Érintett rendszerek
AppleiPhone OS (iOS)
iPhone OS (iOS) for iPod touch
Érintett verziók
Apple iPhone OS (iOS) 2.x
Apple iPhone OS (iOS) for iPod touch 2.x
Összefoglaló
Több sérülékenységet találtak az Apple iPhone és iPod touch-ban, amiket kihasználva, rosszindulatú támadók érzékeny információkat szerezhetnek meg, megkerülhetnek egyes biztonsági beállításokat, szolgáltatás megtagadást idézhetnek elő, akár feltörhetik az áldozat rendszerét.
Leírás
Több sérülékenységet találtak az Apple iPhone és iPod touch-ban, amiket kihasználva, rosszindulatú támadók érzékeny információkat szerezhetnek meg, megkerülhetnek egyes biztonsági beállításokat, szolgáltatás megtagadást idézhetnek elő, akár feltörhetik az áldozat rendszerét.
- A CoreGraphics-ban található sérülékenységet kihasználva, feltörhető egy sérülékeny rendszer.
- A TIFF képek feldolgozásában található számos hibát kihasználva, tetszőleges kódot lehet lefuttatni.
- A TIFF képek feldolgozásában rejlő hibát kihasználva, újra lehet indítani az eszközt.
- Egy nem részletezett hibát kihasználva, a PPTP VPN kapcsolatok titkosítása a szükségesnél alacsonyabb szintű lesz.
- Az Office Viewer komponens egy előjel hibáját kihasználva, tetszőleges kód lefuttatására van lehetőség, egy speciálisan elkészített Microsoft Excel file segítségével.
- A vészhívás kezelésének hibáját kihasználva, a Passcode zár megkerülésével, tetszőleges számot lehet hívni, ha fizikai hozzáférés lehetséges az eszközhöz.
- Egy hiba miatt a Passcode zár nem áll helyre teljesen.
- Egy vészhívás közben érkező SMS üzenet megjelenik, miközben a vészhívás képernyője látszik.
- A Safari HTML table elemek kezelésének hibáját kihasználva, memória hivatkozási hibát, és akár tetszőleges kód lefuttatását lehet előidézni, egy speciálisan elkészített weboldal megnyitásával.
- A Safari beágyazott iframe elemek kezelésében meglévő hibát kihasználva, meg lehet hamisítani a felhasználói felületet.
- Egy hiba lép fel a Safariban, egy alkalmazás indulásakor, ha a hívás fogadási ablak nyitva van. Ezt kihasználva, tetszőleges számot lehet hívni, a felhasználó közreműködése nélkül. A hívás megszakításának lehetőségét is blokkolni lehet.
- A Webkit hibáját kihasználva, érzékeny információkat lehet kiszivárogtatni az űrlap mezőkön keresztül annak ellenére, hogy az “Autocomplete” ki van kapcsolva.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Unknown (Ismeretlen)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
CVE-2008-4232 - NVD CVE-2008-4232
CVE-2008-4231 - NVD CVE-2008-4231
Gyártói referencia: support.apple.com
SECUNIA 32756
CVE-2008-1586 - NVD CVE-2008-1586
CVE-2008-2321 - NVD CVE-2008-2321
CVE-2008-2327 - NVD CVE-2008-2327
CVE-2008-3644 - NVD CVE-2008-3644
CVE-2008-4211 - NVD CVE-2008-4211
CVE-2008-4227 - NVD CVE-2008-4227
CVE-2008-4228 - NVD CVE-2008-4228
CVE-2008-4229 - NVD CVE-2008-4229
CVE-2008-4230 - NVD CVE-2008-4230
CVE-2008-4233 - NVD CVE-2008-4233
SECUNIA 31326
SECUNIA 31610
SECUNIA 32222
SECUNIA 32706
