Om sikkerhedsindholdet i opdatering til iPhone v1.0.1
I dette dokument beskrives sikkerhedsindholdet i opdatering til iPhone v1.0.1, som kan downloades og installeres via iTunes som beskrevet nedenfor.
Af hensyn til vores kunders sikkerhed omtaler, diskuterer eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.
Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed kan ses i artiklen "Sådan bruges PGP-nøglen til Apple-produktsikkerhed".
Hvor det er muligt, bruges der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.
Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen "Apple-sikkerhedsopdateringer".
Opdatering til iPhone v1.0.1
Safari
CVE-id: CVE-2007-2400
Fås til: iPhone v1.0
Effekt: Besøg på et skadeligt websted kan tillade scripting på tværs af websteder.
Beskrivelse: Safaris sikkerhedsmodel forhindrer JavaScript på eksterne websider i at ændre sider uden for deres domæne. En konkurrencetilstand for sideopdatering i kombination med HTTP-omdirigering kan muligvis tillade, at JavaScript på én side kan ændre en omdirigeret side. Dette kan tillade, at cookies og sider kan læses eller ændres vilkårligt. Denne opdatering løser problemet ved at foretage rettelser i adgangskontrollen til vinduesegenskaber. Tak til Lawrence Lai, Stan Switzer og Ed Rowe fra Adobe Systems, Inc., som har rapporteret problemet.
Safari
CVE-id: CVE-2007-3944
Fås til: iPhone v1.0
Effekt: Visning af en skadelig webside kan medføre kørsel af vilkårlig kode.
Beskrivelse: Der findes heap-bufferoverløb i PCRE-biblioteket (Perl Compatible Regular Expressions), der bruges af JavaScript-motoren i Safari. En hacker kan muligvis fremkalde problemet, som kan resultere i kørsel af vilkårlig kode, ved at lokke en bruger til at besøge en skadelig webside. Denne opdatering løser problemet ved at udføre yderligere validering af almindelige JavaScript-udtryk. Tak til Charlie Miller og Jake Honoroff fra Independent Security Evaluators, som har rapporteret problemet.
WebCore
CVE-id: CVE-2007-2401
Fås til: iPhone v1.0
Effekt: Besøg på et skadeligt websted kan tillade anmodninger på tværs af websteder.
Beskrivelse: Der findes et problem med HTTP-indsættelse i XMLHttpRequest, når sidehoveder serialiseres til en HTTP-anmodning. En hacker kan muligvis fremkalde problemet med scripting på tværs af websteder ved at lokke en bruger til at besøge en skadelig webside. Denne opdatering løser problemet ved at udføre yderligere validering af parametre i sidehoveder. Tak til Richard Moore fra Westpoint Ltd., som har rapporteret problemet.
WebKit
CVE-id: CVE-2007-3742
Fås til: iPhone v1.0
Effekt: Lignende tegn i en URL-adresse kan bruges til at give sig ud for et websted.
Beskrivelse: Understøttelse af internationale domænenavne (IDN) og Unicode-skrifter, som er indlejret i Safari, kan bruges til at oprette en URL-adresse med tegn, der minder meget om andre tegn. Disse kan bruges på et skadeligt websted til at dirigere brugeren til et forfalsket websted, der visuelt ser ud til at være et legitimt domæne. Denne opdatering løser problemet via forbedret kontrol af et domænenavns gyldighed. Tak til Tomohito Yoshino fra Business Architects Inc., som har rapporteret problemet.
WebKit
CVE-id: CVE-2007-2399
Fås til: iPhone v1.0
Effekt: Besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode.
Beskrivelse: En ugyldig typekonvertering ved gengivelse af rammesæt kan medføre beskadiget hukommelse. Et besøg på en skadelig webside kan medføre pludselig programlukning eller kørsel af vilkårlig kode. Tak til Rhys Kidd fra Westnet, som har rapporteret problemet.
Installeringsnote
Denne opdatering er kun tilgængelig via iTunes og vises ikke i programmet Softwareopdatering på din computer eller på Apple Support-webstedet Overførsler. Sørg for, at du har internetforbindelse og har installeret den nyeste version af iTunes fra www.apple.com/dk/itunes.
iTunes tjekker automatisk Apples opdateringsserver som en del af sin ugentlige tidsplan. Når der registreres en opdatering, bliver den downloadet. Når iPhone eller iPod touch er i Dock, vil iTunes give brugeren mulighed for at installere opdateringen. Vi anbefaler, at opdateringen anvendes med det samme, hvis det er muligt. Hvis du vælger "Installer ikke", vises muligheden næste gang du tilslutter din iPhone. Den automatiske opdateringsproces kan tage op til en uge, afhængigt af hvilken dag iTunes søger efter opdateringer.
Du kan hente opdateringen manuelt via knappen "Søg efter opdateringer" eller ved at vælge den i menuen i iTunes. Når du har gjort dette, kan opdateringen anvendes, når din iPhone er i Dock på din computer.
Sådan bekræfter du, at iPhone er blevet opdateret:
Gå til Indstillinger på iPhone.
Klik på Generelt.
Klik på Om. Efter anvendelse af denne opdatering vil versionen være "1.0.1 (1C25)".