Informationen zum Sicherheitsinhalt von·iPhone 2.0 und iPod touch 2.0

iPhone v2.0 und iPod touch v2.0

• CFNetwork

  CVE-ID: CVE-2008-0050

  Verfügbar für: iPhone v1.0 bis v1.1.4, iPod touch v1.1 bis v1.1.4

  Symptom: Ein bösartiger Proxy-Server beeinträchtigt·unter Umständen die Zuverlässigkeit sicherer Websites

  Beschreibung: Ein bösartiger HTTPS-Proxy-Server gibt über den "Fehler 502: Ungültiges Gateway" möglicherweise willkürliche Daten an CFNetwork zurück, wodurch die Zuverlässigkeit sicherer Websites beeinträchtigt werden kann. Diese Aktualisierung behebt das·Problem, indem die Daten vom Proxy-Server nicht durch Fehlermeldungen zurückgegeben werden.

• Kernel

  CVE-ID: CVE-2008-0177

  Verfügbar für: iPhone v1.0 bis v1.1.4, iPod touch v1.1 bis v1.1.4

  Symptom: Ein Angreifer von außerhalb kann das unerwartete Zurücksetzen·des Geräts verursachen

  Beschreibung: Bei der Bearbeitung von Paketen mit einem IPComp Header tritt ein unerkannter Fehler auf. Durch das Senden eines in böser Absicht erstellten Pakets an ein System, das für den Einsatz von IPSec oder IPv6 konfiguriert wurde, kann ein Angreifer ein unerwartetes Zurücksetzen·des Geräts verursachen. Mit dieser Aktualisierung wird das Problem durch ordnungsgemäßes Erkennen des Fehlers behoben.

• Safari

  CVE-ID: CVE-2008-1588

  Verfügbar für: iPhone v1.0 bis v1.1.4, iPod touch v1.1 bis v1.1.4

  Symptom: Ideografische Unicode-Leerzeichen werden unter Umständen verwendet, um die Zuverlässigkeit sicherer Websites zu beeinträchtigen

  Beschreibung: Beim Anzeigen der aktuellen URL in der Safari Adressleiste werden ideografische Unicode-Leerzeichen gerendert. Dadurch können in böser Absicht erstellte Websites den Benutzer auf Spoof-Websites umleiten, deren Gestaltung der von legitimen Domänen ähnelt. Diese Aktualisierung behebt das·Problem, indem keine ideografischen Unicode-Leerzeichen in der Adressleiste gerendert werden.

• Safari

  CVE-ID: CVE-2008-1589

  Verfügbar für: iPhone v1.0 bis v1.1.4, iPod touch v1.1 bis v1.1.4

  Symptom: Das Aufrufen einer in böser Absicht erstellten Website kann zur Preisgabe vertraulicher Informationen führen.

  Beschreibung: Beim Aufrufen einer Website mit Safari, die ein selbstsigniertes oder ungültiges Zertifikat verwendet, wird der Benutzer dazu aufgefordert, das Zertifikat zu akzeptieren oder abzulehnen. Wenn der Benutzer die Menü-Taste drückt, während die Eingabeaufforderung angezeigt wird, wird das Zertifikat beim nächsten Aufrufen der Website ohne Eingabeaufforderung akzeptiert. Dies kann zur Preisgabe vertraulicher Daten führen. Das vorliegende Update löst dieses Problem durch eine verbesserte Handhabung von Zertifikaten. Wir danken Hiromitsu Takagi für die Meldung dieses Problems.

• Safari

  CVE-ID: CVE-2008-2303

  Verfügbar für: iPhone v1.0 bis v1.1.4, iPod touch v1.1 bis v1.1.4

  Symptom: Der Besuch einer in böswilliger·Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur willkürlichen Code-Ausführung führen.

  Beschreibung: Ein Problem mit der Handhabung von Vorzeichen bei der Verarbeitung von JavaScript-Array-Indizes durch Safari kann zu einem verbotenen Speicherzugriff führen. Der Besuch einer in böser Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur willkürlichen Code-Ausführung führen. Mit diesem Update wird das Problem durch Ausführen einer zusätzlichen Validierung regulärer JavaScript-Array-Indizes behoben. Wir danken SkyLined von Google für die Meldung dieses Problems.

• Safari

  CVE-ID: CVE-2006-2783

  Verfügbar für: iPhone v1.0 bis v1.1.4, iPod touch v1.1 bis v1.1.4

  Symptom: Der Besuch einer in bösartiger Absicht erstellten Website kann zu websiteübergreifenden Skripting-Angriffen führen

  Beschreibung: Beim Analysieren von Webseiten ignoriert Safari Unicode-Bytereihenfolgen-Markierungssequenzen. Bestimmte Websites und Webinhaltsfilter versuchen, Eingaben sicher zu machen, indem bestimmte HTML-Tags blockiert werden. Dieser Filteransatz kann umgangen werden und zu websiteübergreifenden Skripting-Angriffen führen, wenn es sich dabei um in bösartiger Absicht erstellte HTML-Tags mit Bytereihenfolgen-Markierungssequenzen handelt. Diese Aktualisierung behebt das Problem durch eine verbesserte Handhabung von Bytereihenfolgen-Markierungssequenzen. Wir danken Chris Weber von Casaba Security, LLC für die Meldung dieses Problems.

• Safari

  CVE-ID: CVE-2008-2307

  Verfügbar für: iPhone v1.0 bis v1.1.4, iPod touch v1.1 bis v1.1.4

  Symptom: Der Besuch einer in böswilliger·Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur willkürlichen Code-Ausführung führen.

  Beschreibung: Bei der Verarbeitung von JavaScript-Arrays in WebKit tritt ein Speicherfehler auf. Der Besuch einer in böser Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur willkürlichen Code-Ausführung führen. Mit dieser Aktualisierung wird das Problem durch eine verbesserte Abgrenzungsüberprüfung behoben. Wir danken James Urquhart für die Meldung dieses Problems.

• Safari

  CVE-ID: CVE-2008-2317

  Verfügbar für: iPhone v1.0 bis v1.1.4, iPod touch v1.1 bis v1.1.4

  Symptom: Der Besuch einer in böswilliger·Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur willkürlichen Code-Ausführung führen.

  Beschreibung: Bei der Handhabung von Stylesheet-Elementen durch WebCore kommt es zu einer Beschädigung des Speichers. Der Besuch einer in böser Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur willkürlichen Code-Ausführung führen. Mit dieser Aktualisierung wird das Problem durch eine verbesserte automatische Speicherbereinigung·behoben. Wir danken Peter Vreudegnhil von TippingPoint Zero Day Initiative für die Meldung dieses Problems.

• Safari

  CVE-ID: CVE-2007-6284

  Verfügbar für: iPhone v1.0 bis v1.1.4, iPod touch v1.1 bis v1.1.4

  Symptom: Die Verarbeitung von XML-Dokumenten kann zu Denial-of-Service-Attacken führen

  Beschreibung: Bei der Handhabung von XML-Dokumenten mit ungültigen UTF-8-Sequenzen kommt es zu einem Problem mit der Speicherauslastung, das zu einer Denial-of-Service-Attacke führen kann. Mit dieser Aktualisierung wird das Problem durch eine Aktualisierung der libxml2-Systembibliothek auf Version 2.6.16 behoben.

• Safari

  CVE-ID: CVE-2008-1767

  Verfügbar für: iPhone v1.0 bis v1.1.4, iPod touch v1.1 bis v1.1.4

  Symptom: Die Verarbeitung·von XML-Dokumenten kann zu einer unerwarteten Programmbeendigung oder der Ausführung willkürlichen Codes führen

  Beschreibung: In der libxslt-Bibliothek kann es zu einem Problem mit der Speicherauslastung kommen. Das Anzeigen einer in böser Absicht erstellten HTML-Seite·kann zu einer unerwarteten Programmbeendigung oder zur willkürlichen Ausführung von Code führen. Weitere Informationen zum angewendeten Patch finden Sie auf der xmlsoft.org-Website (http://xmlsoft.org/XSLT/). Wir danken Anthony de Almeida Lopes von Outpost24 AB und Chris Evans vom·Google Security-Team für die Meldung dieses Problems.

• WebKit

  CVE-ID: CVE-2008-1590

  Verfügbar für: iPhone v1.0 bis v1.1.4, iPod touch v1.1 bis v1.1.4

  Symptom: Der Besuch einer in böswilliger·Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur willkürlichen Code-Ausführung führen.

  Beschreibung: Bei der Handhabung der automatischen Speicherbereinigung·durch JavaScriptCore während der Ausführung des Programms kommt es zu einer Beschädigung des Speichers Der Besuch einer in böser Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur willkürlichen Code-Ausführung führen. Mit dieser Aktualisierung wird das Problem durch eine verbesserte automatische Speicherbereinigung·behoben. Wir danken Itzik Kotler und Jonathan Rom von Radware für die Meldung dieses Problems.

• WebKit

  CVE-ID: CVE-2008-1025

  Verfügbar für: iPhone v1.0 bis v1.1.4, iPod touch v1.1 bis v1.1.4

  Symptom: Das Aufrufen einer in bösartiger Absicht erstellten URL kann zu websiteübergreifenden Skripting-Angriffen führen

  Beschreibung: In WebKit tritt ein Problem bei der Behandlung von URLs auf, deren Hostname einen Doppelpunkt enthält. Das Aufrufen einer in böswilliger Absicht erstellten URL kann zu websiteübergreifenden Skripting-Angriffen führen. Das vorliegende Update löst dieses Problem durch verbessertes URL-Handling. Unser Dank gilt Robert Swiecki vom·Google Security-Team und David Bloom für das Melden·dieses Problems.

• WebKit

  CVE-ID: CVE-2008-1026

  Verfügbar für: iPhone v1.0 bis v1.1.4, iPod touch v1.1 bis v1.1.4

  Symptom: Das Anzeigen einer in böser Absicht erstellten Webseite·kann zu einer unerwarteten Programmbeendigung oder zur willkürlichen Ausführung von Code führen.

  Beschreibung: In WebKit tritt ein Heap-Puffer-Überlauf bei der Behandlung regulärer JavaScript-Ausdrücke auf. Das Problem kann durch JavaScript ausgelöst werden, wenn reguläre Ausdrücke mit großen, verschachtelten Wiederholungen verarbeitet werden. Dies kann zu einer unerwarteten Programmbeendigung oder zur willkürlichen Ausführung von Code führen. Mit diesem Update wird das Problem durch Ausführen einer zusätzlichen Validierung regulärer JavaScript-Ausdrücke behoben. Unser Dank gilt Charlie Miller von·Independent Security Evaluators für das Melden·dieses Problems.