Over de beveiligingsinhoud van de iOS 4.2.7-software-update voor de iPhone

In dit document wordt de beveiligingsinhoud van de iOS 4.2.7-software-update beschreven.

In dit document wordt de beveiligingsinhoud van de iOS 4.2.7-software-update beschreven die je kunt downloaden en installeren via iTunes.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.

Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Zie Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

iOS 4.2.7-software-update voor de iPhone

• Certificate Trust Policy

  Beschikbaar voor: iOS 4.2.5 t/m 4.2.6 voor de iPhone 4 (CDMA)

  Impact: een aanvaller in een geprivilegieerde netwerkpositie kan mogelijk inloggegevens of andere vertrouwelijke informatie van gebruikers onderscheppen

  Beschrijving: er zijn verschillende frauduleuze SSL-certificaten verstrekt door een aan Comodo gelieerde registratie-autoriteit. Zo kan een 'man-in-the-middle'-aanvaller verbindingen omleiden en inloggegevens of andere vertrouwelijke informatie van gebruikers onderscheppen. Dit probleem wordt verholpen door de frauduleuze certificaten op de blokkeringslijst te zetten.

  Opmerking: voor Mac OS X-systemen wordt dit probleem verholpen met Beveiligingsupdate 2011-002. Voor Windows-systemen vertrouwt Safari op de certificaatopslag van het hostbesturingssysteem om te bepalen of een SSL-servercertificaat betrouwbaar is. Het toepassen van de update zoals beschreven in Microsoft Knowledge Base-artikel 2524375 leidt ertoe dat Safari deze certificaten als niet-vertrouwd beschouwt. Het artikel is beschikbaar op http://support.microsoft.com/kb/2524375

• QuickLook

  Beschikbaar voor: iOS 4.2.5 t/m 4.2.6 voor de iPhone 4 (CDMA)

  Impact: het bekijken van een kwaadwillig vervaardigd Microsoft Office-bestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

  Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van Microsoft Office-bestanden door QuickLook. Het bekijken van een kwaadwillig vervaardigd Microsoft Office-bestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code.

  CVE-ID

  CVE-2011-1417: Charlie Miller en Dion Blazakis in samenwerking met het Zero Day Initiative van TippingPoint

• WebKit

  Beschikbaar voor: iOS 4.2.5 t/m 4.2.6 voor de iPhone 4 (CDMA)

  Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

  Beschrijving: er was een probleem met een overloop bij gehele getallen bij de verwerking van nodesets. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code.

  CVE-ID

  CVE-2011-1290: Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp Weinmann en een anonieme onderzoeker in samenwerking met het Zero Day Initiative van TippingPoint

• WebKit

  Beschikbaar voor: iOS 4.2.5 t/m 4.2.6 voor de iPhone 4 (CDMA)

  Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

  Beschrijving: er was een use-after-free-probleem bij de verwerking van tekstnodes. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code.

  CVE-ID

  CVE-2011-1344: Vupen Security in samenwerking met het Zero Day Initiative van TippingPoint en Martin Barbella