Sprachen

Archived - Sicherheitsinhalte von iPhone 2.1

In diesem Dokument sind die Sicherheitsinhalte des iPhone 2.1 beschrieben.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Programmkorrekturen oder Versionen verfügbar sind. Nähere Informationen zur Apple Produktsicherheit finden Sie auf der Website Produktsicherheit von Apple.

Informationen zum Apple Produktsicherheits-PGP-Schlüssel finden Sie hier: "So verwenden Sie den Apple Produktsicherheits-PGP-Schlüssel".

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE IDs verwendet.

Informationen zu weiteren Security Updates finden Sie unter "Apple Security Updates".

 

Dieser Artikel wurde archiviert und wird von Apple nicht mehr aktualisiert.

iPhone 2.1

  • Programm-Sandbox

    CVE-ID: CVE-2008-3631

    Erhältlich für iPhone 2.0 bis 2.0.2

    Symptom: Ein Programm kann Dateien aus anderen Programmen lesen.

    Beschreibung: Mit der Programm-Sandbox werden Zugriffsbeschränkungen zwischen Programmen von Drittanbietern nicht berücksichtigt. Aus diesem Grund können Programme von Drittanbietern Dateien aus der Sandbox anderer Drittanbieter lesen, was die Offenlegung vertraulicher Informationen zur Folge hat. Mit diesem Update wird das Problem behoben, da nun die Zugriffsbeschränkungen zwischen den Programm-Sandboxen eingehalten werden können. Wir danken Nicolas Seriot von Sen:te und Bryce Cogswell für die Meldung dieses Problems. iPhone Versionen, die älter sind als die Version 2.0, sind von diesem Problem nicht betroffen.

  • CoreGraphics

    CVE-ID: CVE-2008-1806, CVE-2008-1807, CVE-2008-1808

    Erhältlich für iPhone 1.0 bis 2.0.2

    Symptom: mehrere Schwachstellen in FreeType 2.3.5

    Beschreibung: In FreeType 2.3.5 gibt es mehrere Schwachstellen, von denen die problematischste zu unvorhergesehener Codeausführung beim Zugriff auf Schriftdaten führen kann, die in böswilliger Absicht erstellt wurden. Mit diesem Update wird das Problem behoben, da die Sicherheitskorrekturen aus der Version 2.3.6 von FreeType integriert wurden. Weitere Informationen finden Sie auf der FreeType-Website unter http://www.freetype.org/.

  • mDNSResponder

    CVE-ID: CVE-2008-1447

    Erhältlich für iPhone 1.0 bis 2.0.2

    Symptom: mDNSResponder ist anfällig für die Beschädigung des DNS-Caches und kann falsche Informationen zurückgeben.

    Beschreibung: mDNSResponder konvertiert Hostnamen in IP-Adressen und umgekehrt für Programme, die die API für die Unicast-DNS-Auflösung verwenden. Eine Schwachstelle im DNS-Protokoll ermöglicht es Remote-Angreifern, den DNS-Cache zu beschädigen. Infolgedessen erhalten Programme, die sich auf den mDNSResponder für DNS berufen, falsche Informationen. Mit diesem Update wird das Problem behoben, da die Zufallsanordnung von Quellport und Transaktions-ID zur Verbesserung der Widerstandsfähigkeit gegenüber Angriffen auf den Cache implementiert wird. Wir danken Dan Kaminsky von IOActive für die Meldung dieses Problems.

  • Netzwerkbetrieb

    CVE-ID: CVE-2008-3612

    Erhältlich für iPhone 2.0 bis 2.0.2

    Symptom: Die Generierung von vorhersehbaren TCP-Startsequenznummern kann zu TCP-Spoofing und Sitzungs-Hijacking führen.

    Beschreibung: TCP-Startsequenznummern werden nacheinander generiert. Vorhersehbare Startsequenznummern können Remote-Angreifern den Aufbau einer gespooften TCP-Verbindung und das Einfügen von Daten in eine vorhandene TCP-Verbindung ermöglichen. Mit diesem Update wird das Problem behoben, da nun zufällige TCP-Startsequenznummern generiert werden können. iPhone Versionen, die älter sind als die Version 2.0, sind von diesem Problem nicht betroffen.

  • Code-Sperre

    CVE-ID: CVE-2008-3633

    Erhältlich für iPhone 2.0 bis 2.0.2

    Symptom: Nicht autorisierte Benutzer können die Code-Sperre umgehen und iPhone Programme starten.

    Beschreibung: Mit der Funktion "Code-Sperre" soll erreicht werden, dass Programme nur dann gestartet werden, wenn der richtige Code eingegeben wird. Ein Implementierungsproblem bei der Handhabung von Notrufen ermöglicht es Benutzern mit physischem Zugriff auf ein iPhone, durch zweimaliges Drücken der Home-Taste ein Programm auch ohne Eingabe des Codes zu starten. Mit diesem Update wird das Problem behoben, da die Handhabung von Notrufen verbessert wurde. Wir danken Matthew Yohe von der Abteilung für Elektrotechnik und Computertechnik an der University of Iowa für die Meldung dieses Problems. iPhone Versionen, die älter sind als die Version 2.0, sind von diesem Problem nicht betroffen.

  • WebKit

    CVE-ID: CVE-2008-3632

    Erhältlich für iPhone 1.0 bis 2.0.2

    Symptom: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur willkürlichen Code-Ausführung führen.

    Beschreibung: Bei der Verarbeitung von CSS-Importanweisungen durch WebKit tritt ein Use-After-Free-Problem auf, bei dem der Speicherbereich nach der Freigabe noch benutzt wird. Der Besuch einer in böser Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur willkürlichen Code-Ausführung führen. Mit diesem Update wird das Problem behoben, da Dokumentverweise nun besser verarbeitet werden.

Zuletzt geändert: 09.11.2011
Hilfreich?
Ja
Nein
  • Last Modified: 09.11.2011
  • Article: HT3129
  • Views:

    596

Zusätzliche Supportinformationen zum Produkt