Sprachen

Archiviert - Informationen zum Sicherheitsinhalt von·iPhone 2.0 und iPod touch 2.0

Dieses Dokument beschreibt den Sicherheitsinhalt von·iPhone 2.0 und iPod touch 2.0.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Programmkorrekturen oder Versionen verfügbar sind. Nähere Informationen zur Apple Produktsicherheit finden Sie auf der Website Produktsicherheit von Apple.

Informationen zum Apple Produktsicherheits-PGP-Schlüssel finden Sie hier: "So verwenden Sie den Apple Produktsicherheits-PGP-Schlüssel".

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE IDs verwendet.

Informationen zu weiteren Security Updates finden Sie unter "Apple Sicherheits-Updates".

Dieser Artikel wurde archiviert und wird von Apple nicht mehr aktualisiert.

iPhone v2.0 und iPod touch v2.0

  • CFNetwork

    CVE-ID: CVE-2008-0050

    Verfügbar für: iPhone v1.0 bis v1.1.4, iPod touch v1.1 bis v1.1.4

    Symptom: Ein bösartiger Proxy-Server beeinträchtigt·unter Umständen die Zuverlässigkeit sicherer Websites

    Beschreibung: Ein bösartiger HTTPS-Proxy-Server gibt über den "Fehler 502: Ungültiges Gateway" möglicherweise willkürliche Daten an CFNetwork zurück, wodurch die Zuverlässigkeit sicherer Websites beeinträchtigt werden kann. Diese Aktualisierung behebt das·Problem, indem die Daten vom Proxy-Server nicht durch Fehlermeldungen zurückgegeben werden.

  • Kernel

    CVE-ID: CVE-2008-0177

    Verfügbar für: iPhone v1.0 bis v1.1.4, iPod touch v1.1 bis v1.1.4

    Symptom: Ein Angreifer von außerhalb kann das unerwartete Zurücksetzen·des Geräts verursachen

    Beschreibung: Bei der Bearbeitung von Paketen mit einem IPComp Header tritt ein unerkannter Fehler auf. Durch das Senden eines in böser Absicht erstellten Pakets an ein System, das für den Einsatz von IPSec oder IPv6 konfiguriert wurde, kann ein Angreifer ein unerwartetes Zurücksetzen·des Geräts verursachen. Mit dieser Aktualisierung wird das Problem durch ordnungsgemäßes Erkennen des Fehlers behoben.

  • Safari

    CVE-ID: CVE-2008-1588

    Verfügbar für: iPhone v1.0 bis v1.1.4, iPod touch v1.1 bis v1.1.4

    Symptom: Ideografische Unicode-Leerzeichen werden unter Umständen verwendet, um die Zuverlässigkeit sicherer Websites zu beeinträchtigen

    Beschreibung: Beim Anzeigen der aktuellen URL in der Safari Adressleiste werden ideografische Unicode-Leerzeichen gerendert. Dadurch können in böser Absicht erstellte Websites den Benutzer auf Spoof-Websites umleiten, deren Gestaltung der von legitimen Domänen ähnelt. Diese Aktualisierung behebt das·Problem, indem keine ideografischen Unicode-Leerzeichen in der Adressleiste gerendert werden.

  • Safari

    CVE-ID: CVE-2008-1589

    Verfügbar für: iPhone v1.0 bis v1.1.4, iPod touch v1.1 bis v1.1.4

    Symptom: Das Aufrufen einer in böser Absicht erstellten Website kann zur Preisgabe vertraulicher Informationen führen.

    Beschreibung: Beim Aufrufen einer Website mit Safari, die ein selbstsigniertes oder ungültiges Zertifikat verwendet, wird der Benutzer dazu aufgefordert, das Zertifikat zu akzeptieren oder abzulehnen. Wenn der Benutzer die Menü-Taste drückt, während die Eingabeaufforderung angezeigt wird, wird das Zertifikat beim nächsten Aufrufen der Website ohne Eingabeaufforderung akzeptiert. Dies kann zur Preisgabe vertraulicher Daten führen. Das vorliegende Update löst dieses Problem durch eine verbesserte Handhabung von Zertifikaten. Wir danken Hiromitsu Takagi für die Meldung dieses Problems.

  • Safari

    CVE-ID: CVE-2008-2303

    Verfügbar für: iPhone v1.0 bis v1.1.4, iPod touch v1.1 bis v1.1.4

    Symptom: Der Besuch einer in böswilliger·Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur willkürlichen Code-Ausführung führen.

    Beschreibung: Ein Problem mit der Handhabung von Vorzeichen bei der Verarbeitung von JavaScript-Array-Indizes durch Safari kann zu einem verbotenen Speicherzugriff führen. Der Besuch einer in böser Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur willkürlichen Code-Ausführung führen. Mit diesem Update wird das Problem durch Ausführen einer zusätzlichen Validierung regulärer JavaScript-Array-Indizes behoben. Wir danken SkyLined von Google für die Meldung dieses Problems.

  • Safari

    CVE-ID: CVE-2006-2783

    Verfügbar für: iPhone v1.0 bis v1.1.4, iPod touch v1.1 bis v1.1.4

    Symptom: Der Besuch einer in bösartiger Absicht erstellten Website kann zu websiteübergreifenden Skripting-Angriffen führen

    Beschreibung: Beim Analysieren von Webseiten ignoriert Safari Unicode-Bytereihenfolgen-Markierungssequenzen. Bestimmte Websites und Webinhaltsfilter versuchen, Eingaben sicher zu machen, indem bestimmte HTML-Tags blockiert werden. Dieser Filteransatz kann umgangen werden und zu websiteübergreifenden Skripting-Angriffen führen, wenn es sich dabei um in bösartiger Absicht erstellte HTML-Tags mit Bytereihenfolgen-Markierungssequenzen handelt. Diese Aktualisierung behebt das Problem durch eine verbesserte Handhabung von Bytereihenfolgen-Markierungssequenzen. Wir danken Chris Weber von Casaba Security, LLC für die Meldung dieses Problems.

  • Safari

    CVE-ID: CVE-2008-2307

    Verfügbar für: iPhone v1.0 bis v1.1.4, iPod touch v1.1 bis v1.1.4

    Symptom: Der Besuch einer in böswilliger·Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur willkürlichen Code-Ausführung führen.

    Beschreibung: Bei der Verarbeitung von JavaScript-Arrays in WebKit tritt ein Speicherfehler auf. Der Besuch einer in böser Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur willkürlichen Code-Ausführung führen. Mit dieser Aktualisierung wird das Problem durch eine verbesserte Abgrenzungsüberprüfung behoben. Wir danken James Urquhart für die Meldung dieses Problems.

  • Safari

    CVE-ID: CVE-2008-2317

    Verfügbar für: iPhone v1.0 bis v1.1.4, iPod touch v1.1 bis v1.1.4

    Symptom: Der Besuch einer in böswilliger·Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur willkürlichen Code-Ausführung führen.

    Beschreibung: Bei der Handhabung von Stylesheet-Elementen durch WebCore kommt es zu einer Beschädigung des Speichers. Der Besuch einer in böser Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur willkürlichen Code-Ausführung führen. Mit dieser Aktualisierung wird das Problem durch eine verbesserte automatische Speicherbereinigung·behoben. Wir danken Peter Vreudegnhil von TippingPoint Zero Day Initiative für die Meldung dieses Problems.

  • Safari

    CVE-ID: CVE-2007-6284

    Verfügbar für: iPhone v1.0 bis v1.1.4, iPod touch v1.1 bis v1.1.4

    Symptom: Die Verarbeitung von XML-Dokumenten kann zu Denial-of-Service-Attacken führen

    Beschreibung: Bei der Handhabung von XML-Dokumenten mit ungültigen UTF-8-Sequenzen kommt es zu einem Problem mit der Speicherauslastung, das zu einer Denial-of-Service-Attacke führen kann. Mit dieser Aktualisierung wird das Problem durch eine Aktualisierung der libxml2-Systembibliothek auf Version 2.6.16 behoben.

  • Safari

    CVE-ID: CVE-2008-1767

    Verfügbar für: iPhone v1.0 bis v1.1.4, iPod touch v1.1 bis v1.1.4

    Symptom: Die Verarbeitung·von XML-Dokumenten kann zu einer unerwarteten Programmbeendigung oder der Ausführung willkürlichen Codes führen

    Beschreibung: In der libxslt-Bibliothek kann es zu einem Problem mit der Speicherauslastung kommen. Das Anzeigen einer in böser Absicht erstellten HTML-Seite·kann zu einer unerwarteten Programmbeendigung oder zur willkürlichen Ausführung von Code führen. Weitere Informationen zum angewendeten Patch finden Sie auf der xmlsoft.org-Website (http://xmlsoft.org/XSLT/). Wir danken Anthony de Almeida Lopes von Outpost24 AB und Chris Evans vom·Google Security-Team für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2008-1590

    Verfügbar für: iPhone v1.0 bis v1.1.4, iPod touch v1.1 bis v1.1.4

    Symptom: Der Besuch einer in böswilliger·Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur willkürlichen Code-Ausführung führen.

    Beschreibung: Bei der Handhabung der automatischen Speicherbereinigung·durch JavaScriptCore während der Ausführung des Programms kommt es zu einer Beschädigung des Speichers Der Besuch einer in böser Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur willkürlichen Code-Ausführung führen. Mit dieser Aktualisierung wird das Problem durch eine verbesserte automatische Speicherbereinigung·behoben. Wir danken Itzik Kotler und Jonathan Rom von Radware für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2008-1025

    Verfügbar für: iPhone v1.0 bis v1.1.4, iPod touch v1.1 bis v1.1.4

    Symptom: Das Aufrufen einer in bösartiger Absicht erstellten URL kann zu websiteübergreifenden Skripting-Angriffen führen

    Beschreibung: In WebKit tritt ein Problem bei der Behandlung von URLs auf, deren Hostname einen Doppelpunkt enthält. Das Aufrufen einer in böswilliger Absicht erstellten URL kann zu websiteübergreifenden Skripting-Angriffen führen. Das vorliegende Update löst dieses Problem durch verbessertes URL-Handling. Unser Dank gilt Robert Swiecki vom·Google Security-Team und David Bloom für das Melden·dieses Problems.

  • WebKit

    CVE-ID: CVE-2008-1026

    Verfügbar für: iPhone v1.0 bis v1.1.4, iPod touch v1.1 bis v1.1.4

    Symptom: Das Anzeigen einer in böser Absicht erstellten Webseite·kann zu einer unerwarteten Programmbeendigung oder zur willkürlichen Ausführung von Code führen.

    Beschreibung: In WebKit tritt ein Heap-Puffer-Überlauf bei der Behandlung regulärer JavaScript-Ausdrücke auf. Das Problem kann durch JavaScript ausgelöst werden, wenn reguläre Ausdrücke mit großen, verschachtelten Wiederholungen verarbeitet werden. Dies kann zu einer unerwarteten Programmbeendigung oder zur willkürlichen Ausführung von Code führen. Mit diesem Update wird das Problem durch Ausführen einer zusätzlichen Validierung regulärer JavaScript-Ausdrücke behoben. Unser Dank gilt Charlie Miller von·Independent Security Evaluators für das Melden·dieses Problems.

Wichtig: Der Hinweis auf Websites und Produkte Dritter dient ausschließlich informativen Zwecken und ist weder als Billigung noch als Empfehlung zu verstehen Apple übernimmt keine Verantwortung in Bezug auf die Auswahl, Leistung oder Verwendung von Informationen oder Produkten, die auf Websites Dritter angeboten werden. Apple stellt seinen Kunden diese Informationen nur als Serviceleistung zur Verfügung. Apple hat die Informationen, die auf diesen Sites angeboten werden, nicht geprüft und macht keine Angaben in Bezug auf deren Korrektheit und Zuverlässigkeit. Die Verwendung aller Informationen und Produkte, die im Internet angeboten werden, unterliegt bestimmten Risiken; Apple übernimmt diesbezüglich keine Verantwortung. Bitte haben Sie Verständnis dafür, dass Websites Dritter von Apple unabhängig sind und dass Apple keine Kontrolle über den Inhalt dieser Websites hat. Für weitere Informationen wenden Sie sich bitte an den Hersteller.

Zuletzt geändert: 06.11.2011
Hilfreich?
Ja
Nein
Not helpful Somewhat helpful Helpful Very helpful Solved my problem
Diese Seite drucken
  • Zuletzt geändert: 06.11.2011
  • Artikel: HT2351
  • Aufrufe:

    202701
  • Bewertung:
    • 80.0

    (4 Antworten)