Over de beveiligingscontent van de iPhone v2.1

In dit document wordt de beveiligingsinhoud van de iPhone v2.1 beschreven.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.

Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

iPhone v2.1

  • Application Sandbox

    CVE-ID: CVE-2008-3631

    Beschikbaar voor: iPhone v2.0 tot en met v2.0.2

    Impact: een programma kan bestanden uit een ander programma lezen

    Beschrijving: de programma-sandbox dwingt toegangsbeperkingen tussen applicaties van derden niet goed af. Hierdoor kan een programma van derden bestanden in de programma-sandbox van een andere derde partij lezen, wat kan leiden tot de openbaarmaking van gevoelige informatie. Deze update verhelpt het probleem door correcte toegangsbeperkingen tussen programma-sandboxen af te dwingen. Met dank aan Nicolas Seriot van Sen:te en Bryce Cogswell voor het melden van dit probleem. Dit probleem is niet van invloed op iPhone-versies ouder dan v2.0.

  • CoreGraphics

    CVE-ID: CVE-2008-1806, CVE-2008-1807, CVE-2008-1808

    Beschikbaar voor: iPhone v1.0 tot en met v2.0.2

    Impact: meerdere kwetsbaarheden in FreeType v2.3.5

    Beschrijving: FreeType v2.3.5 bevat meerdere kwetsbaarheden. De ernstigste hiervan kan leiden tot willekeurige code-uitvoering bij toegang tot kwaadwillig vervaardigde lettertypegegevens. Deze update verhelpt het probleem door het integreren van de beveiligingsverbeteringen van versie 2.3.6 van FreeType. Verdere informatie is beschikbaar op de website van FreeType op http://www.freetype.org/

  • mDNSResponder

    CVE-ID: CVE-2008-1447

    Beschikbaar voor: iPhone v1.0 tot en met v2.0.2

    Impact: mDNSResponder is gevoelig voor DNS-cache-poisoning en retourneert mogelijk vervalste informatie

    Beschrijving: mDNSResponder biedt een vertaling tussen hostnamen en IP-adressen voor programma's die de unicast DNS-omzettings-API gebruiken. Een kwetsbaarheid in het DNS-protocol kan een aanvaller op afstand in staat stellen om DNS-cache-poisoningaanvallen uit te voeren. Hierdoor ontvangen programma's die vertrouwen op mDNSResponder voor DNS mogelijk vervalste informatie. Deze update verhelpt het probleem via bronpoort- en transactie ID randomisatie om de veerkracht tegen cache-poisoningaanvallen te verbeteren. Met dank aan Dan Kaminsky van IOActive voor het melden van dit probleem.

  • Networking

    CVE-ID: CVE-2008-3612

    Beschikbaar voor: iPhone v1.0 tot en met v2.0.2

    Impact: genereren van voorspelbare initiële TCP-volgnummers kan leiden tot TCP-spoofing of sessiekaping

    Beschrijving: initiële TCP-volgnummers worden opeenvolgend gegenereerd. Met voorspelbare initiële volgnummers kan een aanvaller op afstand een gespoofde TCP-verbinding maken of gegevens invoegen in een bestaande TCP-verbinding. Deze update verhelpt het probleem op door willekeurige initiële TCP-volgnummers te genereren.

  • Passcode Lock

    CVE-ID: CVE-2008-3633

    Beschikbaar voor: iPhone v2.0 tot en met v2.0.2

    Impact: een niet-geautoriseerde gebruiker kan de toegangscodevergrendeling omzeilen en iPhone-apps openen

    Beschrijving: de functie Toegangscodevergrendeling is ontworpen om te voorkomen dat apps worden geopend zonder de juiste toegangscode. Vanwege een implementatieprobleem in de verwerking van noodoproepen kunnen gebruikers met fysieke toegang tot een iPhone een app openen zonder de toegangscode in te voeren. Dit doen ze door dubbel te tikken op de Home-knop in Noodoproep. Deze update lost het probleem op door een verbeterde afhandeling van noodoproepen. Met dank aan Matthew Yohe van de afdeling Electrical and Computer Engineering van de University of Iowa voor het rapporteren van dit probleem. Dit probleem is niet van invloed op iPhone-versies ouder dan v2.0.

  • WebKit

    CVE-ID: CVE-2008-3632

    Beschikbaar voor: iPhone v1.0 tot en met v2.0.2

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

    Beschrijving: er bestaat een use-after-free-probleem in de afhandeling van CSS-importstatements door WebKit. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door verbeterde verwerking van documentverwijzingen.

Publicatiedatum: