Over de beveiligingsinhoud van iOS 4.3

In dit document wordt de beveiligingsinhoud van iOS 4.3 beschreven.

In dit document wordt de beveiligingsinhoud van iOS 4.3 beschreven die u kunt downloaden en installeren via iTunes.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple productbeveiliging voor meer informatie over Apple-productbeveiliging.

Raadpleeg ‘Hoe gebruikt u de Apple Product Security PGP-sleutel’ voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg ‘Apple-beveiligingsupdates’ voor meer informatie over andere beveiligingsupdates.

iOS 4.3

  • CoreGraphics

    Beschikbaar voor: iOS 3.0 t/m 4.2.1 voor iPhone 3GS en hoger, iOS 3.1 t/m 4.2.1 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.2.1 voor iPad

    Impact: meerdere kwetsbaarheden in FreeType

    Beschrijving: er waren meerdere kwetsbaarheden in FreeType waarvan de ernstigste konden leiden tot het uitvoeren van willekeurige code bij de verwerking van een kwaadwillig vervaardigd lettertype. Deze problemen worden verholpen door FreeType bij te werken naar versie 2.4.3. Meer informatie is beschikbaar via de FreeType-website op http://www.freetype.org/ .

    CVE-ID

    CVE-2010-3855

  • ImageIO

    Beschikbaar voor: iOS 3.0 t/m 4.2.1 voor iPhone 3GS en hoger, iOS 3.1 t/m 4.2.1 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.2.1 voor iPad

    Impact: het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een bufferoverloop bij de verwerking van JPEG-gecodeerde TIFF-afbeeldingen door libTIFF. Het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

    CVE-ID

    CVE-2011-0191: Apple

  • ImageIO

    Beschikbaar voor: iOS 3.0 t/m 4.2.1 voor iPhone 3GS en hoger, iOS 3.1 t/m 4.2.1 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.2.1 voor iPad

    Impact: het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een bufferoverloop bij de verwerking van CCITT Group 4-gecodeerde TIFF-afbeeldingen door libTIFF. Het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

    CVE-ID

    CVE-2011-0192: Apple

  • libxml

    Beschikbaar voor: iOS 3.0 t/m 4.2.1 voor iPhone 3GS en hoger, iOS 3.1 t/m 4.2.1 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.2.1 voor iPad

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een double free-probleem bij de verwerking van XPath-expressies door libxml. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

    CVE-ID

    CVE-2010-4494: Yang Dingning van NCNIPC, Graduate University of Chinese Academy of Sciences

  • Netwerken

    Beschikbaar voor: iOS 3.0 t/m 4.2.1 voor iPhone 3GS en hoger, iOS 3.1 t/m 4.2.1 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.2.1 voor iPad

    Impact: een server kan mogelijk een apparaat identificeren via verbindingen

    Beschrijving: het door het apparaat gekozen IPv6-adres bevat het MAC-adres van het apparaat wanneer staatloze automatische configuratie van het adres (SLAAC) wordt gebruikt. Een server waarbij IPv6 is ingeschakeld en waarmee contact wordt opgenomen door het apparaat, kan het adres gebruiken om het apparaat op te sporen via verbindingen. Deze update implementeert de IPv6-extensie beschreven in RFC 3041 door het toevoegen van een tijdelijk willekeurig adres dat wordt gebruikt voor uitgaande verbindingen.

  • Safari

    Beschikbaar voor: iOS 3.0 t/m 4.2.1 voor iPhone 3GS en hoger, iOS 3.1 t/m 4.2.1 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.2.1 voor iPad

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan ervoor zorgen dat MobileSafari wordt afgesloten wanneer u het programma opent

    Beschrijving: een kwaadwillig vervaardigde website bevat mogelijk JavaScript dat herhaaldelijk ervoor zorgt dat een ander programma op het apparaat wordt gestart via de URL-handler. Als u deze website bezoekt met MobileSafari, wordt MobileSafari gestopt en het doelprogramma gestart. Deze sequentie gaat verder telkens MobileSafari wordt geopend. Dit probleem wordt verholpen door terug te gaan naar de vorige pagina wanneer Safari opnieuw wordt geopend nadat een ander programma is gestart via de URL-handler.

    CVE-ID

    CVE-2011-0158: Nitesh Dhanjani van Ernst & Young LLP

  • Safari

    Beschikbaar voor: iOS 4.0 t/m 4.2.1 voor iPhone 3GS en hoger, iOS 4.0 t/m 4.2.1 voor iPod touch (3e generatie) en hoger, iOS 4.2 t/m 4.2.1 voor iPad

    Impact: het wissen van cookies in de instellingen van Safari heeft mogelijk geen effect

    Beschrijving: in sommige gevallen heeft het wissen van cookies via de instellingen van Safari geen effect wanneer Safari is geopend. Dit probleem wordt verholpen door een verbeterde verwerking van cookies. Dit probleem is niet van invloed op systemen ouder dan iOS 4.0.

    CVE-ID

    CVE-2011-0159: Erik Wong van Google Inc.

  • WebKit

    Beschikbaar voor: iOS 3.0 t/m 4.2.1 voor iPhone 3GS en hoger, iOS 3.1 t/m 4.2.1 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.2.1 voor iPad

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er zijn meerdere problemen met geheugenbeschadiging in WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

    CVE-ID

    CVE-2010-1792

    CVE-2010-1824: kuzzcc en wushi van team509 in samenwerking met het Zero Day Initiative van TippingPoint

    CVE-2011-0111: Sergey Glazunov

    CVE-2011-0112: Yuzo Fujishima van Google Inc.

    CVE-2011-0113: Andreas Kling van Nokia

    CVE-2011-0114: Chris Evans van Google Chrome Security Team

    CVE-2011-0115: J23 in samenwerking met het Zero Day Initiative van TippingPoint en Emil A Eklund van Google, Inc.

    CVE-2011-0116: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van TippingPoint

    CVE-2011-0117: Abhishek Arya (Inferno) van Google, Inc.

    CVE-2011-0118: Abhishek Arya (Inferno) van Google, Inc.

    CVE-2011-0119: Abhishek Arya (Inferno) van Google, Inc.

    CVE-2011-0120: Abhishek Arya (Inferno) van Google, Inc.

    CVE-2011-0121: Abhishek Arya (Inferno) van Google, Inc.

    CVE-2011-0122: Slawomir Blazek

    CVE-2011-0123: Abhishek Arya (Inferno) van Google, Inc.

    CVE-2011-0124: Yuzo Fujishima van Google Inc.

    CVE-2011-0125: Abhishek Arya (Inferno) van Google, Inc.

    CVE-2011-0126: Mihai Parparita van Google, Inc.

    CVE-2011-0127: Abhishek Arya (Inferno) van Google, Inc.

    CVE-2011-0128: David Bloom

    CVE-2011-0129: Famlam

    CVE-2011-0130: Apple

    CVE-2011-0131: wushi van team509

    CVE-2011-0132: wushi van team509 in samenwerking met het Zero Day Initiative van TippingPoint

    CVE-2011-0133: wushi van team509 in samenwerking met het Zero Day Initiative van TippingPoint

    CVE-2011-0134: Jan Tosovsky

    CVE-2011-0135: een anonieme melder

    CVE-2011-0136: Sergey Glazunov

    CVE-2011-0137: Sergey Glazunov

    CVE-2011-0138: kuzzcc

    CVE-2011-0140: Sergey Glazunov

    CVE-2011-0141: Chris Rohlf van Matasano Security

    CVE-2011-0142: Abhishek Arya (Inferno) van Google, Inc.

    CVE-2011-0143: Slawomir Blazek en Sergey Glazunov

    CVE-2011-0144: Emil A Eklund van Google, Inc.

    CVE-2011-0145: Abhishek Arya (Inferno) van Google, Inc.

    CVE-2011-0146: Abhishek Arya (Inferno) van Google, Inc.

    CVE-2011-0147: Dirk Schulze

    CVE-2011-0148: Michal Zalewski van Google, Inc.

    CVE-2011-0149: wushi van team509 in samenwerking met het Zero Day Initiative van TippingPoint en SkyLined van Google Chrome Security Team

    CVE-2011-0150: Michael Gundlach van safariadblock.com

    CVE-2011-0151: Abhishek Arya (Inferno) van Google, Inc.

    CVE-2011-0152: SkyLined van Google Chrome Security Team

    CVE-2011-0153: Abhishek Arya (Inferno) van Google, Inc.

    CVE-2011-0154: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van TippingPoint

    CVE-2011-0155: Aki Helin van OUSPG

    CVE-2011-0156: Abhishek Arya (Inferno) van Google, Inc.

    CVE-2011-0157: Benoit Jacob van Mozilla

    CVE-2011-0168: Sergey Glazunov

  • WebKit

    Beschikbaar voor: iOS 3.0 t/m 4.2.1 voor iPhone 3GS en hoger, iOS 3.1 t/m 4.2.1 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.2.1 voor iPad

    Impact: de inloggegevens voor een basisidentiteitscontrole via HTTP worden mogelijk onbedoeld vrijgegeven aan een andere site

    Beschrijving: als een site gebruik maakt van een basisidentiteitscontrole via HTTP en doorstuurt naar een andere site, kunnen de inloggegevens van de identiteitscontrole worden verstuurd naar de andere site. Dit probleem wordt verholpen door een verbeterde verwerking van inloggegevens.

    CVE-ID

    CVE-2011-0160: McIntosh Cooey van Twelve Hundred Group, Harald Hanche-Olsen, Chuck Hohn van 1111 Internet LLC in samenwerking met CERT en Paul Hinze van Braintree

  • WebKit

    Beschikbaar voor: iOS 3.0 t/m 4.2.1 voor iPhone 3GS en hoger, iOS 3.1 t/m 4.2.1 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.2.1 voor iPad

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot cross-site style-declaraties

    Beschrijving: er was een ‘cross-origin’-probleem bij de verwerking van de Attr.style accessor door WebKit. Een bezoek aan een kwaadwillig vervaardigde website zorgt er mogelijk voor dat de site CSS in andere documenten aanbrengt. Dit probleem wordt verholpen door de Attr.style accessor te verwijderen.

    CVE-ID

    CVE-2011-0161: Apple

  • WebKit

    Beschikbaar voor: iOS 3.0 t/m 4.2.1 voor iPhone 3GS en hoger, iOS 3.1 t/m 4.2.1 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.2.1 voor iPad

    Impact: een kwaadwillig vervaardigde website kan verhinderen dat andere sites bepaalde bronnen opvragen

    Beschrijving: er was een probleem met cachebeschadiging bij de verwerking van bronnen in de cache door WebKit. Een kwaadwillig vervaardigde website kan verhinderen dat andere sites bepaalde bronnen opvragen. Dit probleem wordt verholpen door een verbeterde typecontrole.

    CVE-ID

    CVE-2011-0163: Apple

  • Wi-Fi

    Beschikbaar voor: iOS 3.0 t/m 4.2.1 voor iPhone 3GS en hoger, iOS 3.1 t/m 4.2.1 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.2.1 voor iPad

    Impact: een aanvaller kan bij een W-Fi-verbinding in hetzelfde netwerk ervoor zorgen dat een apparaat opnieuw wordt ingesteld

    Beschrijving: er was een probleem met bounds checking bij de verwerking van Wi-Fi-frames. Een aanvaller kan bij een W-Fi-verbinding in hetzelfde netwerk ervoor zorgen dat een apparaat opnieuw wordt ingesteld.

    CVE-ID

    CVE-2011-0162: Scott Boyd van ePlus Technology, inc.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: