Om sikkerhedsindholdet i iPhone v2.0 og iPod touch v2.0

Dette dokument beskriver sikkerhedsindholdet i iPhone v2.0 og iPod touch v2.0.

Af hensyn til vores kunders sikkerhed omtaler, diskuterer eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed kan ses i "Sådan bruges PGP-nøglen til Apple Produktsikkerhed".

Hvor det er muligt, bruges der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan læse mere om andre sikkerhedsopdateringer i "Apple-sikkerhedsopdateringer".

iPhone v2.0 og iPod touch v2.0

  • CFNetwork

    CVE-id: CVE-2008-0050

    Fås til: iPhone v1.0 til v1.1.4, iPod touch v1.1 til v1.1.4

    Effekt: En skadelig proxyserver kan efterligne sikre websteder

    Beskrivelse: En skadelig HTTPS-proxyserver kan returnere vilkårlige data til CFNetwork med en 502 Bad Gateway-fejl, som kan gøre det muligt for et sikkert websted at blive efterlignet. Denne opdatering løser problemet ved ikke at returnere proxyangivne data om en fejltilstand.

  • Kernel

    CVE-id: CVE-2008-0177

    Fås til: iPhone v1.0 til v1.1.4, iPod touch v1.1 til v1.1.4

    Effekt: En hacker kan muligvis forårsage en uventet enhedsnulstilling

    Beskrivelse: Der findes en ikke-registreret fejltilstand i håndteringen af pakker med en IPComp-overskrift. Afsendelse af en skadelig pakke til et system, der er konfigureret til at bruge IPSec eller IPv6, kan forårsage en uventet enhedsnulstilling. Denne opdatering løser problemet ved at registrere fejltilstanden korrekt.

  • Safari

    CVE-id: CVE-2008-1588

    Fås til: iPhone v1.0 til v1.1.4, iPod touch v1.1 til v1.1.4

    Effekt: Ideografiske Unicode-mellemrum kan muligvis bruges til at efterligne et websted

    Beskrivelse: Når Safari viser den aktuelle URL-adresse i adresselinjen, gengives ideografiske Unicode-mellemrum. Dette tillader, at et skadeligt websted kan føre brugeren til et efterlignet websted, som visuelt ser ud til at være et legitimt domæne. Denne opdatering løser problemet ved ikke at gengive ideografiske Unicode-mellemrum i adresselinjen.

  • Safari

    CVE-id: CVE-2008-1589

    Fås til: iPhone v1.0 til v1.1.4, iPod touch v1.1 til v1.1.4

    Effekt: Besøg på et skadeligt websted kan medføre afsløring af følsomme oplysninger

    Beskrivelse: Når Safari tilgår et websted, som bruger et selvsigneret eller ugyldigt certifikat, bliver brugeren bedt om at acceptere eller afvise certifikatet. Hvis brugeren trykker på menuknappen, når prompten vises, accepteres certifikatet uden prompt ved næste besøg på webstedet. Dette kan medføre afsløring af følsomme oplysninger. Denne opdatering løser problemet via forbedret håndtering af certifikater. Tak til Hiromitsu Takagi, som har rapporteret problemet.

  • Safari

    CVE-id: CVE-2008-2303

    Fås til: iPhone v1.0 til v1.1.4, iPod touch v1.1 til v1.1.4

    Effekt: Besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode.

    Beskrivelse: Et problem med fortegn i Safaris håndtering af array-indekser i JavaScript kan muligvis føre til out-of-bounds-hukommelsesadgang. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Denne opdatering løser problemet ved at foretage yderligere validering af array-indekser i JavaScript. Tak til SkyLined fra Google, som har rapporteret problemet.

  • Safari

    CVE-id: CVE-2006-2783

    Fås til: iPhone v1.0 til v1.1.4, iPod touch v1.1 til v1.1.4

    Effekt: Besøg på et skadeligt websted kan medføre scripting på tværs af websteder

    Beskrivelse: Safari ignorerer Unicode-byterækkefølgemærkesekvenser under parsing af websider. Visse websteder og webindholdsfiltre forsøger at rense input ved at blokere specifikke HTML-tags. Denne tilgang til filtrering kan omgås og medføre scripting på tværs af websteder, når der stødes på skadelige HTML-tags, som indeholder byterækkefølgemærkesekvenser. Denne opdatering løser problemet via en forbedret håndtering af byterækkefølgemærkesekvenser. Tak til Chris Weber fra Casaba Security, LLC, som har rapporteret problemet.

  • Safari

    CVE-id: CVE-2008-2307

    Fås til: iPhone v1.0 til v1.1.4, iPod touch v1.1 til v1.1.4

    Effekt: Besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: Der findes et problem med hukommelseskorruption i WebKits håndtering af JavaScript-arrays. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Denne opdatering løser problemet via forbedret kontrol af grænser. Tak til James Urquhart, som har rapporteret problemet.

  • Safari

    CVE-id: CVE-2008-2317

    Fås til: iPhone v1.0 til v1.1.4, iPod touch v1.1 til v1.1.4

    Effekt: Besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: Der findes et problem med hukommelseskorruption i WebCores håndtering af stylesheet-elementer. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Denne opdatering løser problemet via forbedret spildopsamling. Tak til en anonym programmør, der arbejder med TippingPoints Zero Day Initiative, som har rapporteret problemet.

  • Safari

    CVE-id: CVE-2007-6284

    Fås til: iPhone v1.0 til v1.1.4, iPod touch v1.1 til v1.1.4

    Effekt: Behandling af et XML-dokument kan medføre DoS

    Beskrivelse: Der findes et problem med hukommelsesforbruget i håndtering af XML-dokumenter, der indeholder ugyldige UTF-8 sekvenser, som kan medføre DoS. Denne opdatering løser problemet ved at opdatere libxml2-systembiblioteket til version 2.6.16.

  • Safari

    CVE-id: CVE-2008-1767

    Fås til: iPhone v1.0 til v1.1.4, iPod touch v1.1 til v1.1.4

    Effekt: Behandling af et XML-dokument kan medføre pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: Der findes et problem med hukommelseskorruption i libxslt-biblioteket. Visning af en skadelig HTML-side kan medføre pludselig applukning eller kørsel af vilkårlig kode. Der findes flere oplysninger om den anvendte programretning på webstedet http://xmlsoft.org/XSLT/ Tak til Anthony de Almeida Lopes fra Outpost24 AB og Chris Evans fra Google Security Team, som har rapporteret problemet.

  • WebKit

    CVE-id: CVE-2008-1590

    Fås til: iPhone v1.0 til v1.1.4, iPod touch v1.1 til v1.1.4

    Effekt: Besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: Der findes et problem med hukommelseskorruption i JavaScriptCores håndtering af runtime-spildopsamling. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Denne opdatering løser problemet via forbedret spildopsamling. Tak til Itzik Kotler og Jonathan Rom fra Radware, som har rapporteret problemet.

  • WebKit

    CVE-id: CVE-2008-1025

    Fås til: iPhone v1.0 til v1.1.4, iPod touch v1.1 til v1.1.4

    Effekt: Adgang til en skadelig URL-adresse kan medføre scripting på tværs af websteder

    Beskrivelse: Der findes et problem i WebKits håndtering af URL-adresser, som omfatter et kolontegn i værtsnavnet. Adgang til en skadelig URL-adresse kan medføre scripting-angreb på tværs af websteder. Denne opdatering løser problemet via en forbedret håndtering af URL-adresser. Tak til Robert Swiecki fra Google Security Team og David Bloom, som har rapporteret problemet.

  • WebKit

    CVE-id: CVE-2008-1026

    Fås til: iPhone v1.0 til v1.1.4, iPod touch v1.1 til v1.1.4

    Effekt: Visning af en skadelig webside kan medføre pludselig applukning eller kørsel af vilkårlig kode.

    Beskrivelse: Der var et heap-bufferoverløb i WebKits behandling af regulære udtryk i JavaScript. Problemet kan udløses via JavaScript ved behandling af regulære udtryk med store indlejrede gentagelsestællinger. Dette kan forårsage uventet programlukning eller kørsel af vilkårlig kode. Denne opdatering løser problemet ved at foretage yderligere validering af regulære udtryk i JavaScript. Tak til Charlie Miller fra Independent Security Evaluators, som har rapporteret problemet.

Vigtigt: Omtale af tredjepartswebsteder og -produkter er kun til orientering og udgør hverken en godkendelse eller en anbefaling. Apple påtager sig intet ansvar med hensyn til udvælgelse, ydeevne eller brug af oplysninger eller produkter, der findes på tredjepartswebsteder. Apple leverer kun dette som en bekvemmelighed for vores brugere. Apple har ikke testet de oplysninger, der findes på disse websteder, og fremsætter ingen erklæringer om deres nøjagtighed eller pålidelighed. Der er risici forbundet med brugen af oplysninger eller produkter, der findes på internettet, og Apple påtager sig intet ansvar i denne henseende. Vær opmærksom på, at et tredjepartswebsted er uafhængigt af Apple, og at Apple ikke har kontrol over indholdet på det pågældende websted. Kontakt producenten for at få yderligere oplysninger.

Udgivelsesdato: