Sprachen

Archived - Informationen zum Sicherheitsinhalt des iPod touch v2.1

Dieses Dokument beschreibt den Sicherheitsinhalt des iPod touch v2.1.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Programmkorrekturen oder Versionen verfügbar sind. Nähere Informationen zur Apple Produktsicherheit finden Sie auf der Website Produktsicherheit von Apple.

Informationen zum Apple Produktsicherheits-PGP-Schlüssel finden Sie hier: "So verwenden Sie den Apple Produktsicherheits-PGP-Schlüssel".

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE IDs verwendet.

Informationen zu weiteren Security Updates finden Sie unter "Apple Security Updates".

Dieser Artikel wurde archiviert und wird von Apple nicht mehr aktualisiert.

iPod touch v2.1

  • Programm-Sandbox

    CVE-ID: CVE-2008-3631

    Verfügbar für: iPod touch v2.0 bis v2.0.2

    Symptom: Ein Programm kann möglicherweise die Programmdateien anderer Programme auslesen

    Beschreibung: Die Programm-Sandbox setzt die Zugriffsbeschränkungen zwischen Programmen von Drittanbietern nicht streng genug um. Dadurch könnten Programme von Drittanbietern Dateien lesen, die in der Sandbox anderer Anbieter liegen, und so sensible Daten offenlegen. Dieses Update behebt das Problem, indem die Zugriffsbeschränkungen zwischen den einzelnen Programm-Sandboxen strenger umgesetzt werden. Dank an Nicolas Seriot of Sen:te und Bryce Cogswell, die dieses Problem gemeldet haben. Dieses Problem betrifft keine iPods vor Version 2.0.

  • CoreGraphics

    CVE-ID: CVE-2008-1806, CVE-2008-1807, CVE-2008-1808

    Verfügbar für: iPod touch v1.1 bis v2.0.2

    Symptom: Mehrere Schwachstellen in FreeType v2.3.5

    Beschreibung: In FreeType v2.3.5 gibt es mehrere Schwachstellen, von denen die ernsteste zu einer Ausführung von Fremdcode beim Zugriff auf in böser Absicht erstellte Schriftartdaten führen kann. Dieses Update behebt das Problem durch die Einbindung von Sicherheitsfixes der Version 2.3.6 von FreeType. Weitere Informationen finden Sie auf der FreeType-Website unter http://www.freetype.org/.

  • mDNSResponder

    CVE-ID: CVE-2008-1447

    Verfügbar für: iPod touch v1.1 bis v2.0.2

    Symptom: mDNSResponder ist anfällig für Veränderungen des DNS-Caches und kann so gefälschte Informationen liefern

    Beschreibung: mDNSResponder bietet Konvertierungen zwischen Hostnamen und IP-Adressen für Anwendungen an, die seine Direktverbindungs-API zur DNS-Auflösung verwenden. Eine Schwachstelle des DNS-Protokolls ermöglicht Angreifern, Verfälschungsangriffe auf den DNS-Cache (Cache Poisoning) durchzuführen. Dadurch würden Systeme, die sich bezüglich des DNS auf den mDNSResponder verlassen, verfälschte Informationen erhalten. Mit dieser Aktualisierung wird das Problem mittels zufallsgenerierter Source Port-Nummern und Transaktions-IDs angegangen, um so die Widerstandsfähigkeit gegen Cache Poisoning-Angriffe wesentlich zu erhöhen. Wir danken Dan Kaminsky von IOActive für die Meldung dieses Problems.

  • Netzwerkbetrieb

    CVE-ID: CVE-2008-3612

    Verfügbar für: iPod touch v2.0 bis v2.0.2

    Symptom: Die vorhersagbare Generierung von TCP-Initialsequenznummern kann zu TCP-Spoofing oder Sitzungs-Hijacking führen

    Beschreibung: TCP-Initialsequenznummern werden sequenziell generiert. Vorhersagbar generierte Initialsequenznummern können einem entfernten Angreifer das Erstellen einer gefälschten TCP-Verbindung oder das Einfügen von Daten in eine vorhandene TCP-Verbindung ermöglichen. Mit dieser Aktualisierung wird das Problem durch das Generieren von zufälligen TCP-Initialsequenznummern behoben. Dieses Problem betrifft keine iPods vor Version 2.0.

  • WebKit

    CVE-ID: CVE-2008-3632

    Verfügbar für: iPod touch v1.1 bis v2.0.2

    Symptom: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur willkürlichen Code-Ausführung führen.

    Beschreibung: Es gibt ein use-after-free-Problem bei der Behandlung von CSS-Importausdrücken in Webkit. Der Besuch einer in böser Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur willkürlichen Code-Ausführung führen. Das vorliegende Update löst dieses Problem durch eine verbesserte Handhabung von Dokumentverweisen.

Additional Information

Wichtiger Hinweis: Angaben zu Produkten, die nicht von Apple hergestellt wurden, werden ausschließlich zu Informationszwecken bereitgestellt, und stellen keine Empfehlung oder Billigung durch Apple dar. Für weitere Informationen zu diesen Produkten wenden Sie sich bitte an den jeweiligen Hersteller.

Zuletzt geändert: 09.11.2011
Hilfreich?
Ja
Nein
  • Last Modified: 09.11.2011
  • Article: HT3026
  • Views:

    190

Zusätzliche Supportinformationen zum Produkt