Apple выпустила обновление 1.1.1 для iPhone, в котором устранены 10 уязвимостей, 7 из которых – в мобильной версии браузера Safari. Обновление кроме этого делает неработоспособными разблокированные аппараты.
Уязвимость в реализации серверной стороны Bluetooth разрешала удаленно выполнить произвольный код, скрытый в пакете SDP, либо привести к отказу ПО в обслуживании.
При проверке почты через SSL приложение Mail не оповещало пользователя о недействительности либо отсутствии сертификата. Так, преступник имел возможность перехватить соединение и вынудить пользователя подключиться к фальшивому серверу. Исправленная версия даёт предупреждение пользователя при неточности сертификата.
Приложение Mail кроме этого разрешало без предупреждения набирать номер телефона при переходе по ссылке tel. Исправленная версия выводит предупреждение.
В браузере Safari устранено семь уязвимостей:
- к удаленному раскрытию URL, находящегося в другом окне браузера;
- к подстановке другого номера в ссылке tel, нежели видимого по ссылке, о котором программа даёт предупреждение перед комплектом;
- к вмешательству JavaScript одной веб-страницы в работу вторых;
- к отказу в «тёплом» отключении JavaScript (JavaScript отключался лишь при перезагрузке браузера);
- к исполнению JavaScript с одной веб-страницы в второй, применяя фреймы;
- к исполнению JavaScript с одной страницы на другой, применяя ассоциации событий для других фреймов;
- к исполнению JavaScript со страницы, загруженной через http, на странице, загруженной с того же домена через https.
Обновление доступно лишь через ПО iTunes.
Исследователь безопасности Том Феррис (Tom Ferris) объявил, что обновление делает неработоспособными телефоны, разблокированные при помощи программы anySIM для применения в других сетях, не считая ATT. Обновление кроме этого ликвидирует хакерский патч Jailbreak, разрешающий запускать на телефоне сторонние приложения.