Om sikkerhedsindholdet i iPhone 1.1.1-opdateringen
I dette dokument beskrives sikkerhedsindholdet i iPhone v1.1.1-opdateringen.
Af hensyn til vores kunders sikkerhed omtaler, diskuterer eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.
Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed kan ses i "Sådan bruges PGP-nøglen til Apple Produktsikkerhed."
Hvor det er muligt, bruges der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.
Hvis du vil vide mere om andre sikkerhedsopdateringer, skal du se "Apple sikkerhedsopdateringer."
iPhone v1.1.1-opdatering
Bluetooth
CVE-ID: CVE-2007-3753
Effekt: En hacker inden for Bluetooth-rækkevidde kan muligvis forårsage uventet programlukning eller kørsel af vilkårlig kode.
Beskrivelse: Der er et problem med inputvalidering på iPhone's Bluetooth-server. Ved at sende skadeligt fremstillede SDP-pakker (Service Discovery Protocol) til en iPhone med Bluetooth aktiveret kan en hacker udløse problemet, hvilket kan føre til uventet programlukning eller kørsel af vilkårlig kode. Denne opdatering løser problemet ved at udføre yderligere validering af SDP-pakker. Tak til Kevin Mahaffey og John Hering fra Flexilis Mobile Security, som har rapporteret problemet.
CVE-ID: CVE-2007-3754
Effekt: Hentning af e-mails via netværk, der ikke er tillid til, kan medføre afsløring af oplysninger via et man-in-the-middle-angreb.
Beskrivelse: Når Mail er konfigureret til at bruge SSL til indgående og udgående forbindelser, advarer den ikke brugeren, når e-mailserverens identitet har ændret sig eller ikke kan godkendes. En hacker, der kan opfange forbindelsen, kan muligvis udgive sig for at være brugerens mailserver og få brugerens legitimationsoplysninger til e-mail eller andre følsomme oplysninger. Denne opdatering løser problemet ved at give en advarsel, når identiteten på fjernmailserveren har ændret sig.
CVE-ID: CVE-2007-3755
Effekt: Hvis du følger et telefonlink ("tlf:") i Mail, ringer du til et telefonnummer uden bekræftelse.
Beskrivelse: Mail understøtter telefonlinks ("tlf:") til at ringe op til telefonnumre. Ved at lokke en bruger til at følge et telefonlink i en mail kan en hacker få iPhone til at foretage et opkald uden brugerbekræftelse. Denne opdatering løser problemet ved at vise et bekræftelsesvindue, før du ringer til et telefonnummer via et telefonlink i Mail. Tak til Andi Barithi fra McAfee, som har rapporteret problemet.
Safari
CVE-ID: CVE-2007-3756
Effekt: Besøg på et skadeligt websted kan medføre afsløring af URL-indhold.
Beskrivelse: Et designproblem i Safari gør det muligt for en webside at læse den URL-adresse, der aktuelt vises i det overordnede vindue. Ved at lokke en bruger til at besøge en skadelig webside kan en hacker muligvis få URL-adressen til en ikke-relateret side. Denne opdatering løser problemet via en forbedret sikkerhedskontrol på tværs af domæner. Tak til Michal Zalewski fra Google Inc. og Secunia Research, som har rapporteret problemet.
Safari
CVE-ID: CVE-2007-3757
Effekt: Et besøg på et skadeligt websted kan medføre, at der utilsigtet ringes op eller ringes til et andet nummer end forventet.
Beskrivelse: Safari understøtter telefonlinks ("tlf:") til at ringe til telefonnumre. Når der er valgt et telefonlink, bekræfter Safari, at der skal ringes til nummeret. Et skadeligt telefonlink kan medføre, at der vises et andet nummer under bekræftelsen, end det, der rent faktisk ringes til. Hvis du forlader Safari under bekræftelsesprocessen, kan det resultere i en utilsigtet bekræftelse. Denne opdatering løser problemet ved at vise det nummer, der ringes op til, korrekt og kræve bekræftelse for telefonforbindelser. Tak til Billy Hoffman og Bryan Sullivan fra HP Security Labs (tidligere SPI Labs) og Eduardo Tang, som har rapporteret problemet.
Safari
CVE-ID: CVE-2007-3758
Effekt: Besøg på et skadeligt websted kan medføre scripting på tværs af websteder.
Beskrivelse: Der findes en sårbarhed i forbindelse med scripting på tværs af websteder i Safari, der gør det muligt for skadelige websteder at indstille JavaScript-egenskaber for vinduer for websteder, der betjenes fra et andet domæne. Ved at lokke en bruger til at besøge et skadeligt websted kan en hacker udløse problemet, hvilket resulterer i, at denne får eller kan indstille vinduets status og placering for sider, der vises fra andre websteder. Denne opdatering løser problemet ved at give forbedret adgangskontrol til disse egenskaber. Tak til Michal Zalewski fra Google Inc., som har rapporteret problemet.
Safari
CVE-ID: CVE-2007-3759
Effekt: Deaktivering af JavaScript træder ikke i kraft, før Safari genstartes.
Beskrivelse: Safari kan konfigureres til at aktivere eller deaktivere JavaScript. Denne indstilling træder først i kraft, næste gang Safari genstartes. Dette sker normalt, når iPhone genstartes. Dette kan vildlede brugerne til at tro, at JavaScript er deaktiveret, når det ikke er det. Denne opdatering løser problemet ved at anvende den nye indstilling, før der indlæses nye websider.
Safari
CVE-ID: CVE-2007-3760
Effekt: Besøg på et skadeligt websted kan resultere i scripting på tværs af websteder.
Beskrivelse: Et problem med scripting på tværs af websteder i Safari gør det muligt for et skadeligt websted at omgå politikken med samme oprindelse ved hjælp af "frame"-tags. Ved at lokke en bruger til at besøge en skadelig webside kan en hacker udløse problemet, hvilket kan føre til udførelse af JavaScript i konteksten af et andet websted. Denne opdatering løser problemet ved at afvise JavaScript som en "iframe"-kilde og begrænse JavaScript i rammekoder til den samme adgang som det websted, hvis server det kom fra. Tak til Michal Zalewski fra Google Inc. og Secunia Research, som har rapporteret problemet.
Safari
CVE-ID: CVE-2007-3761
Effekt: Besøg på et skadeligt websted kan resultere i scripting på tværs af websteder.
Beskrivelse: Et problem med scripting på tværs af websteder i Safari gør det muligt at knytte JavaScript-hændelser til den forkerte ramme. Ved at lokke en bruger til at besøge en skadelig webside kan en hacker forårsage kørsel af JavaScript i konteksten af et andet websted. Denne opdatering løser problemet ved at knytte JavaScript-hændelser til den korrekte kilderamme.
Safari
CVE-ID: CVE-2007-4671
Effekt: JavaScript på websteder kan få adgang til eller manipulere indholdet af dokumenter, der ligger på en HTTPS-server.
Beskrivelse: Et problem i Safari tillader indhold, der befinder sig på en HTTP-server, at ændre eller få adgang til indhold, der ligger på en HTTPS-server på samme domæne. Ved at lokke en bruger til at besøge en skadelig webside kan en hacker forårsage kørsel af JavaScript i forbindelse med HTTPS-websider på det pågældende domæne. Denne opdatering løser problemet ved at begrænse adgangen til JavaScript-kørsel i HTTP- og HTTPS-frames. Tak til Keigo Yamazaki fra LAC Co., Ltd. (Little Earth Corporation Co., Ltd.), som har rapporteret problemet.
Installationsnote:
Denne opdatering er kun tilgængelig via iTunes og vises ikke i din computers program til softwareopdatering eller på webstedet Apple Downloads. Sørg for, at du har en internetforbindelse, og at du har installeret den nyeste version af iTunes fra www.apple.com/itunes.
iTunes kontrollerer automatisk Apples opdateringsserver i sin ugentlige tidsplan. Når der registreres en opdatering, downloades den. Når iPhone er docket, giver iTunes brugeren mulighed for at installere opdateringen. Vi anbefaler, at opdateringen anvendes med det samme, hvis det er muligt. Hvis du vælger "Installer ikke", vises muligheden, næste gang du tilslutter din iPhone.
Den automatiske opdateringsproces kan tage op til en uge, afhængigt af den dag, iTunes søger efter opdateringer. Du kan hente opdateringen manuelt via knappen "Søg efter opdateringer" i iTunes. Når du har gjort dette, kan opdateringen anvendes, når din iPhone er docket til din computer.
Sådan kontrollerer du, at iPhone er blevet opdateret:
Gå til Indstillinger
Klik på Generelt
Klik på Om. Versionen efter anvendelse af denne opdatering vil være "1.1.1 (3A109a)."