iOS 4.2.1 : Problemas de seguridad detallados

12/12/2017mislataMislata

Mac Points: 19.757, Nivel: 15Subir Nivel: 4%, 2.793 MacPoints Actividad en Applesana: 61% Ingreso:ago 2008 Karma:21

iOS 4.2.1 : Problemas de seguridad detallados
iOS 4.2.1, Los problemas de seguridad detallados que resuelve esta actualización

iOS 4.2 perfiles de configuración disponible para: iOS 2.0 a través de 4.1 para iPhone 3 G y más tarde, el iOS 2.1 a través de 4.1 para iPod touch (segunda generación) y más tarde, el iOS 3.2 a través de 3.2.2 para iPad impacto: un usuario puede ser engañado en instalar un perfil de configuración diseñado malintencionadamente

Description: existe un problema de validación de firma en el manejo de perfiles de configuración.

Un perfil de configuración diseñado malintencionadamente puede parecer que tenga una firma válida en la utilidad de instalación de la configuración. Este problema se aborda a través de validación mejorada de las firmas de perfil. Crédito a Barry Simpson de Bomgar Corporation para informar de este problema.

CoreGraphics disponible para iOS 2.0 a través de 4.1 para iPhone 3 G y más tarde, el iOS 2.1 a través de 4.1 para iPod touch (segunda generación) y más tarde, el iOS 3.2 a través de 3.2.2 para iPad Impact: múltiples vulnerabilidades en FreeType 2.4.1


Descripción: existen varias vulnerabilidades en FreeType 2.4.1, el más grave de los cuales puede llevar a la ejecución de código arbitrario al procesar una fuente diseñada malintencionadamente. Estas cuestiones se abordan mediante la actualización a la versión 2.4.2 de FreeType.

Más información está disponible a través del sitio de FreeType en

FreeType disponible para: iOS 2.0 a través de 4.1 para iPhone 3 G y más tarde, el iOS 2.1 a través de 4.1 para iPod touch (segunda generación) y más tarde, el iOS 3.2 a través de 3.2.2 para iPad Impact: visualización de un documento PDF con fuentes incrustadas diseñadas malintencionadamente puede permitir la ejecución de código arbitrario

Description: existe un desbordamiento de la pila en el manejo de FreeType de opcodes TrueType.

Visualización de un documento PDF con fuentes incrustadas diseñadas malintencionadamente puede conducir a una terminación de aplicación inesperado o la ejecución de código arbitrario.

Esta actualización soluciona el problema a través de la mejoradas de comprobación de enlaces.

iAd Display disponible para: iOS 2.0 a través de 4.1 para iPhone 3 G y más tarde, el iOS 2.1 a través de 4.1 para iPod touch (segunda generación) y más tarde, el iOS 3.2 a través de 3.2.2 para iPad impacto: un atacante en una posición privilegiada de red puede causar una llamada a ser iniciado

Description: dirección URL A manejar el problema existe en iAd mostrar contenido.

Un iAd es solicitado por una aplicación, o automáticamente a través de la acción del usuario explícito. Inyectando el contenido de un anuncio solicitado con un enlace que contiene un esquema de URL utilizado para iniciar una llamada, un atacante en una posición privilegiada de red puede ser capaz de causar una llamada a ocurrir.

Esta cuestión es abordada por asegurar que se solicita al usuario antes de que se inicia una llamada desde un enlace. Crédito a Aaron Sigel de vtty.com para informar de este problema.

ImageIO disponible para: iOS 2.0 a través de 4.1 para iPhone 3 G y más tarde, el iOS 2.1 a través de 4.1 para iPod touch (segunda generación) y más tarde, el iOS 3.2 a través de 3.2.2 para iPad Impact: múltiples vulnerabilidades en libpng

Description: libpng es actualizado a la versión 1.4.3 para abordar varias vulnerabilidades, el más grave de los cuales puede llevar a la ejecución de código arbitrario. Más información está disponible a través del website de libpng en libxml

ID disponible para: iOS 2.0 a través de 4.1 para iPhone 3 G y más tarde, el iOS 2.1 a través de 4.1 para iPod touch (segunda generación) y más tarde, el iOS 3.2 a través de 3.2.2 para iPad Impact: visitantes de un sitio Web diseñado malintencionadamente pueden conducir a una terminación de aplicación inesperado o la ejecución de código arbitrario

Descripción: existe un problema de corrupción de memoria en el manejo de xpath de libxml. Visitar un sitio Web diseñado malintencionadamente puede llevar a una terminación de aplicación inesperado o la ejecución de código arbitrario. Este problema se aborda a través de un manejo mejorado de xpaths.

Crédito a Bui Quang Minh de Bkis () para informar de este problema.

Correo disponible para: iOS 2.0 a través de 4.1 para iPhone 3 G y más tarde, el iOS 2.1 a través de 4.1 para iPod touch (segunda generación) y más tarde, el iOS 3.2 a través de 3.2.2 para iPad Impact: Mail puede resolver nombres DNS cuando la carga de la imagen remota es deshabilitado

Description: WebKit cuando encuentra un elemento Link HTML que pide captura de DNS, llevará a cabo la búsqueda incluso si se desactiva la carga de imágenes remotas.

Esto puede provocar en las solicitudes no deseadas a servidores remotos. El remitente de un mensaje de correo electrónico con formato HTML podría utilizar esto para determinar si el mensaje fue visto. Esta cuestión se trata mediante la desactivación de DNS captura cuando se desactiva la carga de imágenes remotas.

Crédito a Mike Cardwell de Cardwell TI Ltd. para informar de este problema.

Redes disponible para: iOS 4.0 mediante 4.1 para iPhone 3GS y más tarde, iOS 4.0 a través de 4.1 para iPod touch (tercera generación), iOS 3.2 a través de 3.2.2 para iPad impacto: un atacante remoto puede causar un apagado inesperado del sistema

Description: un puntero nulo deja de hacer referencia problema existe en el manejo de los paquetes de multidifusión independiente de protocolo (PIM). Mediante el envío de un paquete PIM diseñado malintencionadamente, un atacante remoto puede causar un apagado inesperado del sistema.

Este problema se aborda a través de validación mejorada de paquetes PIM.

Crédito a un investigador anónimo que se ocupan Zero Day Initiative de TippingPoint para informar de este problema. Este problema no afecta a los dispositivos que ejecutan versiones de iOS anteriores a 3.2.

Redes disponible para: iOS 2.0 a través de 4.1 para iPhone 3 G y más tarde, el iOS 2.1 a través de 4.1 para iPod touch (segunda generación) y más tarde, el iOS 3.2 a través de 3.2.2 para iPad Impact: código malintencionado puede obtener privilegios de sistema

Descripción: existe una referencia de puntero no válido en operaciones en red al manejar las reglas de filtrado de paquetes. Esto puede permitir código malintencionado que se ejecutan en la sesión del usuario para obtener privilegios de sistema.

Este problema se aborda a través de manejo mejorada de las reglas de filtrado de paquetes.

OfficeImport disponible para: iOS 3.2 a través de 3.2.2 para iPad impacto: un fichero Excel diseñado malintencionadamente puede conducir a una terminación de aplicación inesperado o la ejecución de código arbitrario

Description: existe un problema de corrupción de memoria en el manejo de OfficeImport de archivos de Excel. Visualización de un archivo puede llevar a una terminación de aplicación inesperado o la ejecución de código arbitrario de Excel diseñado malintencionadamente.

Este problema se aborda a través de la mejoradas de comprobación de enlaces. Esta cuestión fue abordada en iPhone en iOS 4.

Crédito Tobias Klein, trabajar con VeriSign iDefense Labs para informar de este problema.

Fotos disponible para: iOS 2.0 a través de 4.1 para iPhone 3 G y más tarde, el iOS 2.1 a través de 4.1 para iPod touch (segunda generación) y más tarde, el iOS 3.2 a través de 3.2.2 para iPad impacto: "Enviar a MobileMe" puede resultar en la revelación de la contraseña de la cuenta de MobileMe

Descripción: fotos de la aplicación permite a los usuarios compartir sus fotografías y películas a través de diversos medios. Una forma es el botón de "Enviar a MobileMe", que carga el contenido seleccionado a la Galería de MobileMe del usuario.

La aplicación fotos utilizará autenticación HTTP básica si ningún otro mecanismo de autenticación es presentado como disponibles por el servidor. Un atacante con una posición privilegiada de red puede manipular la respuesta de la Galería de MobileMe para solicitar la autenticación básica, resultando en la divulgación de la contraseña de la cuenta de MobileMe. Esta cuestión es abordada por desactivar el soporte para autenticación básica. Crédito a crédito a Aaron Sigel de vtty.com para informar de este problema.

Safari disponible para: iOS 2.0 a través de 4.1 para iPhone 3 G y más tarde, el iOS 2.1 a través de 4.1 para iPod touch (segunda generación) y más tarde, el iOS 3.2 a través de 3.2.2 para iPad impacto: "Restablecer Safari" puede eliminar no inmediatamente las contraseñas del sitio Web de memoria Descripción: después de hacer clic en el botón "Reset" para "Restablecer guarda nombres y contraseñas" en la opción de menú "Restablecer Safari...",

Safari puede tardar hasta 30 segundos para borrar las contraseñas. Un usuario con acceso al dispositivo en la ventana de tiempo puede ser capaz de acceder a las credenciales almacenadas. Esta cuestión es abordada por resolver la condición de carrera que provocó el retraso.

RELACCIONADO CON iOS 4.2.1 : Problemas de seguridad detallados

Historia amp