Sprachen

Archived - Über den Sicherheitsinhalt von iOS 2.2 und iOS für iPod touch 2.2

In diesem Dokument finden Sie Informationen zum Sicherheitsinhalt von iOS 2.2 und iOS für iPod touch 2.2.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und wenn alle erforderlichen Programmkorrekturen oder Versionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website "Apple-Produktsicherheit".

Informationen zum Apple-Produktsicherheits-PGP-Schlüssel finden Sie unter "So verwenden Sie den Apple-Produktsicherheits-PGP-Schlüssel".

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates finden Sie unter "Apple-Sicherheitsupdates".

Dieser Artikel wurde archiviert und wird von Apple nicht mehr aktualisiert.

iOS 2.2 und iOS für iPod touch 2.2

  • CoreGraphics

    CVE-ID: CVE-2008-2321

    Verfügbar für: iOS 1.0 bis 2.1, iOS für iPod touch 1.1 bis 2.1

    Symptom: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung beliebigen Codes führen.

    Symptom: Bei der Verarbeitung von Argumenten können in CoreGraphics Speicherfehler auftreten. Die Weitergabe ungeprüften Codes an CoreGraphics mittels eines Programms, z. B. eines Webbrowsers, kann zu einer unerwarteten Programmbeendigung oder der Ausführung beliebigen Codes führen. Mit dieser Aktualisierung wird das Problem durch eine verbesserte Abgrenzungsüberprüfung behoben. Wir danken Michal Zalewski von Google für die Meldung dieses Problems.

  • ImageIO

    CVE-ID: CVE-2008-2327

    Verfügbar für: iOS 1.0 bis 2.1, iOS für iPod touch 1.1 bis 2.1

    Symptom: Das Anzeigen eines in böswilliger Absicht erstellten TIFF-Bildes kann zu einem unerwarteten Programmabbruch oder zu einer unvorhergesehenen Codeausführung führen.

    Beschreibung: Bei der Verarbeitung von LZW-codierten TIFF-Bildern in libTIFF treten Probleme aufgrund eines nicht initialisierten Speicherzugriffs auf. Das Anzeigen eines in böswilliger Absicht erstellten TIFF-Bildes kann zu einem unerwarteten Programmabbruch oder zu einer unvorhergesehenen Codeausführung führen. Mit diesem Update wird das Problem behoben, da der Speicherzugriff richtig initialisiert wird und eine zusätzliche Validierung von TIFF-Bildern erfolgt.

  • ImageIO

    CVE-ID: CVE-2008-1586

    Verfügbar für: iOS 1.0 bis 2.1, iOS für iPod touch 1.1 bis 2.1

    Symptom: Das Anzeigen eines in böser Absicht erstellten TIFF-Bildes kann zu einem unerwarteten Zurücksetzen des Geräts führen.

    Beschreibung: Bei der Verarbeitung von TIFF-Bildern kommt es zu einem Speicherfehler. Das Anzeigen eines in böser Absicht erstellten TIFF-Bildes kann zu einem unerwarteten Zurücksetzen des Geräts führen. Mit diesem Update wird das Problem durch die Beschränkung der zum Öffnen von TIFF-Bildern zulässigen Speichermenge behoben. Wir danken Sergio "shadown" Alvarez von Recurity Labs GmbH für die Meldung dieses Problems.

  • Netzwerkbetrieb

    CVE-ID: CVE-2008-4227

    Verfügbar für: iOS 1.0 bis 2.1, iOS für iPod touch 1.1 bis 2.1

    Symptom: Die Verschlüsselungsstufe für PPTP VPN-Verbindungen kann niedriger als erwartet sein.

    Beschreibung: Die Verschlüsselungsstufe für PPTP VPN-Verbindungen kann auf eine zu einem früheren Zeitpunkt gewählte niedrigere Stufe herabgesetzt werden. Mit diesem Update wird das Problem durch die ordnungsgemäße Einstellung der Sicherheitsoptionen behoben. Wir danken Stephen Butler von der University of Illinois of Urbana-Champaign für die Meldung des Problems.

  • Office Viewer

    CVE-ID: CVE-2008-4211

    Verfügbar für: iOS 1.0 bis 2.1, iOS für iPod touch 1.1 bis 2.1

    Symptom: Das Anzeigen einer in böser Absicht erstellten Microsoft Excel-Datei kann zu einer unerwarteten Programmbeendigung oder der Ausführung willkürlichen Codes führen.

    Beschreibung: Beim Bearbeiten von Spalten in Microsoft Excel-Dateien mit Office Viewer kommt es zu einem signedness-Problem, das zu einem unzulässigen Speicherzugriff führen kann. Das Anzeigen einer in böser Absicht erstellten Microsoft Excel-Datei kann zu einer unerwarteten Programmbeendigung oder der Ausführung willkürlichen Codes führen. Dieses Update behebt das Problem, indem es sicherstellt, dass die betroffenen Indexwerte nicht negativ sind. Dank an: Apple

  • Code-Sperre

    CVE-ID: CVE-2008-4228

    Verfügbar für: iOS 1.0 bis 2.1, iOS für iPod touch 1.1 bis 2.1

    Symptom: Notrufe können nicht nur über Notrufnummern geführt werden.

    Beschreibung: Mit dem iPhone lassen sich selbst in gesperrtem Zustand Notrufe führen. Momentan können Notrufe über jede beliebige Rufnummer geführt werden. Personen mit direktem Zugang zum iPhone können diese Möglichkeit ausnutzen, indem sie mit dem Gerät auf Kosten des iPhone Eigentümers beliebige Telefonnummern anrufen. Dieses Update behebt das Problem durch die Einschränkung der für Notrufe verfügbaren Telefonnummern.

  • Code-Sperre

    CVE-ID: CVE-2008-4229

    Verfügbar für: iOS 1.0 bis 2.1, iOS für iPod touch 1.1 bis 2.1

    Symptom: Beim Wiederherstellen eines Geräts mithilfe einer Datensicherung wird möglicherweise die Code-Sperre nicht wieder aktiviert.

    Beschreibung: Mit der Funktion "Code-Sperre" soll erreicht werden, dass Programme nur dann gestartet werden, wenn der richtige Code eingegeben wird. Infolge einer Wettlaufsituation beim Verarbeiten von Geräteeinstellungen kann die Code-Sperre auf dem Gerät deaktiviert werden, wenn das Gerät mithilfe einer Datensicherung wiederhergestellt wird. Dies kann Personen mit direktem Zugang zum Gerät das ungehinderte Öffnen von Programmen ermöglichen. Dieses Update behebt das Problem, indem es die Systemfunktionen zum Erkennen fehlender Einstellungen verbessert. Ältere Betriebssysteme als iOS 2.0 oder iOS für iPod touch 2.0 sind von diesem Problem nicht betroffen. Wir danken Nolen Scaife für die Meldung des Problems.

  • Code-Sperre

    CVE-ID: CVE-2008-4230

    Verfügbar für: iOS 1.0 bis 2.1, iOS für iPod touch 1.1 bis 2.1

    Symptom: Die Vorschau für SMS(Short MessageService)-Nachrichten kann bereits vor Eingabe des Passcodes angezeigt werden.

    Beschreibung: Falls bei angezeigtem Notrufbildschirm eine SMS-Nachricht eintrifft, wird die vollständige Nachricht auch dann angezeigt, wenn die Einstellung "SMS-Vorschau zeigen" deaktiviert ist. Dieses Update behebt das Problem, indem es das System veranlasst, in der beschriebenen Situation nur eine Meldung zum Eingang der Nachricht, aber nicht deren Inhalt anzuzeigen.

  • Safari

    CVE-ID: CVE-2008-4231

    Verfügbar für: iOS 1.0 bis 2.1, iOS für iPod touch 1.1 bis 2.1

    Symptom: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur willkürlichen Code-Ausführung führen.

    Beschreibung: Bei der Verarbeitung von HTML-Tabellenelementen kommt es zu einem Speicherfehler. Der Besuch einer in böser Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur willkürlichen Code-Ausführung führen. Mit dieser Aktualisierung wird das Problem durch die verbesserte Verarbeitung von HTML-Tabellenelementen behoben. Wir danken Haifei Li vom Fortinet's FortiGuard Global Security Research Team für die Meldung des Problems.

  • Safari

    CVE-ID: CVE-2008-4232

    Verfügbar für: iOS 1.0 bis 2.1, iOS für iPod touch 1.1 bis 2.1

    Symptom: Websites mit eingebetteten iframe-Elementen sind anfällig für UI-Spoofing.

    Beschreibung: In Safari können Inhalte aus iframe-Elementen auch außerhalb der definierten Grenzen angezeigt werden und sind folglich anfällig für UI-Spoofing. Dieses Update behebt das Problem, indem es das Anzeigen von iframe-Elementinhalten außerhalb der Elementgrenzen unterbindet. Ältere Betriebssysteme als iOS 2.0 oder iOS für iPod touch 2.0 sind von diesem Problem nicht betroffen. Wir danken John Resig von der Mozilla Corporation für die Meldung des Problems.

  • Safari

    CVE-ID: CVE-2008-4233

    Verfügbar für: iOS 1.0 bis 2.1, iOS für iPod touch 1.1 bis 2.1

    Symptom: Der Besuch einer in böser Absicht erstellten Website kann dazu führen, dass ohne Einwirkung des Benutzers ein Anrufvorgang eingeleitet wird.

    Beschreibung: Wenn ein Programm über Safari gestartet wird, während ein Anrufbestätigungsdialogfeld zu sehen ist, wird der Anruf eingeleitet. Auf diese Weise kann eine in böser Absicht erstellte Website ohne Einwirkung des Benutzers Anrufe tätigen. Darüber hinaus können in böser Absicht erstellte Websites den Benutzer kurzzeitig davon abhalten, den Anrufvorgang zu unterbrechen. Dieses Update behebt das Problem dadurch, dass es das Anrufbestätigungsdialogfeld von Safari ordnungsgemäß unterdrückt, wenn über Safari ein Programm gestartet wird. Wir danken Collin Mulliner von Fraunhofer SIT für die Meldung des Problems. 
  • Webkit

    CVE-ID: CVE-2008-3644

    Verfügbar für: iOS 1.0 bis 2.1, iOS für iPod touch 1.1 bis 2.1

    Symptom: Dritte können Zugang zu vertraulichen Informationen auf entsperrten Geräten erlangen.

    Beschreibung: Trotz deaktivierter Autovervollständigungsfunktion für Formularfelder können die Formulardaten im Seitencache des Browsers gespeichert werden. Infolgedessen können Personen mit direktem Zugang zu dem Gerät auf vertrauliche Informationen zugreifen. Mit diesem Update wird das Problem durch ein ordnungsgemäßes Löschen der Formulardaten behoben. Wir danken einem anonymen Rechercheur für die Meldung des Problems.

Wichtig: Informationen zu Produkten, die nicht von Apple hergestellt wurden, werden zu Informationszwecken zur Verfügung gestellt und stellen keine Empfehlung oder Billigung seitens Apple dar. Für weitere Informationen wenden Sie sich bitte an den Hersteller.

Zuletzt geändert: 11.11.2011
Hilfreich?
Ja
Nein
  • Last Modified: 11.11.2011
  • Article: HT3318
  • Views:

    null

Zusätzliche Supportinformationen zum Produkt