CVE-2010-1797
K dispozícii pre: iOS 2.0 až 4.0.1 pre iPhone 3G a novší, iOS 2.1 až 4.0 pre iPod touch (2. generácia) a novší
Dopad: Zobrazenie dokumentu PDF pomocou vstavaných písiem so škodlivým kódom môže umožniť spustenie ľubovoľného kódu
Popis: Pri manipulácii s kódmi CFF FreeType existuje pretečenie vyrovnávacej pamäte zásobníka. Zobrazenie dokumentu PDF so zlomyseľne vytvorenými vloženými písmami môže umožniť spustenie ľubovoľného kódu. Tento problém je vyriešený vylepšenou kontrolou hraníc.
Povrch IOS
CVE-ID: CVE-2010-2973
K dispozícii pre: iOS 2.0 až 4.0.1 pre iPhone 3G a novší, iOS 2.1 až 4.0 pre iPod touch (2. generácia) a novší
Dopad: Škodlivý kód spustený ako používateľ môže získať systémové oprávnenia
Popis: Pri spracovaní vlastností IOSurface dochádza k pretečeniu celých čísel, čo môže umožniť spusteniu škodlivého kódu ako používateľovi získať systémové oprávnenia. Tento problém je vyriešený vylepšenou kontrolou hraníc.
++
Informácie o bezpečnostnom obsahu aktualizácie iOS 3.2.2 pre iPad
Naposledy upravené: 11. augusta 2010
Článok: HT4292
Zhrnutie
Tento dokument popisuje bezpečnostný obsah aktualizácie iOS 3.2.2 pre iPad, ktorú je možné stiahnuť a nainštalovať pomocou iTunes.
V záujme ochrany našich zákazníkov spoločnosť Apple nezverejňuje, nediskutuje ani nepotvrdzuje problémy so zabezpečením, kým neprebehne úplné vyšetrenie a nebudú k dispozícii všetky potrebné opravy alebo vydania. Ak sa chcete dozvedieť viac o Apple Product Security, pozrite sa na Zabezpečenie produktu Apple webové stránky.
Informácie o kľúči PGP Apple Product Security nájdete v časti „Ako používať Kľúč PGP zabezpečenia produktu Apple.”
Kde je možné, ID CVE slúžia na odkazovanie na zraniteľné miesta pre ďalšie informácie.
Ak sa chcete dozvedieť viac o ďalších aktualizáciách zabezpečenia, pozrite si časť „Aktualizácie zabezpečenia Apple“.
Ovplyvnené produkty
Zabezpečenie produktu, iPad
Aktualizácia iOS 3.2.2 pre iPad
FreeType
CVE-ID: CVE-2010-1797
K dispozícii pre: iOS 3.2 a 3.2.1 pre iPad
Dopad: Zobrazenie dokumentu PDF pomocou vstavaných písiem so škodlivým kódom môže umožniť spustenie ľubovoľného kódu
Popis: Pri manipulácii s kódmi CFF FreeType existuje pretečenie vyrovnávacej pamäte zásobníka. Zobrazenie dokumentu PDF so zlomyseľne vytvorenými vloženými písmami môže umožniť spustenie ľubovoľného kódu. Tento problém je vyriešený vylepšenou kontrolou hraníc.
Povrch IOS
CVE-ID: CVE-2010-2973
K dispozícii pre: iOS 3.2 a 3.2.1 pre iPad
Dopad: Škodlivý kód spustený ako používateľ môže získať systémové oprávnenia
Popis: Pri spracovaní vlastností IOSurface dochádza k pretečeniu celých čísel, čo môže umožniť spusteniu škodlivého kódu ako používateľovi získať systémové oprávnenia. Tento problém je vyriešený vylepšenou kontrolou hraníc.