Sprachen

Informationen zum Sicherheitsinhalt des iOS 5-Software-Updates

Dieses Dokument beschreibt den Sicherheitsinhalt des iOS 5 Software Update.

In diesem Dokument wird der Sicherheitsinhalt des iOS 5-Software-Updates beschrieben. Sie können das Update mithilfe von iTunes laden und installieren.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Programmkorrekturen oder Versionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple Produktsicherheit.

Informationen zum Apple PGP-Schlüssel für die Produktsicherheit finden Sie unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates finden Sie unter "Apple-Sicherheitsupdates".

iOS 5-Software-Update

  • CalDAV

    Verfügbar für: iOS 3.0 bis 4.3.5 für das iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für den iPod touch (3. Generation) und neuer, iOS 3.2 bis 4.3.5 für das iPad

    Auswirkung: Ein Angreifer mit einer privilegierten Netzwerkposition kann Berechtigungsnachweise eines Benutzers oder andere sensible Daten von einem CalDAV-Kalenderserver abfangen.

    Beschreibung: CalDAV hat nicht überprüft, ob das vom Server bereitgestellte SSL-Zertifikat vertrauenswürdig ist.

    CVE-ID

    CVE-2011-3253: Leszek Tasiemski von nSense

  • Kalender

    Verfügbar für: iOS 4.2.0 bis 4.3.5 für das iPhone 3GS und iPhone 4, iOS 4.2.0 bis 4.3.5 für den iPod touch (3. Generation) und neuer, iOS 4.2.0 bis 4.3.5 für das iPad

    Auswirkung: Beim Anzeigen einer in böswilliger Absicht erstellten Kalendereinladung kann ein Skript in der lokalen Domain einfügt werden.

    Beschreibung: Beim Verarbeiten von Einladungsnotizen gab es ein Skripteinfügungsproblem. Das Problem wurde durch ein verbessertes Escaping von Sonderzeichen in den Einladungsnotizen behoben. Geräte vor iOS 4.2.0 sind von diesem Problem nicht betroffen.

    CVE-ID

    CVE-2011-3254: Rick Deacon

  • CFNetwork

    Verfügbar für: iOS 3.0 bis 4.3.5 für das iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für den iPod touch (3. Generation) und neuer, iOS 3.2 bis 4.3.5 für das iPad

    Auswirkung: Das Apple ID-Kennwort eines Benutzers kann in einer lokalen Datei protokolliert werden.

    Beschreibung: Apple ID-Benutzername und Kennwort wurden in einer lokalen Datei protokolliert, die von Programmen auf dem System gelesen werden konnte. Dies wurde behoben, indem diese Anmeldedaten nicht mehr protokolliert werden.

    CVE-ID

    CVE-2011-3255: Peter Quade von qdevelop

  • CFNetwork

    Verfügbar für: iOS 3.0 bis 4.3.5 für das iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für den iPod touch (3. Generation) und neuer, iOS 3.2 bis 4.3.5 für das iPad

    Auswirkung: Das Aufrufen einer in böswilliger Absicht erstellten Website kann zur Preisgabe sensitiver Daten führen.

    Beschreibung: Es bestand ein Problem beim Verarbeiten von HTTP-Cookies in CFNetwork. Beim Zugriff auf eine in böswilliger Absicht erstellte HTTP- oder HTTPS-URL konnte CFNetwork fälschlicherweise Cookies für eine Domain an einen Server außerhalb dieser Domain senden.

    CVE-ID

    CVE-2011-3246: Erling Ellingsen von Facebook

  • CoreFoundation

    Verfügbar für: iOS 3.0 bis 4.3.5 für das iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für den iPod touch (3. Generation) und neuer, iOS 3.2 bis 4.3.5 für das iPad

    Auswirkung: Die Anzeige einer in böswilliger Absicht erstellten Website oder E-Mail-Nachricht kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen.

    Beschreibung: Bei der Verarbeitung von String-Tokenisierungen gab es einen Speicherfehler.

    CVE-ID

    CVE-2011-0259: Apple

  • CoreGraphics

    Verfügbar für: iOS 3.0 bis 4.3.5 für das iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für den iPod touch (3. Generation) und neuer, iOS 3.2 bis 4.3.5 für das iPad

    Auswirkung: Das Anzeigen eines Dokuments, das einen in böswilliger Absicht erstellten Zeichensatz enthält, kann zur Ausführung willkürlichen Codes führen.

    Beschreibung: In FreeType trat ein Speicherfehler auf, der im schlimmsten Fall zur Ausführung willkürlichen Codes bei der Verarbeitung eines in böswilliger Absicht erstellten Zeichensatzes führen kann.

    CVE-ID

    CVE-2011-3256: Apple

  • CoreMedia

    Verfügbar für: iOS 3.0 bis 4.3.5 für das iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für den iPod touch (3. Generation) und neuer, iOS 3.2 bis 4.3.5 für das iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zur ungewollten Preisgabe von Videodaten einer anderen Website führen.

    Beschreibung: Bei der Verarbeitung von Cross-Site-Umleitungen in CoreMedia bestand ein Cross-Origin-Problem. Das Problem wird durch ein verbessertes Origin-Tracking behoben.

    CVE-ID

    CVE-2011-0187: Nirankush Panchbhai und Microsoft Vulnerability Research (MSVR)

  • Datenzugriff

    Verfügbar für: iOS 3.0 bis 4.3.5 für das iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für den iPod touch (3. Generation) und neuer, iOS 3.2 bis 4.3.5 für das iPad

    Auswirkung: Ein Problem mit der Cookieverwaltung in Exchange-Mail kann fälschlicherweise zu einer Datensynchronisation zwischen verschiedenen Accounts führen.

    Beschreibung: Wenn mehrere Exchange-Mail-Accounts konfiguriert werden, die mit demselben Server verbunden sind, kann eine Sitzung möglicherweise einen gültigen Cookie erhalten, der sich auf einen anderen Account bezieht. Dieses Problem wurde dadurch behoben, dass Cookies zwischen verschiedenen Accounts getrennt werden.

    CVE-ID

    CVE-2011-3257: Bob Sielken von IBM

  • Datensicherheit

    Verfügbar für: iOS 3.0 bis 4.3.5 für das iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für den iPod touch (3. Generation) und neuer, iOS 3.2 bis 4.3.5 für das iPad

    Auswirkung: Ein Angreifer mit einer privilegierten Netzwerkposition kann Anmeldedaten eines Benutzers oder andere sensible Daten abfangen.

    Beschreibung: Mehrere von DigiNotar betriebene Zertifizierungsinstanzen haben gefälschte Zertifikate ausgegeben. Dieses Problem wurde behoben, indem DigiNotar aus der Liste der vertrauenswürdigen Root-Zertifikate und der Liste der EV-Zertifizierungsinstanzen (Extended Validation) entfernt wurde und indem die -Standard-Systemeinstellung für die Vertrauenswürdigkeit so konfiguriert wurde, dass Zertifikate von DigiNotar, einschließlich der von anderen Instanzen ausgegebenen Zertifikate, abgelehnt werden.

  • Datensicherheit

    Verfügbar für: iOS 3.0 bis 4.3.5 für das iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für den iPod touch (3. Generation) und neuer, iOS 3.2 bis 4.3.5 für das iPad

    Auswirkung: Die Unterstützung von X.509-Zertifikaten mit MD5-Hashes kann im Zuge der Weiterentwicklung von Angriffen Benutzer der Gefahr von Spoofing und Datenpreisgabe aussetzen.

    Beschreibung: Zertifikate, die mit dem MD5-Hash-Algorithmus signiert sind, wurden von iOS akzeptiert. Dieser Algorithmus verfügt über bekannte kryptografische Schwachstellen. Ausgedehnte Untersuchungen dieser Schwachstelle oder eine falsch konfigurierte Zertifikatstelle hätten die Erstellung eines X.509-Zertifikats mit vom Angreifer gesteuerten Werten ermöglichen können, die vom System als vertrauenswürdig eingestuft worden wären. Dies hätte auf X.509 basierende Protokolle der Gefahr von Spoofing, Man-in-the-Middle-Angriffen und Datenpreisgabe ausgesetzt. Mit diesem Update wird die Unterstützung für ein X.509-Zertifikat mit einem MD5-Hash für jede Verwendung bis auf die Verwendung als vertrauenswürdiges Root-Zertifikat deaktiviert.

    CVE-ID

    CVE-2011-3427

  • Datensicherheit

    Verfügbar für: iOS 3.0 bis 4.3.5 für das iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für den iPod touch (3. Generation) und neuer, iOS 3.2 bis 4.3.5 für das iPad

    Auswirkung: Ein Angreifer könnte einen Teil einer SSL-Verbindung entschlüsseln.

    Beschreibung: Nur die SSL-Versionen SSLv3 und TLS 1.0 wurden bislang unterstützt. Diese Versionen unterliegen bei der Nutzung von Blockverschlüsselungen einer Protokollschwachstelle. Ein Man-in-the-Middle-Angreifer hätte ungültige Daten einspeisen können, die ein Schließen der Verbindung, aber auch das Offenlegen von Informationen über frühere Daten verursacht hätten. Wenn mehrmals versucht wurde, dieselbe Verbindung herzustellen, war der Angreifer möglicherweise in der Lage, die gesendeten Daten, wie z. B. ein Kennwort, zu entschlüsseln. Das Problem wurde behoben, indem eine Unterstützung für TLS 1.2 hinzugefügt wurde.

    CVE-ID

    CVE-2011-3389

  • Home-Bildschirm

    Verfügbar für: iOS 3.0 bis 4.3.5 für das iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für den iPod touch (3. Generation) und neuer, iOS 3.2 bis 4.3.5 für das iPad

    Auswirkung: Das Wechseln zwischen verschiedenen Programmen kann zur Offenlegung sensibler Programmdaten führen.

    Beschreibung: Beim Wechsel zwischen Programmen mithilfe der Vier-Finger-Geste konnte das Display den vorherigen Status des Programms preisgegeben. Dieses Problem wird behoben, indem sichergestellt wird, dass das System die Methode applicationWillResignActive: beim Übergang zwischen den Programmen richtig aufruft.

    CVE-ID

    CVE-2011-3431: Abe White von Hedonic Software Inc.

  • ImageIO

    Verfügbar für: iOS 3.0 bis 4.3.5 für das iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für den iPod touch (3. Generation) und neuer, iOS 3.2 bis 4.3.5 für das iPad

    Auswirkung: Das Anzeigen eines in böswilliger Absicht erstellten TIFF-Bildes kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen.

    Beschreibung: Die Verarbeitung von CCITT Group 4-codierten TIFF-Bildern durch libTIFF konnte zu einem Pufferüberlauf führen.

    CVE-ID

    CVE-2011-0192: Apple

  • ImageIO

    Verfügbar für: iOS 3.0 bis 4.3.5 für das iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für den iPod touch (3. Generation) und neuer, iOS 3.2 bis 4.3.5 für das iPad

    Auswirkung: Das Anzeigen eines in böswilliger Absicht erstellten TIFF-Bildes kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen.

    Beschreibung: Die Verarbeitung von CCITT Group 4-codierten TIFF-Bildern durch ImageIO konnte zu einem Stapelpufferüberlauf führen.

    CVE-ID

    CVE-2011-0241: Cyril CATTIAUX von Tessi Technologies

  • Internationale Komponenten für Unicode

    Verfügbar für: iOS 3.0 bis 4.3.5 für das iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für den iPod touch (3. Generation) und neuer, iOS 3.2 bis 4.3.5 für das iPad

    Auswirkung: Programme, die ICU verwenden, können anfällig für die Ausführung willkürlichen Codes oder eine unerwartete Programmbeendigung sein.

    Beschreibung: Beim Erstellen von Sortierungsschlüsseln in ICU für lange Zeichenfolgen, die hauptsächlich aus Großbuchstaben bestehen, bestand ein Pufferüberlaufproblem.

    CVE-ID

    CVE-2011-0206: David Bienvenu von Mozilla

  • Kernel

    Verfügbar für: iOS 3.0 bis 4.3.5 für das iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für den iPod touch (3. Generation) und neuer, iOS 3.2 bis 4.3.5 für das iPad

    Auswirkung: Ein Remote-Angreifer kann ein Zurücksetzen des Geräts verursachen.

    Beschreibung: Der Kernel konnte den Speicher von fehlerhaften TCP-Verbindungen nicht unverzüglich zurückgewinnen. Ein Angreifer mit der Fähigkeit, eine Verbindung zu einem Listening-Dienst auf einem iOS-Gerät herzustellen, konnte Systemressourcen erschöpfen.

    CVE-ID

    CVE-2011-3259: Wouter van der Veer von Topicus I&I und Josh Enders

  • Kernel

    Verfügbar für: iOS 3.0 bis 4.3.5 für das iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für den iPod touch (3. Generation) und neuer, iOS 3.2 bis 4.3.5 für das iPad

    Auswirkung: Ein lokaler Benutzer könnte das System unerwartet zurücksetzen.

    Beschreibung: Bei der Verarbeitung von IPv6-Socket-Optionen gab es ein Problem mit einem Nullverweis.

    CVE-ID

    CVE-2011-1132: Thomas Clement von Intego

  • Tastaturen

    Verfügbar für: iOS 3.0 bis 4.3.5 für das iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für den iPod touch (3. Generation) und neuer, iOS 3.2 bis 4.3.5 für das iPad

    Auswirkung: Ein Benutzer könnte Informationen über das letzte Zeichen eines Passworts ermitteln.

    Beschreibung: Die Tastatur, über die das letzte Zeichen eines Kennworts eingegeben wurde, wurde kurz angezeigt, wenn die Tastatur beim nächsten Mal verwendet wurde.

    CVE-ID

    CVE-2011-3245: Paul Mousdicas

  • libxml

    Verfügbar für: iOS 3.0 bis 4.3.5 für das iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für den iPod touch (3. Generation) und neuer, iOS 3.2 bis 4.3.5 für das iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder der Ausführung willkürlichen Codes führen.

    Beschreibung: Die Verarbeitung von XML-Daten in libxml führte zu einem Ein-Byte-Stapelpufferüberlauf.

    CVE-ID

    CVE-2011-0216: Billy Rios vom Google-Sicherheitsteam

  • OfficeImport

    Verfügbar für: iOS 3.0 bis 4.3.5 für das iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für den iPod touch (3. Generation) und neuer, iOS 3.2 bis 4.3.5 für das iPad

    Auswirkung: Das Öffnen einer in böswilliger Absicht erstellten Word-Datei kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen.

    Beschreibung: Bei der Verarbeitung von Microsoft Word-Dokumenten in OfficeImport konnte es zu einem Pufferüberlauf kommen.

    CVE-ID

    CVE-2011-3260: Tobias Klein in Zusammenarbeit mit VeriSign iDefense Labs

  • OfficeImport

    Verfügbar für: iOS 3.0 bis 4.3.5 für das iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für den iPod touch (3. Generation) und neuer, iOS 3.2 bis 4.3.5 für das iPad

    Auswirkung: Das Anzeigen einer in böser Absicht erstellten Excel-Datei kann zu einer unerwarteten Programmbeendigung oder der Ausführung willkürlichen Codes führen.

    Beschreibung: Bei der Verarbeitung von Excel-Dateien in OfficeImport konnte es zu einem Double-Free-Problem kommen.

    CVE-ID

    CVE-2011-3261: Tobias Klein von www.trapkit.de

  • OfficeImport

    Verfügbar für: iOS 3.0 bis 4.3.5 für das iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für den iPod touch (3. Generation) und neuer, iOS 3.2 bis 4.3.5 für das iPad

    Auswirkung: Das Laden einer in böswilliger Absicht erstellten Microsoft Office-Datei kann zu einer unerwarteten Programmbeendigung oder der Ausführung willkürlichen Codes führen.

    Beschreibung: Bei der Verarbeitung von Microsoft Office-Dateien in OfficeImport kam es zu Speicherfehlern.

    CVE-ID

    CVE-2011-0208: Tobias Klein in Zusammenarbeit mit iDefense VCP

  • OfficeImport

    Verfügbar für: iOS 3.0 bis 4.3.5 für das iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für den iPod touch (3. Generation) und neuer, iOS 3.2 bis 4.3.5 für das iPad

    Auswirkung: Das Laden einer in böswilliger Absicht erstellten Excel-Datei kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen.

    Beschreibung: Bei der Verarbeitung von Excel-Dateien in OfficeImport kam es zu Speicherfehlern.

    CVE-ID

    CVE-2011-0184: Tobias Klein in Zusammenarbeit mit iDefense VCP

  • Safari

    Verfügbar für: iOS 3.0 bis 4.3.5 für das iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für den iPod touch (3. Generation) und neuer, iOS 3.2 bis 4.3.5 für das iPad

    Auswirkung: Das Öffnen von in böswilliger Absicht erstellten Dateien auf bestimmten Websites kann zu Cross-Site-Scripting-Angriffen führen.

    Beschreibung: iOS unterstützte den Wert "Anhang" für den HTTP-Content-Disposition-Header nicht. Dieser Header wird von vielen Websites verwendet, um Dateien zu bereitzustellen, die von der Website eines Dritten hochgeladen wurden, beispielsweise Anhänge aus webbasierten E-Mail-Programmen. Jedes Skript in einer Datei, die mit diesem Headerwert bereitgestellt wurde, wird so ausgeführt, als ob die Datei inline bereitgestellt worden wäre, mit vollständigem Zugriff auf andere Ressourcen auf dem Ursprungsserver. Dieses Problem wird behoben, indem die Anhänge in einen isolierten Sicherheitsursprung ohne Zugriff auf Ressourcen anderer Websites geladen werden.

    CVE-ID

    CVE-2011-3426: Christian Matthies in Zusammenarbeit mit iDefense VCP, Yoshinori Oota von Business Architects Inc. in Zusammenarbeit mit JP/CERT

  • Einstellungen

    Verfügbar für: iOS 3.0 bis 4.3.5 für das iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für den iPod touch (3. Generation) und neuer, iOS 3.2 bis 4.3.5 für das iPad

    Auswirkung: Ein Angreifer mit physischem Zugang zu einem Gerät könnte den Einschränkungs-Code wiederherstellen.

    Beschreibung: Die Kindersicherungsfunktion bewirkt Einschränkungen der Benutzeroberfläche (UI). Die Konfiguration der Kindersicherung ist durch ein Kennwort geschützt, das zuvor in Klartext auf der Festplatte gesichert wurde. Das Problem wird behoben, indem das Kennwort für die Kindersicherung sicher im Systemschlüsselbund gespeichert wird.

    CVE-ID

    CVE-2011-3429: Anonymer Benutzer

  • Einstellungen

    Verfügbar für: iOS 3.0 bis 4.3.5 für das iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für den iPod touch (3. Generation) und neuer, iOS 3.2 bis 4.3.5 für das iPad

    Auswirkung: Irreführende UI

    Beschreibung: Konfigurationen und Einstellungen, die über Konfigurationsprofile angewandt wurden, schienen unter anderen Sprachen als Englisch nicht richtig zu funktionieren. Die Einstellungen wurden als Folge nicht richtig angezeigt. Das Problem wird gelöst, indem ein Lokalisierungsfehler behoben wird.

    CVE-ID

    CVE-2011-3430: Florian Kreitmaier von Siemens CERT

  • UIKit Alerts

    Verfügbar für: iOS 3.0 bis 4.3.5 für das iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für den iPod touch (3. Generation) und neuer, iOS 3.2 bis 4.3.5 für das iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zum Stillstand des Geräts führen.

    Beschreibung: Eine übermäßig lange maximale Textlayoutlänge ermöglichte in böswilliger Absicht erstellten Websites, iOS zum Stillstand zu bringen, wenn Annahmedialoge für sehr lange tel:-URIs abgerufen wurden. Dieses Problem wird behoben, indem eine vernünftigere maximale URI-Größe verwendet wird.

    CVE-ID

    CVE-2011-3432: Simon Young von der Anglia Ruskin University

  • WebKit

    Verfügbar für: iOS 3.0 bis 4.3.5 für das iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für den iPod touch (3. Generation) und neuer, iOS 3.2 bis 4.3.5 für das iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen.

    Beschreibung: In WebKit gab es mehrere Speicherfehler.

    CVE-ID

    CVE-2011-0218: SkyLined vom Google Chrome-Sicherheitsteam

    CVE-2011-0221: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam

    CVE-2011-0222: Nikita Tarakanov und Alex Bazhanyuk vom CISS Research Team und Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam

    CVE-2011-0225: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam

    CVE-2011-0232: J23 in Zusammenarbeit mit der Zero Day Initiative von TippingPoint

    CVE-2011-0233: wushi von team509 der Zero Day Initiative von TippingPoint

    CVE-2011-0234: Rob King in Zusammenarbeit mit der Zero Day Initiative von TippingPoint, wushi von team509 in Zusammenarbeit mit der Zero Day Initiative von TippingPoint

    CVE-2011-0235: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam

    CVE-2011-0238: Adam Barth vom Google Chrome-Sicherheitsteam

    CVE-2011-0254: Anonymer Mitarbeiter der Zero Day Initiative von TippingPoint

    CVE-2011-0225: Anonymer Benutzer in Zusammenarbeit mit der Zero Day Initiative von TippingPoint

    CVE-2011-0981: Rik Cabanier von Adobe Systems, Inc

    CVE-2011-0983: Martin Barbella

    CVE-2011-1109: Sergey Glazunov

    CVE-2011-1114: Martin Barbella

    CVE-2011-1115: Martin Barbella

    CVE-2011-1117: wushi von team509

    CVE-2011-1121: miaubiz

    CVE-2011-1188: Martin Barbella

    CVE-2011-1203: Sergey Glazunov

    CVE-2011-1204: Sergey Glazunov

    CVE-2011-1288: Andreas Kling von Nokia

    CVE-2011-1293: Sergey Glazunov

    CVE-2011-1296: Sergey Glazunov

    CVE-2011-1449: Marek Majkowski

    CVE-2011-1451: Sergey Glazunov

    CVE-2011-1453: wushi von team509 in Zusammenarbeit mit der TippingPoint Zero Day Initiative

    CVE-2011-1457: John Knottenbelt von Google

    CVE-2011-1462: wushi von team509

    CVE-2011-1797: wushi von team509

    CVE-2011-2338: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam, unter Verwendung von AddressSanitizer

    CVE-2011-2339: Cris Neckar vom Google Chrome-Sicherheitsteam

    CVE-2011-2341: wushi von team509 in Zusammenarbeit mit Verisign iDefense Labs

    CVE-2011-2351: miaubiz

    CVE-2011-2352: Apple

    CVE-2011-2354: Apple

    CVE-2011-2356: Adam Barth und Abhishek Arya vom Google Chrome-Sicherheitsteam, unter Verwendung von AddressSanitizer

    CVE-2011-2359: miaubiz

    CVE-2011-2788: Mikolaj Malecki von Samsung

    CVE-2011-2790: miaubiz

    CVE-2011-2792: miaubiz

    CVE-2011-2797: miaubiz

    CVE-2011-2799: miaubiz

    CVE-2011-2809: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam

    CVE-2011-2813: Cris Neckar vom Google Chrome-Sicherheitsteam, unter Verwendung von AddressSanitizer

    CVE-2011-2814: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam, unter Verwendung von AddressSanitizer

    CVE-2011-2816: Apple

    CVE-2011-2817: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam, unter Verwendung von AddressSanitizer

    CVE-2011-2818: Martin Barbella

    CVE-2011-2820: Raman Tenneti und Philip Rogers von Google

    CVE-2011-2823: SkyLined vom Google Chrome-Sicherheitsteam

    CVE-2011-2827: miaubiz

    CVE-2011-2831: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam, unter Verwendung von AddressSanitizer

    CVE-2011-3232: Aki Helin von OUSPG

    CVE-2011-3234: miaubiz

    CVE-2011-3235: Dimitri Glazkov, Kent Tamura, Dominic Cooney von der Chromium-Entwicklergemeinde und Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam

    CVE-2011-3236: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam, unter Verwendung von AddressSanitizer

    CVE-2011-3237: Dimitri Glazkov, Kent Tamura, Dominic Cooney von der Chromium-Entwicklergemeinde und Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam

    CVE-2011-3244: vkouchna

  • WebKit

    Verfügbar für: iOS 3.0 bis 4.3.5 für das iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für den iPod touch (3. Generation) und neuer, iOS 3.2 bis 4.3.5 für das iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu Cross-Site-Scripting-Angriffen führen.

    Beschreibung: Bei der Verarbeitung von URLs mit einem eingebetteten Benutzernamen kam es zu einem Cross-Origin-Problem. Dieses Problem wird durch eine verbesserte Verarbeitung von URLs mit einem eingebetteten Benutzernamen behoben.

    CVE-ID

    CVE-2011-0242: Jobert Abma von Online24

  • WebKit

    Verfügbar für: iOS 3.0 bis 4.3.5 für das iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für den iPod touch (3. Generation) und neuer, iOS 3.2 bis 4.3.5 für das iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu Cross-Site-Scripting-Angriffen führen.

    Beschreibung: Bei der Verarbeitung von DOM-Knoten kam es zu einem Cross-Origin-Problem.

    CVE-ID

    CVE-2011-1295: Sergey Glazunov

  • WebKit

    Verfügbar für: iOS 3.0 bis 4.3.5 für das iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für den iPod touch (3. Generation) und neuer, iOS 3.2 bis 4.3.5 für das iPad

    Auswirkung: Eine in böswilliger Absicht erstellte Website kann verursachen, dass in der Adresszeile eine andere URL angezeigt wird.

    Beschreibung: Bei der Verarbeitung des DOM-Verlaufsobjekts gab es ein URL-Spoofing-Problem.

    CVE-ID

    CVE-2011-1107: Jordi Chancel

  • WebKit

    Verfügbar für: iOS 3.0 bis 4.3.5 für das iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für den iPod touch (3. Generation) und neuer, iOS 3.2 bis 4.3.5 für das iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zur Ausführung willkürlichen Codes führen.

    Beschreibung: Bei der Verwendung von libxslt in WebKit gab es ein Konfigurationsproblem. Der Besuch einer in böswilliger Absicht erstellten Website konnte dazu führen, dass beliebige Dateien mit den Rechten des Benutzers erstellt wurden, was wiederum zur Ausführung willkürlichen Codes führen konnte. Das Problem wird durch verbesserte libxslt-Sicherheitseinstellungen behoben.

    CVE-ID

    CVE-2011-1774: Nicolas Gregoire von Agarri

  • WebKit

    Verfügbar für: iOS 3.0 bis 4.3.5 für das iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für den iPod touch (3. Generation) und neuer, iOS 3.2 bis 4.3.5 für das iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website und das Ziehen von Inhalten auf dieser Seite können zur ungewollten Preisgabe von Daten führen.

    Beschreibung: Bei der Verarbeitung der Drag-and-Drop-Funktion von HTML5 in WebKit gab es ein Cross-Origin-Problem. Dieses Problem wird behoben, indem das Ziehen und Ablegen zwischen verschiedenen Origins nicht mehr zugelassen wird.

    CVE-ID

    CVE-2011-0166: Michal Zalewski von Google, Inc.

  • WebKit

    Verfügbar für: iOS 3.0 bis 4.3.5 für das iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für den iPod touch (3. Generation) und neuer, iOS 3.2 bis 4.3.5 für das iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zur ungewollten Preisgabe von Daten führen.

    Beschreibung: Bei der Verarbeitung von Web Workers gab es ein Cross-Origin-Problem.

    CVE-ID

    CVE-2011-1190: Daniel Divricean von divricean.ro

  • WebKit

    Verfügbar für: iOS 3.0 bis 4.3.5 für das iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für den iPod touch (3. Generation) und neuer, iOS 3.2 bis 4.3.5 für das iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu Cross-Site-Scripting-Angriffen führen.

    Beschreibung: Bei der Verarbeitung der Window.open-Methode gab es ein Cross-Origin-Problem.

    CVE-ID

    CVE-2011-2805: Sergey Glazunov

  • WebKit

    Verfügbar für: iOS 3.0 bis 4.3.5 für das iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für den iPod touch (3. Generation) und neuer, iOS 3.2 bis 4.3.5 für das iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu Cross-Site-Scripting-Angriffen führen.

    Beschreibung: Bei der Verarbeitung inaktiver DOM-Fenster gab es ein Cross-Origin-Problem.

    CVE-ID

    CVE-2011-3243: Sergey Glazunov

  • WebKit

    Verfügbar für: iOS 3.0 bis 4.3.5 für das iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für den iPod touch (3. Generation) und neuer, iOS 3.2 bis 4.3.5 für das iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu Cross-Site-Scripting-Angriffen führen.

    Beschreibung: Bei der Verarbeitung der document.documentURI-Eigenschaft gab es ein Cross-Origin-Problem.

    CVE-ID

    CVE-2011-2819: Sergey Glazunov

  • WebKit

    Verfügbar für: iOS 3.0 bis 4.3.5 für das iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für den iPod touch (3. Generation) und neuer, iOS 3.2 bis 4.3.5 für das iPad

    Auswirkung: Eine in böser Absicht erstellte Website kann die URLs mitverfolgen, die ein Benutzer innerhalb eines Frames besucht.

    Beschreibung: Bei der Verarbeitung des Beforeload-Ereignisses gab es ein Cross-Origin-Problem.

    CVE-ID

    CVE-2011-2800: Juho Nurminen

  • WLAN

    Verfügbar für: iOS 3.0 bis 4.3.5 für das iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für den iPod touch (3. Generation) und neuer, iOS 3.2 bis 4.3.5 für das iPad

    Auswirkung: WLAN-Anmeldedaten können in einer lokalen Datei gesichert werden.

    Beschreibung: Die WLAN-Anmeldedaten, inklusive Kennwort und Verschlüsselungsschlüssel, wurden in einer lokalen Datei gesichert, die von Programmen auf dem System gelesen werden konnten. Dieses Problem wurde behoben, indem diese Anmeldedaten nicht mehr protokolliert werden.

    CVE-ID

    CVE-2011-3434: Laurent OUDOT von TEHTRI Security

 

Wichtig: Der Hinweis auf Websites und Produkte Dritter dient ausschließlich informativen Zwecken und ist weder als Billigung noch als Empfehlung zu verstehen Apple übernimmt keine Verantwortung in Bezug auf die Auswahl, Leistung oder Verwendung von Informationen oder Produkten, die auf Websites Dritter angeboten werden. Apple stellt seinen Kunden diese Informationen nur als Serviceleistung zur Verfügung. Apple hat die Informationen, die auf diesen Sites angeboten werden, nicht geprüft und macht keine Angaben in Bezug auf deren Korrektheit und Zuverlässigkeit. Die Verwendung aller Informationen und Produkte, die im Internet angeboten werden, unterliegt bestimmten Risiken; Apple übernimmt diesbezüglich keine Verantwortung. Bitte haben Sie Verständnis dafür, dass Websites Dritter von Apple unabhängig sind und dass Apple keine Kontrolle über den Inhalt dieser Websites hat. Für weitere Informationen wenden Sie sich bitte an den Hersteller.

Wichtig: Informationen zu Produkten, die nicht von Apple hergestellt wurden, werden zu Informationszwecken zur Verfügung gestellt und stellen keine Empfehlung oder Billigung seitens Apple dar. Für weitere Informationen wenden Sie sich bitte an den Hersteller.

Zuletzt geändert: 05.06.2012
Hilfreich?
Ja
Nein
  • Last Modified: 05.06.2012
  • Article: HT4999
  • Views:

    null

Zusätzliche Supportinformationen zum Produkt