Om sikkerhedsindholdet i iOS 4.1 til iPhone og iPod touch
Dette dokument beskriver sikkerhedsindholdet i iOS 4.1 til iPhone og iPod touch.
Af hensyn til vores kunders sikkerhed omtaler eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.
Du kan finde flere oplysninger om PGP-nøglen til Apple-produktsikkerhed i artiklen Sådan bruges PGP-nøglen til Apple-produktsikkerhed.
Hvor det er muligt, anvendes der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.
Du kan læse om andre sikkerhedsopdateringer i artiklen "Apple-sikkerhedsopdateringer".
iOS 4.1 til iPhone og iPod touch
Tilgængelighed
CVE-ID: CVE-2010-1809
Tilgængelig for: iOS 3.0 til 4.0.2 til iPhone 3GS og nyere, iOS 3.0 til 4.0.2 til iPod touch (3. generation)
Effekt: Programmets brug af lokalitetstjenester oplyses måske ikke via VoiceOver
Beskrivelse: Der kan være et problem med at tilgå brugergrænseflade i panelet med indstillinger i Lokalitetstjenester. VoiceOver oplyser ikke om, at der vises et symbol til lokale tjenester ved siden af et program, som har bedt om brugerens placering i løbet af de seneste 24 timer. Problemet er løst ved at sikre, at VoiceOver oplyser om, at symbolet findes. Tak til Robin Kipp fra Forever Living Products Europe, som har rapporteret problemet.
FaceTime
CVE-ID: CVE-2010-1810
Tilgængelig for: iOS 2.0 til 4.0.2 til iPhone 3G og nyere, iOS 2.1 til 4.0.2 til iPod touch (2. generation) og nyere
Effekt: Et angreb i et privilegeret netværk kan måske omdirigere FaceTime-opkald
Beskrivelse: Et problem i håndteringen af ugyldige certifikater kan medføre, at et angreb i et privilegeret netværk omdirigerer FaceTime-opkald. Problemet er løst ved forbedret håndtering af certifikater. Tak til Aaron Sigel fra vtty.com, som har rapporteret dette problem.
ImageIO
CVE-ID: CVE-2010-1811
Tilgængelig for: iOS 2.0 til 4.0.2 til iPhone 3G og nyere, iOS 2.1 til 4.0.2 til iPod touch (2. generation) og nyere
Effekt: Behandling af et skadeligt udformet TIFF-billede kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der er et problem med manglende hukommelse ved håndtering af TIFF-billeder. Behandling af et skadeligt udformet TIFF-billede kan medføre pludselig programlukning eller kørsel af vilkårlig kode. Problemet er løst ved forbedret håndtering af TIFF-billeder. Kildeangivelse: Apple.
ImageIO
CVE-ID: CVE-2010-1817
Tilgængelig for: iOS 2.0 til 4.0.2 til iPhone 3G og nyere, iOS 2.1 til 4.0.2 til iPod touch (2. generation) og nyere
Effekt: Behandling af et skadeligt udformet GIF-billede kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der opstår bufferoverløb i forbindelse med håndteringen af GIF-billeder. Behandling af et skadeligt tilpasset GIF-billede kan medføre pludselig programlukning eller kørsel af vilkårlig kode. Dette problem løses ved forbedret kontrol af grænser. Tak til Tom Ferris fra Adobe PSIRT, som har rapporteret dette problem.
WebKit
CVE-ID: CVE-2010-1786
Tilgængelig for: iOS 2.0 til 4.0.2 til iPhone 3G og nyere, iOS 2.1 til 4.0.2 til iPod touch (2. generation) og nyere
Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der er et ''use-after-free''-problem i WebKits håndtering af "foreignObjects"-elementer i SVG-dokumenter. Et besøg på et skadeligt websted kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode. Problemet er løst gennem yderligere godkendelse af SVG-dokumenter. Tak til wushi fra team509 fra TippingPoints Zero Day Initiative, som har rapporteret problemet.
WebKit
CVE-ID: CVE-2010-1770
Tilgængelig for: iOS 2.0 til 4.0.2 til iPhone 3G og nyere, iOS 2.1 til 4.0.2 til iPod touch (2. generation) og nyere
Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der er et problem med skriftkontrol i WebKits håndtering af tekstnoder. Et besøg på et skadeligt websted kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode. Problemet er løst gennem forbedret skriftkontrol. Tak til wushi fra team509 fra TippingPoints Zero Day Initiative, som har rapporteret problemet.
WebKit
CVE-ID: CVE-2010-1785
Tilgængelig for: iOS 2.0 til 4.0.2 til iPhone 3G og nyere, iOS 2.1 til 4.0.2 til iPod touch (2. generation) og nyere
Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der er et problem med adgang til hukommelse, der ikke er initialiseret, i WebKits håndtering af pseudo-elementerne ":first-letter" og ":first-line" i SVG-tekstelementer. Et besøg på et skadeligt websted kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode. Problemet er løst ved ikke at gengive pseudo-elementerne ":first-letter" og ":first-line" i SVG-tekstelementer. Tak til wushi fra team509 fra TippingPoints Zero Day Initiative, som har rapporteret problemet.
WebKit
CVE-ID: CVE-2010-1780
Tilgængelig for: iOS 2.0 til 4.0.2 til iPhone 3G og nyere, iOS 2.1 til 4.0.2 til iPod touch (2. generation) og nyere
Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der er et "use after free"-problem i WebKits håndtering af fokus på elementer. Et besøg på et skadeligt websted kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode. Problemet er løst gennem forbedret håndtering af fokus på elementer. Tak til Tony Chang fra Google Inc., som har rapporteret problemet.
WebKit
CVE-ID: CVE-2010-1793
Tilgængelig for: iOS 2.0 til 4.0.2 til iPhone 3G og nyere, iOS 2.1 til 4.0.2 til iPod touch (2. generation) og nyere
Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der er et "use-after-free"-problem i WebKits håndtering af elementerne "font-face" og "use" i SVG-dokumenter. Et besøg på et skadeligt websted kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode. Problemet er løst gennem forbedret håndtering af elementerne "font-face" og "use" i SVG-dokumenter. Tak til Aki Helin fra OUSPG, som har rapporteret problemet.
WebKit
CVE-ID: CVE-2010-1421
Tilgængelig for: iOS 2.0 til 4.0.2 til iPhone 3G og nyere, iOS 2.1 til 4.0.2 til iPod touch (2. generation) og nyere
Effekt: Besøg på et skadeligt udformet websted kan ændre indholdet i udklipsholderen
Beskrivelse: Der er et designproblem i implementeringen af JavaScript-funktionen execCommand. En skadeligt udformet webside kan ændre indholdet i udklipsholderen uden handling fra brugerens side. Problemet er løst ved kun at tillade udklipsholderkommandoer, som startes af brugeren. Kildeangivelse: Apple.
WebKit
CVE-ID: CVE-2010-1422
Tilgængelig for: iOS 2.0 til 4.0.2 til iPhone 3G og nyere, iOS 2.1 til 4.0.2 til iPod touch (2. generation) og nyere
Effekt: Kontakt med et skadeligt udformet websted kan resultere i uventede handlinger på andre websteder
Beskrivelse: Der er et implementeringsproblem i WebKits håndtering af tastaturfokus. Hvis der ændres tastaturfokus, mens der behandles tastetryk, viser WebKit muligvis resultatet i den nye ramme, der er i fokus, i stedet for i den ramme, der var i fokus, da der blev trykket på tasten. Et skadeligt udformet websted kan muligvis være i stand til at manipulere brugeren til at foretage en uønsket handling, f.eks. foretage et køb. Problemet er løst ved at forhindre, at der vises resultater af tastetryk, hvis der ændres tastaturfokus, mens tastetrykket behandles. Tak til Michal Zalewski fra Google Inc., som har rapporteret problemet.
WebKit
CVE-ID: CVE-2010-1771
Tilgængelig for: iOS 2.0 til 4.0.2 til iPhone 3G og nyere, iOS 2.1 til 4.0.2 til iPod touch (2. generation) og nyere
Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der er et "use after free"-problem i WebKits håndtering af skrifter. Et besøg på et skadeligt websted kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode. Problemet er løst gennem forbedret håndtering af skrifter. Kildeangivelse: Apple.
WebKit
CVE-ID: CVE-2010-1783
Tilgængelig for: iOS 2.0 til 4.0.2 til iPhone 3G og nyere, iOS 2.1 til 4.0.2 til iPod touch (2. generation) og nyere
Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der er et problem med beskadigelse af hukommelse i WebKits håndtering af dynamiske ændringer af tekstknuder. Et besøg på et skadeligt websted kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode. Problemet er løst gennem forbedret håndtering af hukommelsesstyring.
WebKit
CVE-ID: CVE-2010-1764
Tilgængelig for: iOS 2.0 til 4.0.2 til iPhone 3G og nyere, iOS 2.1 til 4.0.2 til iPod touch (2. generation) og nyere
Effekt: Besøg på et websted, som omdirigerer sendte formularer, kan medføre videregivelse af oplysninger
Beskrivelse: Der er et designproblem i WebKits håndtering af HTTP-omdirigeringer. Når en sendt formular omdirigeres til et websted, som selv omdirigerer til et tredje websted, sendes de oplysninger, der er indeholdt i den sendte formular, muligvis til det tredje websted. Problemet er løst gennem forbedret håndtering af HTTP-omdirigeringer. Tak til Marc Worrell fra WhatWebWhat, som har rapporteret problemet.
WebKit
CVE-ID: CVE-2010-1782
Tilgængelig for: iOS 2.0 til 4.0.2 til iPhone 3G og nyere, iOS 2.1 til 4.0.2 til iPod touch (2. generation) og nyere
Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der er et problem med beskadigelse af hukommelse i WebKits gengivelse af integrerede elementer. Et besøg på et skadeligt websted kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode. Dette problem løses ved forbedret kontrol af grænser. Tak til wushi fra team509, som har rapporteret problemet.
WebKit
CVE-ID: CVE-2010-1781
Tilgængelig for: iOS 2.0 til 4.0.2 til iPhone 3G og nyere, iOS 2.1 til 4.0.2 til iPod touch (2. generation) og nyere
Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der er et dobbelt problem i WebKits gengivelse af integrerede elementer. Et besøg på et skadeligt websted kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode. Problemet er løst gennem forbedret håndtering af hukommelsesstyring. Tak til James Robinson fra Google Inc., som har rapporteret problemet.
WebKit
CVE-ID: CVE-2010-1784
Tilgængelig for: iOS 2.0 til 4.0.2 til iPhone 3G og nyere, iOS 2.1 til 4.0.2 til iPod touch (2. generation) og nyere
Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der er et problem med beskadigelse af hukommelse i WebKits håndtering af CSS-tællere. Et besøg på et skadeligt websted kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode. Problemet er løst gennem forbedret håndtering af hukommelsesstyring. Tak til wushi fra team509 fra TippingPoints Zero Day Initiative, som har rapporteret problemet.
WebKit
CVE-ID: CVE-2010-1787
Tilgængelig for: iOS 2.0 til 4.0.2 til iPhone 3G og nyere, iOS 2.1 til 4.0.2 til iPod touch (2. generation) og nyere
Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der er et problem med beskadigelse af hukommelse i WebKits håndtering af flydende elementer i SVG-dokumenter. Et besøg på et skadeligt websted kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode. Problemet er løst gennem forbedret håndtering af hukommelsesstyring.
WebKit
CVE-ID: CVE-2010-1791
Tilgængelig for: iOS 2.0 til 4.0.2 til iPhone 3G og nyere, iOS 2.1 til 4.0.2 til iPod touch (2. generation) og nyere
Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der er et signedness-problem i WebKits håndtering af JavaScript-arrays. Et besøg på et skadeligt websted kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode. Problemet er løst gennem forbedret håndtering af array-indekser i JavaScript. Tak til Natalie Silvanovich, som har rapporteret problemet.
WebKit
CVE-ID: CVE-2010-1788
Tilgængelig for: iOS 2.0 til 4.0.2 til iPhone 3G og nyere, iOS 2.1 til 4.0.2 til iPod touch (2. generation) og nyere
Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der er et problem med beskadigelse af hukommelse i WebKits håndtering af 'use'-elementer i SVG-dokumenter. Et besøg på et skadeligt websted kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode. Problemet er løst gennem forbedret håndtering af 'use'-elementer i SVG-dokumenter. Tak til Justin Schuh fra Google Inc., som har rapporteret problemet.
WebKit
CVE-ID: CVE-2010-1812
Tilgængelig for: iOS 2.0 til 4.0.2 til iPhone 3G og nyere, iOS 2.1 til 4.0.2 til iPod touch (2. generation) og nyere
Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der er et "use after free"-problem i WebKits håndtering af valg. Et besøg på et skadeligt websted kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode. Problemet er løst gennem forbedret håndtering af udsnit. Tak til chipplyman, som har rapporteret problemet.
WebKit
CVE-ID: CVE-2010-1813
Tilgængelig for: iOS 2.0 til 4.0.2 til iPhone 3G og nyere, iOS 2.1 til 4.0.2 til iPod touch (2. generation) og nyere
Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der er et problem med beskadigelse af hukommelse i WebKits gengivelse af HTML-objekter. Et besøg på et skadeligt websted kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode. Problemet er løst gennem forbedret håndtering af hukommelsesstyring. Tak til Jose A. Vazquez fra spa-s3c.blogspot.com, som har rapporteret problemet.
WebKit
CVE-ID: CVE-2010-1814
Tilgængelig for: iOS 2.0 til 4.0.2 til iPhone 3G og nyere, iOS 2.1 til 4.0.2 til iPod touch (2. generation) og nyere
Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der er et problem med beskadiget hukommelse i forbindelse med WebKits håndtering af formularmenuer. Et besøg på et skadeligt websted kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode. Problemet er løst gennem forbedret håndtering af formularvariabler. Tak til Csaba Osztrogonac fra University of Szeged, som har rapporteret problemet.
WebKit
CVE-ID: CVE-2010-1815
Tilgængelig for: iOS 2.0 til 4.0.2 til iPhone 3G og nyere, iOS 2.1 til 4.0.2 til iPod touch (2. generation) og nyere
Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der er et "use after free"-problem i WebKits håndtering af rullelister. Et besøg på et skadeligt websted kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode. Problemet er løst gennem forbedret håndtering af hukommelsesstyring. Tak til thabermann, som har rapporteret problemet.
FaceTime er ikke tilgængelig i alle lande eller områder.
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.