iOS 6.1 版本中的安全更新内容

企鹅博客
企鹅博客
企鹅博客
25193
文章
0
评论
2019年9月30日20:25:36 评论 168 views
广告也精彩

iOS 6.1 正式版发布了,除了很多改进之外,该版本在安全性方面也做了提升,主要包括如下几个方面:

 

身份服务

 

有效: iPhone 3GS and later, iPod touch (4th generation) and later, iPad 2 and later

 

影响: 基于证书的 Apple ID 认证可能被绕过

 

描述: 如果用户的 Apple ID 证书验证失败,用户的 AppleID 被认为是空字符串,如果多个系统具有不同的用户进入到这个状态,依赖于此服务的应用会被错误的信任。通过确保返回 NULL 而不是空字符串来解决这个问题。

 

CVE-ID

 

CVE-2013-0963

 

 

 

Unicode 国际化组件

 

有效: iPhone 3GS and later, iPod touch (4th generation) and later, iPad 2 and later

 

影响: 访问恶意网站可能导致跨站点脚本攻击

 

描述: 这是用于处理 EUC-JP 编码的规范化问题,该问题导致访问 EUC-JP 编码站点可能存在的跨站点脚本攻击,通过更新 EUC-JP 映射表来解决这个问题。

 

CVE-ID

 

CVE-2011-3058 : Masato Kinugawa

 

 

 

内核

 

有效: iPhone 3GS and later, iPod touch (4th generation) and later, iPad 2 and later

 

影响: 用户模式的进程可以访问内核内存的第一页

 

描述: iOS 内核检查和校验用户模式指针和长度,并传递给 copyin 和 copyout 函数不会让进程直接访问内核内存,但如果长度小于页大小时则该检查无效。通过对参数的附加检查来解决这个问题。

 

CVE-ID

 

CVE-2013-0964 : Mark Dowd of Azimuth Security

 

 

 

安全模块

 

有效: iPhone 3GS and later, iPod touch (4th generation) and later, iPad 2 and later

 

影响: 有特权网络位置的攻击者可能拦截用户凭证或其他敏感信息

 

描述: 很多中间的 CA 证书被错误的当成 TURKTRUST. 这将导致位于这些中间的攻击者可以重定向连接并截取用户凭证和其他信息。通过禁止错误的 SSL 证书来解决这个问题。

 

 

 

StoreKit

 

有效: iPhone 3GS and later, iPod touch (4th generation) and later, iPad 2 and later

 

影响: JavaScript 可能在 Safari 浏览器中未经用户同意直接启用

 

描述: 如果用户在 Safari 设置中禁用 JavaScript,访问一个显示 Smart App Banner 会让 JavaScript 在用户不知情的情况下重新启用。禁止在访问 Smart App Banner 时启用 JavaScript 来解决这个问题。

 

CVE-ID

 

CVE-2013-0974 : Andrew Plotkin of Zarfhome Software Consulting, Ben Madison of BitCloud, Marek Durcek

 

WiFi

 

有效: iPhone 3GS, iPhone 4, iPod touch (4th generation), iPad 2

 

影响: 使用同一个 WIFI 网络的攻击者可以临时禁用 WIFI

 

描述: 这是 Broadcom's BCM4325 and BCM4329 固件在处理 802.11i 信息元素时的问题,通过增加对 802.11i  信息元素进行验证来解决。

 

CVE-ID

 

CVE-2012-2619 : Andres Blanco and Matias Eissler of Core Security

 

其他还包括多个 WebKit 相关的安全问题,详情请看

 

https://support.apple.com/kb/HT5642

企鹅博客
  • 本文由 发表于 2019年9月30日20:25:36
  • 转载请务必保留本文链接:https://www.qieseo.com/276689.html
Galera Load Balancer 0.8.1 发布 linux新闻

Galera Load Balancer 0.8.1 发布

Galera Load Balancer 0.8.1 是一个主要的升级版本,修复了太多连接时导致的连接丢失问题,显著的提升了某种情况下的性能(例如 sysbench),增加了一个最大连接选项,实现了基...

发表评论