Om sikkerhedsindholdet i iPod touch v2.1
Oversigt
Dette dokument beskriver sikkerhedsindholdet i iPod touch v2.1.
For at beskytte vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple Produktsikkerhed, kan du besøge webstedet Apple Produktsikkerhed.
Gå til "Sådan bruges PGP-nøglen til Apple Produktsikkerhed" for at få oplysninger om PGP-nøglen til Apple Produktsikkerhed.
Hvor det er muligt, anvendes CVE-ID'er til at angive sikkerhedshullerne for yderligere oplysninger.
Gå til "Apple Sikkerhedsopdateringer", hvis du vil læse om andre sikkerhedsopdateringer.
Berørte produkter
Produktsikkerhed, iPod touch
iPod touch v2.1
-
Programsandkasse
CVE-ID: CVE-2008-3631
Tilgængelig til: iPod touch v2.0 til v2.0.2
Virkning: Et program kan muligvis læse filer i andre programmer
Beskrivelse: Programsandkassen gennemtvinger ikke adgangsbegrænsninger mellem tredjepartsprogrammer korrekt. Dette kan gøre det muligt for et tredjepartsprogram at læse filer i et andet tredjepartsprograms sandkasse og give adgang til følsomme oplysninger. Denne opdatering løser problemet ved at gennemtvinge korrekte adgangsbegrænsninger mellem programmers sandkasser. Tak til Nicolas Seriot fra Sen:te og Bryce Cogswell, der rapporterede dette problem. Dette problem påvirker ikke iPod touch-versioner før v2.0.
-
CoreGraphics
CVE-ID: CVE-2008-1806, CVE-2008-1807, CVE-2008-1808
Tilgængelig til: iPod touch v1.1 til v2.0.2
Virkning: Flere sikkerhedsrisici i FreeType v2.3.5
Beskrivelse: FreeType v2.3.5 indeholder flere sikkerhedsrisici, hvoraf den mest alvorlige kan føre til udførelse af tilfældig kode ved åbning af skadelige skrifttypedata. Denne opdatering løser problemet ved at inkorporere sikkerhedsrettelserne fra FreeType version 2.3.6. Du kan få flere oplysninger på webstedet for FreeType på http://www.freetype.org/
-
mDNSResponder
CVE-ID: CVE-2008-1447
Tilgængelig til: iPod touch v1.1 til v2.0.2
Virkning: mDNSResponder er modtagelig for uautoriseret ændring af DNS-cache og kan muligvis returnere falske oplysninger
Beskrivelse: mDNSResponder sikrer oversættelse mellem værtsnavne og IP-adresser til programmer, der bruger unicast-DNS-opløsningen API. En svaghed i DNS-protokollen kan gøre det muligt for hackere at udføre angreb med uautoriseret ændring af DNS-cache. Dette medfører, at programmer, der anvender mDNSResponder til DNS, kan modtage falske oplysninger. Denne opdatering løser problemet ved at implementere tilfældige kildeporte og transaktions-id'er, som forbedrer modstandsdygtigheden mod angreb med uautoriseret ændring af cachen. Tak til Dan Kaminsky fra IOActive, der rapporterede problemet.
-
Netværk
CVE-ID: CVE-2008-3612
Tilgængelig til: iPod touch v2.0 til v2.0.2
Virkning: Generering af forudsigelige indledende TCP-sekvensnumre kan medføre forfalskning af TCP eller kapring af sessioner
Beskrivelse: Indledende TCP-sekvensnumre genereres sekventielt. Forudsigelige indledende sekvensnumre kan gøre det muligt for en hacker at skabe en falsk TCP-forbindelse eller indsætte data i en eksisterende TCP-forbindelse. Denne opdatering løser problemet ved at generere tilfældige indledende TCP-sekvensnumre. Dette problem påvirker ikke iPod touch-versioner før v2.0.
-
WebKit
CVE-ID: CVE-2008-3632
Tilgængelig til: iPod touch v1.1 til v2.0.2
Virkning: Et besøg på et skadeligt websted kan føre til uventet programnedbrud eller kørsel af vilkårlig kode
Beskrivelse: Der eksisterer et problem med "use-after-free" i WebKits håndtering af CSS-importmeddelelser. Et besøg på et skadeligt websted kan føre til uventet programnedbrud eller kørsel af vilkårlig kode. Denne opdatering løser problemet gennem en forbedret håndtering af dokumenthenvisninger.
Yderligere oplysninger
Vigtigt: Oplysninger om produkter, som ikke produceres af Apple, er kun inkluderet til orientering og er ikke udtryk for Apples anbefaling eller godkendelse. Kontakt venligst leverandøren for at få yderligere oplysninger.