Om säkerhetsinnehållet i iPhone OS 2.2 och iPhone OS för iPod touch 2.2

  • Senast ändrad: 22 november, 2008
  • Artikel: HT3318

Översikt

Det här dokumentet beskriver säkerhetsinnehållet i iPhone OS 2.2 och iPhone OS för iPod touch 2.2.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har utförts och alla nödvändiga buggfix eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen Apple Product Security.

Information om Apples PGP-nyckel för produktsäkerhet finns i "How to use the Apple Product Security PGP Key".

Om möjligt används CVE-ID:n som referenser till ytterligare information om sårbarheterna.

Mer information om andra säkerhetsuppdateringar finns på "Apple Security Updates".

Berörda produkter

Produktsäkerhet

iPhone OS 2.2 och iPhone OS för iPod touch 2.2

  • CoreGraphics

    CVE-ID: CVE-2008-2321

    Tillgängligt för: iPhone OS 1.0 till 2.1, iPhone OS för iPod touch 1.1 till 2.1

    Inverkan: Besök på en uppsåtligt skapad webbplats kan leda till oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Problem med minneskorruption förekommer i CoreGraphics vid bearbetning av argument. Inmatning av opålitlig data till CoreGraphics via ett program, t.ex. en webbläsare, kan leda till oväntad programavslutning eller exekvering av opålitlig kod. Den här uppdateringen åtgärdar problemet genom att förbättra gränskontrollerna. Tack till Michal Zalewski på Google som rapporterade problemet.

  • ImageIO

    CVE-ID: CVE-2008-2327

    Tillgängligt för: iPhone OS 1.0 till 2.1, iPhone OS för iPod touch 1.1 till 2.1

    Inverkan: Visning av en TIFF-bild med skadligt innehåll kan leda till oväntad programavslutning eller exekvering av opålitlig kod

    Beskrivning: Det förekommer ett flertal problem med ej initierad minnesåtkomst i libTIFF:s hantering av LZW-kodade TIFF-bilder. Visning av en TIFF-bild med skadligt innehåll kan leda till oväntad programavslutning eller exekvering av opålitlig kod. Den hör uppdateringen åtgärdar problemet genom korrekt initiering och ytterligare kontroll av TIFF-bilder.

  • ImageIO

    CVE-ID: CVE-2008-1586

    Tillgängligt för: iPhone OS 1.0 till 2.1, iPhone OS för iPod touch 1.1 till 2.1

    Inverkan: Visning av en TIFF-bild med skadligt innehåll kan leda till att enheten återställs oväntat

    Beskrivning: Ett problem med att minnet tar slut förekommer i hanteringen av TIFF-bilder. Visning av en TIFF-bild med skadligt innehåll kan leda till att enheten återställs oväntat. Den här uppdateringen åtgärdar problemet genom att begränsa den mängd minne som tilldelas för att öppna en TIFF-bild. Tack till Sergio "Shadown" Alvarez på n.runs AG som rapporterade problemet.

  • Nätverk

    CVE-ID: CVE-2008-4227

    Tillgängligt för: iPhone OS 1.0 till 2.1, iPhone OS för iPod touch 1.1 till 2.1

    Inverkan: Krypteringsnivån för PPTP VPN-anslutningar kan vara lägre än väntat.

    Beskrivning: Krypteringsnivån för PPTP VPN-anslutningar kan återgå till en tidigare lägre nivå. Den här uppdateringen åtgärdar problemet genom att ange korrekta krypteringsinställningar. Tack till Stephen Butler vid University of Illinois i Urbana-Champaign som rapporterade problemet.

  • Office Viewer

    CVE-ID: CVE-2008-4211

    Tillgängligt för: iPhone OS 1.0 till 2.1, iPhone OS för iPod touch 1.1 till 2.1

    Inverkan: Visning av en uppsåtligt skadlig Microsoft Excel-fil kan leda till oväntad programavslutning eller exekvering av opålitlig kod

    Beskrivning: Ett signeringsproblem finns i Office Viewers hantering av kolumner i Microsoft Excel-filer som kan leda till minnesåtkomst utanför intervallet. Visning av en uppsåtligt skadlig Microsoft Excel-fil kan leda till oväntad programavslutning eller exekvering av opålitlig kod Den här uppdateringen åtgärdar problemet genom att se till att de berörda indexvärdena inte är negativa. Medhjälpare: Apple.

  • Lösenkodslås

    CVE-ID: CVE-2008-4228

    Tillgängligt för: iPhone OS 1.0 till 2.1, iPhone OS för iPod touch 1.1 till 2.1

    Inverkan: Nödsamtal är inte begränsade till nödnummer

    Beskrivning: iPhone erbjuder möjligheten att ringa ett nödsamtal när den är låst. För närvarande går det att ringa nödsamtal till vilket nummer som helst. Någon som har fysisk tillgång till en iPhone kan utnyttja funktionen för att ringa godtyckliga samtal på iPhone-ägarens bekostnad. Den här uppdateringen åtgärdar problemet genom att begränsa nödsamtal till en begränsad uppsättning telefonnummer.

  • Lösenkodslås

    CVE-ID: CVE-2008-4229

    Tillgängligt för: iPhone OS 1.0 till 2.1, iPhone OS för iPod touch 1.1 till 2.1

    Inverkan: Om en enhet återställs från en säkerhetskopia kanske inte lösenkodslåset aktiveras igen

    Beskrivning: Funktionen för lösenkodslås har utformats i syfte att bara tillåta att program startas om rätt lösenkod anges. Ett konkurrenstillstånd i hanteringen av enhetsinställningar kan göra att lösenkodslåset tas bort när enheten återställs från en säkerhetskopia. Det kan leda till att någon med fysisk tillgång till enheten kan starta program utan lösenkoden. Den här uppdateringen åtgärdar problemet genom att förbättra systemets förmåga att känna igen saknade inställningar. Problemet påverkar inte tidigare system än iPhone OS 2.0 eller iPhone OS för iPod touch 2.0. Tack till Nolen Scaife som rapporterade problemet.

  • Lösenkodslås

    CVE-ID: CVE-2008-4230

    Tillgängligt för: iPhone OS 1.0 till 2.1, iPhone OS för iPod touch 1.1 till 2.1

    Inverkan: SMS-meddelanden (Short Message Service) kan visas innan lösenkoden anges

    Beskrivning: Om ett SMS-meddelande anländer när nödsamtalsskärmen visas, visas hela SMS-meddelandet även om inställningen "Visa SMS-förhandstitt" är inställd på "Av". Den här uppdateringen åtgärdar problemet genom att i den här situationen bara visa en notis om att SMS-meddelandet har anlänt och inte innehållet i meddelandet.

  • Safari

    CVE-ID: CVE-2008-4231

    Tillgängligt för: iPhone OS 1.0 till 2.1, iPhone OS för iPod touch 1.1 till 2.1

    Effekt: Besök på en uppsåtligt skapad skadlig webbplats kan leda till oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Ett problem med minneskorruption förekommer i hanteringen av HTML-tabellelement. Besök på en uppsåtligt skapad skadlig webbplats kan leda till oväntad programavslutning eller körning av opålitlig kod. Den här uppdateringen åtgärdar problemet genom förbättrad hantering av HTML-tabellelement. Tack till Haifei Li vid Fortinet's FortiGuard Global Security Research Team som rapporterade problemet.

  • Safari

    CVE-ID: CVE-2008-4232

    Tillgängligt för: iPhone OS 1.0 till 2.1, iPhone OS för iPod touch 1.1 till 2.1

    Inverkan: Webbplatser med inbäddade iframe-element kan vara känsliga för förfalskning av användargränssnitt.

    Beskrivning: Safari tillåter att ett iframe-element visar innehåll utanför dess gränser, vilket kan leda till förfalskning av användargränssnitt. Den här uppdateringen åtgärdar problemet genom att inte tillåta att iframe-element visar innehåll utanför sina gränser. Problemet påverkar inte tidigare system än iPhone OS 2.0 eller iPhone OS för iPod touch 2.0. Tack till John Resig vid Mozilla Corporation som rapporterade problemet.

  • Webkit

    CVE-ID: CVE-2008-3644

    Tillgängligt för: iPhone OS 1.0 till 2.1, iPhone OS för iPod touch 1.1 till 2.1

    Inverkan: Känslig information kan visas för någon med fysisk tillgång till en olåst enhet

    Beskrivning: Om automatisk ifyllning av ett fält i ett formulär avaktiveras, kanske det inte hindrar att data i fältet lagras i webbsidescachen. Det kan leda till att känslig information visas för en person som har fysisk tillgång till en olåst enhet. Den här uppdateringen åtgärdar problemet genom att rensa formulärdata korrekt. Tack till en anonym medhjälpare som rapporterade problemet.

Important: Information om produkter som inte tillverkas av Apple tillhandahålls endast i informationssyfte och ska inte betraktas som någon rekommendation från Apple. Kontakta leverantören om du vill veta mer.