Érintett rendszerek
AppleiPhone OS (iOS)
iPhone OS (iOS) for iPod touch
Érintett verziók
Apple iPhone OS (iOS) 1.0 - 1.1.4
Apple iPhone OS (iOS) for iPod touch 1.1 - 1.1.4
Összefoglaló
Az Apple iPhone és iPod touch olyan sérülékenységei váltak ismertté, melyeket kihasználva rosszindulatú támadók megtévesztéses és cross-site scripting támadásokat hajthatnak végre, szolgáltatás megtagadást idézhetnek elő, megkerülhetnek egyes biztonsági korlátozásokat, vagy föltörhetik a felhasználó rendszerét.
Leírás
Az Apple iPhone és iPod touch olyan sérülékenységei váltak ismertté, melyeket kihasználva rosszindulatú támadók megtévesztéses és cross-site scripting támadásokat hajthatnak végre, szolgáltatás megtagadást idézhetnek elő, megkerülhetnek egyes biztonsági korlátozásokat, vagy föltörhetik a felhasználó rendszerét.
-
A CFNetwork-ben található hiba kihasználható biztonságos weboldalak hamisítására rosszindulatú HTTPS proxy szerverről származó 502-es Bad Gateway hibákkal.
-
Egy az IPComp fejlécet tartalmazó csomagok kezelésénél található sérülékenység kihasználható szolgáltatás megtagadás okozására.
További információ:
SA29130 -
Egy a Safariban található Unicode terület kezelési hiba kihasználható arra, hogy a címsorban található URL úgy tűnjön, mintha egy megbízható weboldalé lenne.
-
Egy hiba található a Safari tanúsítvány kezelésében saját aláírású vagy érvénytelen tanúsítványok esetén. Ha egy ilyen tanúsítvány elfogadása vagy elutasítása közben egy felhasználó a menu gombra kattint, a Safari a következő látogatás alkalmával automatikusan elfogadja azt.
-
Egy aláíratlan hiba a Safariban Javascript tömb indexek kezelésekor kihasználható határon kívüli memória hozzáférésre, mely után tetszőleges kód futtatható.
-
A Safari, az Unicode Byte-order-Mark (BOM) mellőzése esetén, a weboldalak elemzésekor fellépő sérülékenysége, kihasználható egyes HTML és Javascript szűrő mechanizmusok megkerülésére.
-
A Safari egyik sérülékenységét kihasználva támadók föltörhetik a felhasználó rendszerét.
-
Egy meghatározatlan hiba található a WebKitben másolt CSSStyleSheet objektumok és elemek feldolgozásakor. Ez kihasználható a memória tartalmának módosítására, így tetszőleges kód futtatható, ha a felhasználó meglátogat egy speciálisan erre a célra szerkesztett weboldalt.
-
Egy hiba xml dokumentumok kezelésekor a Safariban kihasználható szolgáltatás megtagadás okozására.
További információ:
SA28444 -
Egy hiba xml dokumentumok feldolgozásakor a Safariban kihasználható a felhasználó rendszerének föltörésére.
További információ:
SA30315 -
Egy meghatározatlan hiba található a JavaScriptCore futásidejű szemét gyűjtő kezelésében. Ez kihasználható a memória memórai tartalmának megváltoztatására, így tetszőleges kód futtatható, ha a felhasználó meglátogat egy speciálisan erre a célra szerkesztett weboldalt.
-
A Safari néhány hibáját kihasználva rosszindulatú támadók cross-site scripting támadásokat tudnak végrehajtani vagy fölötrhetik a felhasználó rendszerét.
További információ:
SA29846
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Authentication Issues (Hitelesítés)Input manipulation (Bemenet módosítás)
Misconfiguration (Konfiguráció)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
CVE-2008-2307 - NVD CVE-2008-2307
CVE-2008-2303 - NVD CVE-2008-2303
CVE-2008-1767 - NVD CVE-2008-1767
CVE-2008-1590 - NVD CVE-2008-1590
CVE-2008-1589 - NVD CVE-2008-1589
CVE-2008-1588 - NVD CVE-2008-1588
CVE-2008-1026 - NVD CVE-2008-1026
CVE-2008-1025 - NVD CVE-2008-1025
CVE-2008-0177 - NVD CVE-2008-0177
CVE-2008-0050 - NVD CVE-2008-0050
CVE-2007-6284 - NVD CVE-2007-6284
CVE-2006-2783 - NVD CVE-2006-2783
Gyártói referencia: support.apple.com
SECUNIA 31074
CVE-2008-2317 - NVD CVE-2008-2317
