关于 iPhone v1.1.3 和 iPod touch v1.1.3 的安全性内容

为保护我们的客户，在未进行详尽的调查并推出必要的修补程序或发行版之前，Apple 不会公开、讨论或确认安全性问题。要了解有关 Apple 产品安全性的更多信息，请访问 Apple 产品安全性网站。

有关 Apple 产品安全 PGP 密匙的信息，请参阅“How to use the Apple Product Security PGP Key”。

如果可能，请使用 CVE ID 来查阅漏洞的详细信息。

要了解其他安全更新内容，请参阅“Apple 安全性更新”。

安全性更新

iPhone / iPod touch v1.1.3

• Foundation

  CVE-ID：CVE-2008-0035

  可用于：iPhone v1.0 至 v1.1.2、iPod touch v1.1 至 1.1.2

  影响：访问恶意制作的 URL 可能会导致应用程序终止或任意代码执行

  说明：Safari 处理 URL 时存在内存损坏问题。攻击者可能会诱使用户访问恶意制作的 URL，从而导致应用程序意外终止或任意代码执行。此更新对 URL 执行额外验证，籍此解决了上述问题。

• Passcode Lock

  CVE-ID：CVE-2008-0034

  可用于：iPhone v1.0 至 v1.1.2

  影响：未经授权的用户可能会绕过 Passcode Lock 启动 iPhone 应用程序

  说明：设计 Passcode Lock 功能是为防止未输入正确的通行码就能启动应用程序。紧急呼叫的处理存在一个实现问题，它导致用户无需输入通行码就可以物理访问 iPhone 来启动应用程序。此更新改进了对 Passcode Lock 状态的检查，藉此解决了上述问题。

• Safari

  CVE-ID：CVE-2007-5858

  可用于：iPhone v1.0 至 v1.1.2、iPod touch v1.1 至 1.1.2

  影响：访问恶意网站可能会导致敏感信息的泄露

  说明：WebKit 允许网页导航任意其他网页的子框架。访问恶意制作的网页可能会触发跨网站脚本攻击，这可能会导致敏感信息的泄露。此更新实现更加严格的框架导航策略，籍此解决了上述问题。

安装提示：

此更新只通过 iTunes 方式提供给用户，不会出现在计算机的“软件更新”应用程序或“Apple 下载”网站中。请确保您具有 Internet 连接并从 http://www.apple.com.cn/itunes/ 安装了最新版本的 iTunes

iTunes 将每周自动检查 Apple 的更新服务器。检测到更新时，它就会下载该更新。iPhone 或 iPod touch 连接好以后，iTunes 才会允许用户选择安装更新。可能的话，我们建议您立刻应用该更新。选择“不安装”，则系统将在您下次连接 iPhone 或 iPod touch 时显示该选项。

自动更新流程有时可能需要一周，这取决于 iTunes 检查更新的日期。也可以通过 iTunes 中的“检查更新”按钮手动获取更新。完成上述步骤以后，将 iPhone 或 iPod touch 连接到计算机即可应用该更新。

要验证 iPhone 或 iPod touch 是否已更新，请执行以下步骤：

1. 导航到“设置”
2. 单击“常规”
3. 单击“关于”
   
   应用此更新后，版本将为“1.1.3 (4A93)”或更高。