Om sikkerhedsindholdet i iPhone v2.1

I dette dokument beskrives sikkerhedsindholdet i iPhone v2.1.

Af hensyn til vores kunders sikkerhed omtaler, diskuterer eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed kan ses i "Sådan bruges PGP-nøglen til Apple Produktsikkerhed".

Hvor det er muligt, bruges der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan læse mere om andre sikkerhedsopdateringer i "Apple-sikkerhedsopdateringer".

iPhone v2.1

  • Application Sandbox

    CVE-ID: CVE-2008-3631

    Fås til: iPhone v2.0 til og med v2.0.2

    Effekt: Et program kan muligvis læse et andet programs arkiver

    Beskrivelse: Application Sandbox håndhæver ikke korrekt adgangsbegrænsninger mellem tredjepartsprogrammer. Dette kan tillade et tredjepartsprogram at læse arkiver i et andet tredjepartsprograms sandbox og føre til videregivelse af følsomme oplysninger. Denne opdatering løser problemet ved at håndhæve de korrekte adgangsbegrænsninger mellem programmers sandboxes. Tak til Nicolas Seriot fra Sen:te og Bryce Cogswell for at rapportere dette problem. Problemet påvirker ikke iPhone-versioner før v2.0.

  • CoreGraphics

    CVE-ID: CVE-2008-1806, CVE-2008-1807, CVE-2008-1808

    Fås til: iPhone v1.0 til og med v2.0.2

    Effekt: Flere sårbarheder i FreeType v2.3.5

    Beskrivelse: Der findes flere sårbarheder i FreeType v2.3.5, hvoraf den mest alvorlige kan føre til kørsel af vilkårlig kode, når man tilgår skadeligt udformede skrifttypedata. Denne opdatering løser problemet ved at inkorporere sikkerhedsbeskyttelse fra version 2.3.6 af FreeType. Yderligere oplysninger er tilgængelige via FreeType-siden på http://www.freetype.org/

  • mDNSResponder

    CVE-ID: CVE-2008-1447

    Fås til: iPhone v1.0 til og med v2.0.2

    Effekt: mDNSResponder er modtagelig for DNS-cacheforgiftning og kan returnere forfalskede oplysninger

    Beskrivelse: mDNSResponder leverer oversættelse mellem værtsnavne og IP-adresser til programmer, der bruger dets API til unicast-DNS-genkendelse. En svaghed i DNS-protokollen kan tillade en fjernangriber at udføre angreb med DNS-cacheforgiftning. Som følge heraf kan programmer, der er afhængige af mDNSResponder til DNS, modtage forfalskede oplysninger. Denne opdatering løser problemet ved at implementere randomisering af kildeport og transaktions-id for at forbedre modstandsdygtigheden mod angreb med cacheforgiftning. Tak til Dan Kaminsky fra IOActive, som har rapporteret problemet.

  • Networking

    CVE-ID: CVE-2008-3612

    Fås til: iPhone v1.0 til og med v2.0.2

    Effekt: Forudsigelig generering af TCP-startsekvensnumre kan føre til TCP-spoofing eller sessionskapring

    Beskrivelse: TCP-startsekvensnumre genereres sekventielt. Forudsigelige startsekvensnumre kan gøre det muligt for en fjernangriber at oprette en spoofet TCP-forbindelse eller indsætte data i en eksisterende TCP-forbindelse. Denne opdatering løser problemet ved at generere tilfældige TCP-startsekvensnumre.

  • Passcode Lock

    CVE-ID: CVE-2008-3633

    Fås til: iPhone v2.0 til og med v2.0.2

    Effekt: En uautoriseret bruger kan muligvis omgå Lås med kode og starte iPhone-apps

    Beskrivelse: Funktionen Lås med kode er udviklet til at forhindre apps i at blive startet, medmindre den korrekte adgangskode indtastes. Et implementeringsproblem i håndteringen af nødopkald giver brugere med fysisk adgang til en iPhone mulighed for at starte en app uden at skulle indtaste adgangskoden ved at dobbeltklikke på knappen Hjem i nødopkald. Denne opdatering løser problemet via forbedret håndtering af nødopkald. Tak til Matthew Yohe fra instituttet for elektro- og computerteknologi i The University of Iowa, som har rapporteret problemet. Problemet påvirker ikke iPhone-versioner før v2.0.

  • WebKit

    CVE-ID: CVE-2008-3632

    Fås til: iPhone v1.0 til og med v2.0.2

    Effekt: Besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der findes et use-after-free-problem i WebKits håndtering af CSS-importerklæringer. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Denne opdatering løser problemet via en forbedret håndtering af dokumentreferencer.

Udgivelsesdato: