CERT-FI haavoittuvuustiedote 099/2010

22.6.2010

Applen iOS4 -päivitys korjaa useita haavoittuvuuksia iPhone- ja iPod touch -laitteissa

Kohde:	- matkaviestimet - sulautetut järjestelmät	Lisätietoja
Hyökkäystapa:	- paikallisesti - etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - luottamuksellisen tiedon hankkiminen - palvelunestohyökkäys	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Apple on julkaissut iOS4-käyttöjärjestelmäversion iPhone- ja iPod touch -laitteille. Uusi versio on saatavilla iPhone 3G/3GS/4 -puhelimien versioille iOS 2.0 - 3.1.3 ja iPod touch (2nd/3rd generation) -soittimien versioille iOS 2.0 - 3.1.3.

Päivitys tuo uusia ominaisuuksia ja korjaa 65 järjestelmän eri osissa olevaa haavoittuvuutta. Haavoittuvuuksien avulla voi olla mahdollista hankkia luottamuksellista tietoa, ohittaa suojauksia, aiheuttaa palvelunestotila tai suorittaa omaa ohjelmakoodiaan kohdejärjestelmässä. Lisätietoja korjauksista ja haavoittuvuuksista löytyy Applen tietoturvatiedotteesta HT4225.

HAAVOITTUVAT OHJELMISTOT:

• iOS for iPhone ennen versiota iOS 4
  
• iOS for iPod touch (2nd/3rd generation) ennen versiota iOS 4
  

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva käyttöjärjestelmä valmistajan ohjeiden mukaisesti. Helpoin tapa päivittää on käyttää iTunes-ohjelmistoa.

LISÄTIETOA:

• http://www.apple.com/iphone/softwareupdate/
• http://www.apple.com/ipodtouch/ios4-software-update.html
• http://support.apple.com/kb/HT4225
• CVE-2010-1751, CVE-2010-1752, CVE-2010-0041, CVE-2010-0042
• CVE-2010-0043, CVE-2010-1753, CVE-2009-0689, CVE-2009-2414
• CVE-2009-2416, CVE-2010-1754, CVE-2010-1775, CVE-2010-1755
• CVE-2010-1384, CVE-2009-1723, CVE-2010-1756, CVE-2009-2195
• CVE-2009-2816, CVE-2010-0544, CVE-2010-1395, CVE-2010-0051
• CVE-2010-1390, CVE-2010-0047, CVE-2010-0053, CVE-2010-0050
• CVE-2010-1406, CVE-2010-0048, CVE-2010-0046, CVE-2010-0052
• CVE-2010-1397, CVE-2010-0049, CVE-2010-1393, CVE-2010-0054
• CVE-2010-1119, CVE-2010-1387, CVE-2010-1400, CVE-2010-1409
• CVE-2010-1398, CVE-2010-1402, CVE-2010-1394, CVE-2010-1399
• CVE-2010-1396, CVE-2010-1401, CVE-2010-1403, CVE-2010-1404
• CVE-2010-1410, CVE-2010-1391, CVE-2010-1408, CVE-2010-1392
• CVE-2010-1405, CVE-2010-1407, CVE-2010-1757, CVE-2010-1413
• CVE-2010-1389, CVE-2010-0544, CVE-2010-1417, CVE-2010-1414
• CVE-2010-1418, CVE-2010-1416, CVE-2010-1415, CVE-2010-1758
• CVE-2010-1759, CVE-2010-1761, CVE-2010-1762, CVE-2010-1769
• CVE-2010-1774
  

PÄIVITYSHISTORIA:

22.6.2010, kello 15.09: Julkaistu

Sivua päivitetty 22.06.2010

Tulostusversio