Om säkerhetsinnehållet i iOS 4.3.2-programuppdateringen
I det här dokumentet beskrivs säkerhetsinnehållet i iOS 4.3.2-programuppdateringen.
I det här dokumentet beskrivs säkerhetsinnehållet i iOS 4.3.2-programuppdateringen, som kan hämtas och installeras med iTunes.
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen för Apples Product Security.
Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.
Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.
Mer information om andra säkerhetsuppdateringar finns i Säkerhetsuppdateringar från Apple".
iOS 4.3.2-programuppdatering
Certificate Trust Policy
Tillgängligt för: iOS 3.0 till och med 4.3.1 för iPhone 3GS och senare, iOS 3.1 till och med 4.3.1 för iPod touch (3:e generationen) och senare, iOS 3.2 till och med 4.3.1 för iPad
Effekt: En angripare med en privilegierad nätverksposition kan få tag i inloggningsuppgifter eller annan känslig information
Beskrivning: Flera bedrägliga SSL-certifikat har utfärdats av en registreringsutfärdare som är ett Comodo-koncernbolag. Detta kan leda till att en man-i-mitten-angripare kan omdirigera anslutningar och få tag i inloggningsuppgifter eller annan känslig information. Problemet åtgärdas genom att bedrägliga certifikat hamnar på svartlistan.
Obs! Det här problemet åtgärdas med säkerhetsuppdatering 2011-002 för Mac OS X-system. Windows-system: Certifikatarkivet i värdens operativsystem avgör om ett SSL-servercertifikat ska anses vara tillförlitligt i Safari. Om du uppdaterar enligt Microsofts kunskapsbasartikel 2524375 betraktas dessa certifikat som obetrodda i Safari. Artikeln finns på http://support.microsoft.com/kb/2524375
libxslt
Tillgängligt för: iOS 3.0 till och med 4.3.1 för iPhone 3GS och senare, iOS 3.1 till och med 4.3.1 för iPod touch (3:e generationen) och senare, iOS 3.2 till och med 4.3.1 för iPad
Effekt: Besök på en webbplats med skadligt innehåll kan leda till att adresser på heapen avslöjas
Beskrivning: libxslts implementering av funktionen generate-id() XPath avslöjade heapbuffertens adress. Besök på en webbplats med skadligt innehåll kan leda till att adresser på heapen avslöjas, vilket kan bidra till att kringgå ASLR-skydd (address space layout randomization). Problemet åtgärdas genom generering av ett ID som baseras på skillnaden mellan de två heapbufferternas adresser.
CVE-ID
CVE-2011-0195: Chris Evans på Google Chrome Security Team
QuickLook
Tillgängligt för: iOS 3.0 till och med 4.3.1 för iPhone 3GS och senare, iOS 3.1 till och med 4.3.1 för iPod touch (3:e generationen) och senare, iOS 3.2 till och med 4.3.1 för iPad
Effekt: Visning av en Microsoft Office-fil med skadligt innehåll kan leda till att program oväntat avslutas eller att opålitlig kod körs
Beskrivning: Ett minnesfel förekom i QuickLooks hantering av Microsoft Office-filer. Visning av en uppsåtligt skapad Microsoft Office-fil kan leda till att program avslutas oväntat eller körning av opålitlig kod.
CVE-ID
CVE-2011-1417: Charlie Miller och Dion Blazakis i samarbete med TippingPoints Zero Day Initiative
WebKit
Tillgängligt för: iOS 3.0 till och med 4.3.1 för iPhone 3GS och senare, iOS 3.1 till och med 4.3.1 för iPod touch (3:e generationen) och senare, iOS 3.2 till och med 4.3.1 för iPad
Effekt: Besök på en webbplats med skadligt innehåll kan leda till att program oväntat avslutas eller att opålitlig kod körs
Beskrivning: Det förekom ett heltalsspill i hanteringen av noduppsättningar. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller körning av opålitlig kod.
CVE-ID
CVE-2011-1290: Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp Weinmann och en anonym forskare i samarbete med TippingPoints Zero Day Initiative
WebKit
Tillgängligt för: iOS 3.0 till och med 4.3.1 för iPhone 3GS och senare, iOS 3.1 till och med 4.3.1 för iPod touch (3:e generationen) och senare, iOS 3.2 till och med 4.3.1 för iPad
Effekt: Besök på en webbplats med skadligt innehåll kan leda till att program oväntat avslutas eller att opålitlig kod körs
Beskrivning: Ett UAF-fel förekom i hanteringen av textnoder. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller körning av opålitlig kod.
CVE-ID
CVE-2011-1344: Vupen Security i samarbete med TippingPoints Zero Day Initiative och Martin Barbella
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.