iPhone OS 3.0: záplaty 46 zranitelností

Apple vydal iPhone OS 3.0, který opravuje celkem 46 zranitelností. Kromě iPhonu je tento systém určen také pro přehrávač iPod Touch. Nejvíce chyb bylo v prohlížeči Safari a v jeho jádře WebKit.


Počet opravených zranitelností je poměrně velký, poslední hromadná záplata (iPhone OS 2.2) loni v listopadu opravovala 12 chyb (viz článek IPhone 2.2 opravuje Safari i e-mailového klienta).

Téměř polovina zranitelností (21) je podle Applu kritická, tj. umožňuje spuštění libovolného kódu (byť Apple sám označování „kritická chyba“ nepoužívá). To, že zranitelný je hlavně prohlížeč Safari, respektive jeho jádro WebKit, není příliš překvapivé. Mezi chybami jsou takové, které umožňovaly cross-site scripting a v důsledku toho podvržení obsahu předstírajícího, že je v jiné doméně (ideální situace pro autory phishingu). Jiná chyba umožňovala pomocí JavaScriptu na webové stránce získat přístup k informacím uloženým v telefonu či přehrávači.

V Safari pro iPhone existovala také stejná chyba jako v tomto prohlížeči pro počítače; zneužití bylo předvedeno již skupinou Pwn2Own a podstatou zranitelnosti bylo zpracování objektů SVGList (viz článek MacOS X se Safari padl za pár vteřin, nepřežil ani Internet Explorer 8). Na MacOS X byla tato chyba opravena již v květnu.

Apple v iPhone OS 3.0 opravuje také chybu v e-mailovém klientovi a v komponentě umožňující zařízení přistupovat k serveru Microsoft Exchange. Tuto chybu mohli útočníci zneužít pro přístup k datům nebo k účtu na Exchange Serveru.

Uživatelé si mohou iPhone OS 3.0 stáhnout při synchronizaci telefonu s PC nebo Macem pomocí iTunes.

 











Komentáře