Sprachen

Archiviert - Informationen zum Sicherheitsinhalt von iOS 3.1 und iOS 3.1.1 für iPod touch

In diesem Dokument wird der Sicherheitsinhalt von iOS 3.1 und iOS 3.1.1 für iPod touch beschrieben.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Programmkorrekturen oder Versionen verfügbar sind. Nähere Informationen zur Apple Produktsicherheit finden Sie auf der Website Apple Produktsicherheit.

Informationen zum Apple Produktsicherheits-PGP-Schlüssel finden Sie hier: "So verwenden Sie den Apple Produktsicherheits-PGP-Schlüssel".

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsaktualisierungen finden Sie unter "Apple Security Updates".

Dieser Artikel wurde archiviert und wird von Apple nicht mehr aktualisiert.

iOS 3.1 und iOS 3.1.1 für iPod touch

  • CoreAudio

    CVE-ID: CVE-2009-2206

    Verfügbar für: iOS 1.0 bis 3.0.1, iOS für iPod touch 1.1 bis 3.0

    Symptom: Das Öffnen einer in böswilliger Absicht erstellten AAC- oder MP3-Datei führt zum unerwarteten Beenden von Programmen oder zur Ausführung willkürlichen Codes

    Beschreibung: Bei der Verarbeitung von AAC- oder MP3-Dateien tritt ein Heap-Pupperüberlauf auf. Das Öffnen einer in böswilliger Absicht erstellten AAC- oder MP3-Datei führt zum unerwarteten Beenden von Programmen oder zur Ausführung willkürlichen Codes. Mit diesem Update erfolgt eine verbesserte Abgrenzungsüberprüfung, sodass das Problem nicht mehr auftritt. Wir danken Tobias Klein von trapkit.de für die Meldung dieses Problems.

  • Unterstützung für Exchange

    CVE-ID: CVE-2009-2794

    Verfügbar für: iOS 1.0 bis 3.0.1, iOS für iPod touch 1.1 bis 3.0

    Symptom: Eine Person mit physischem Zugang zu einem Gerät kann dieses nach der durch den Exchange-Administrator festgelegten Zeitüberschreitungsdauer möglicherweise verwenden

    Beschreibung: iOS bietet die Möglichkeit, über Dienste zu kommunizieren, die von einem Microsoft Exchange-Server bereitgestellt werden. Ein Administrator eines Exchange-Servers hat die Möglichkeit, die Einstellung "Zeitsperre für maximale Inaktivität" festzulegen. Dadurch muss der Benutzer nach Ablauf der Inaktivitätszeit einen Code eingeben, um die Exchange-Dienste zu verwenden. iOS gestattet einem Benutzer die Festlegung der Einstellung "Code anfordern", für die bis zu 4 Stunden gewählt werden können. Die Einstellung "Zeitsperre für maximale Inaktivität" hat keinen Einfluss auf die Einstellung "Code anfordern". Wenn der Benutzer für die Einstellung "Code anfordern" einen höheren Wert als für die Einstellung "Zeitsperre für maximale Inaktivität" festgelegt hat, verschafft diese Differenz einem dritten Benutzer mit physischem Zugang zu dem Gerät ein Zeitfenster, in dem dieser das Gerät einschließlich aller Exchange-Dienste verwenden kann. Mit dieser Aktualisierung wird das Problem behoben, indem die benutzerdefinierte Auswahl höherer Werte für "Code anfordern" als für die Einstellung "Zeitsperre für maximale Inaktivität" deaktiviert wird. Dieses Problem betrifft ausschließlich das iOS 2.0 und neuer sowie das iOS für iPod touch 2.0 und neuer. Wir danken Allan Steven, Robert Duran, Jeff Beckham of PepsiCo, Joshua Levitsky, Michael Breton von Intel Corporation, Mike Karban von Edward Jones und Steve Moriarty von Agilent Technologies für die Meldung dieses Problems.

  • MobileMail

    CVE-ID: CVE-2009-2207

    Verfügbar für: iOS 1.0 bis 3.0.1, iOS für iPod touch 1.1 bis 3.0

    Symptom: Gelöschte E-Mails sind bei einer Spotlight-Suche weiterhin sichtbar

    Beschreibung: Spotlight findet und ermöglicht den Zugriff auf gelöschte E-Mails in den Mail-Ordnern auf dem Gerät. Dies würde einer Person mit Zugang zu dem Gerät ermöglichen, die gelöschten E-Mails anzuzeigen. Mit dieser Aktualisierung wird das Problem behoben, indem gelöschte E-Mails in den Spotlight-Suchergebnissen nicht angezeigt werden. Dieses Problem betrifft ausschließlich iOS 3.0, iOS 3.0.1 und iOS für iPod touch 3.0. Wir danken Clickwise Software und Tony Kavadias für die Meldung dieses Problems.

  • Wartungszustand

    CVE-ID: CVE-2009-2795

    Verfügbar für: iOS 1.0 bis 3.0.1, iOS für iPod touch 1.1 bis 3.0

    Symptom: Eine Person mit physischem Zugang zu einem gesperrten Gerät hat Zugriff auf die Daten des Benutzers

    Beschreibung: Beim Parsing des Befehls "Wartungszustand" tritt ein Heap-Pupperüberlauf auf. Dies kann Dritten mit physischem Zugang zu dem Gerät die Umgehung des Codes und somit den Zugriff auf die Daten des Benutzers ermöglichen. Mit diesem Update wird das Problem durch eine verbesserte Abgrenzungsüberprüfung behoben.

  • Telefonie

    CVE-ID: CVE-2009-2815

    Verfügbar für: iOS 1.0 bis 3.0.1

    Symptom: Das Empfangen einer in böswilliger Absicht erstellten SMS-Nachricht führt zu einer unerwarteten Dienstunterbrechung

    Beschreibung: Bei der Verarbeitung von SMS-Zustellberichten tritt ein Problem bei der Dereferenz des Nullzeigers auf. Das Empfangen einer in böswilliger Absicht erstellten SMS-Nachricht kann zu einer unerwarteten Dienstunterbrechung führen. Die Aktualisierung behebt dieses Problem durch eine verbesserte Verarbeitung eingehender SMS-Nachrichten. Wir danken Charlie Miller von Independent Security Evaluators und Collin Mulliner von der Technischen Universität Berlin für die Meldung dieses Problems.

  • UIKit

    CVE-ID: CVE-2009-2796

    Verfügbar für: iOS 1.0 bis 3.0.1, iOS für iPod touch 1.1 bis 3.0

    Symptom: Kennwörter sind sichtbar

    Beschreibung: Wenn ein Zeichen in einem Kennwort gelöscht und die Löschung rückgängig gemacht wird, ist das Zeichen für einen kurzen Moment sichtbar. Dies kann einer Person mit physischem Zugang zu dem Gerät ermöglichen, das Kennwort Zeichen für Zeichen zu lesen. Diese Aktualisierung behebt das Problem, indem ein Sichtbarmachen der Zeichen verhindert wird. Das Problem betrifft iOS 3.0 und iOS 3.0.1. Wir danken Abraham Vegh für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2009-2797

    Verfügbar für: iOS 1.0 bis 3.0.1, iOS für iPod touch 1.1 bis 3.0

    Symptom: Benutzernamen oder Kennwörter in URLs können verlinkten Websites offengelegt werden

    Beschreibung: Safari schließt den Benutzernamen und das Kennwort aus der originalen URL in den Referer-Header ein. Dies kann zur Offenlegung vertraulicher Informationen führen. Diese Aktualisierung behebt das Problem, indem Benutzernamen und Kennwörter nicht in Referer-Header eingeschlossen werden. Wir danken James A. T. Rice von Jump Networks Ltd für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2009-1725

    Verfügbar für: iOS 1.0 bis 3.0.1, iOS für iPod touch 1.1 bis 3.0

    Symptom: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung von willkürlichem Code führen

    Beschreibung: Bei der Verarbeitung numerischer Zeichenreferenzen in WebKit tritt ein Speicherfehler auf. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung von willkürlichem Code führen. Das vorliegende Update löst dieses Problem durch eine verbesserte Verarbeitung numerischer Zeichenreferenzen. Wir danken Chris Evans für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2009-1724

    Verfügbar für: iOS 1.0 bis 3.0.1, iOS für iPod touch 1.1 bis 3.0

    Symptom: Der Besuch einer in böswilliger Absicht erstellten Website kann zu Cross-Site-Scripting-Angriffen führen

    Beschreibung: Ein Problem bei der Verarbeitung von übergeordneten oder oberen Objekten in WebKit kann beim Besuch einer in böswilliger Absicht erstellten Website einen Cross-Site-Scripting-Angriff zur Folge haben. Mit dieser Aktualisierung wird das Problem durch die verbesserte Verarbeitung von übergeordneten und oberen Objekten behoben.

  • WebKit

    CVE-ID: CVE-2009-2199

    Verfügbar für: iOS 1.0 bis 3.0.1, iOS für iPod touch 1.1 bis 3.0

    Symptom: Doppelgängerzeichen in einer URL können zur Maskierung einer Website verwendet werden

    Beschreibung: Die IDN-Unterstützung (International Domain Name) und die in Safari integrierten Unicode-Schriftarten können verwendet werden, um URLs zu erstellen, die Doppelgängerzeichen enthalten. Diese können in einer schädlichen Website verwendet werden, um den Benutzer auf eine gefälschte Site zu leiten, die auf den ersten Blick eine legitime Domain aufzuweisen scheint. Mit diesem Update wird das Problem durch eine Ergänzung der WebKit-Liste für bekannte Doppelgängerzeichen behoben. Doppelgängerzeichen werden in der Adressleiste mit Punycode gerendert. Wir danken Chris Weber von Casaba Security, LLC für die Meldung dieses Problems.

Zuletzt geändert: 07.04.2014
Hilfreich?
Ja
Nein
Not helpful Somewhat helpful Helpful Very helpful Solved my problem
Diese Seite drucken
  • Zuletzt geändert: 07.04.2014
  • Artikel: HT3860
  • Aufrufe:

    156333
  • Bewertung:
    • 78.0

    (8 Antworten)

Zusätzliche Supportinformationen zum Produkt