Om sikkerhedsindholdet i iPod touch v2.1
Dette dokument beskriver sikkerhedsindholdet i iPod touch v2.1.
Af hensyn til vores kunders sikkerhed omtaler, diskuterer eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.
Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed kan ses i "Sådan bruges PGP-nøglen til Apple Produktsikkerhed".
Hvor det er muligt, bruges der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.
Du kan læse mere om andre sikkerhedsopdateringer i "Apple-sikkerhedsopdateringer".
iPod touch v2.1
Application Sandbox
CVE-ID: CVE-2008-3631
Fås til: iPod touch v2.0 til og med v2.0.2
Effekt: Et program kan muligvis læse et andet programs arkiver
Beskrivelse: Application Sandbox håndhæver ikke korrekt adgangsbegrænsninger mellem tredjepartsprogrammer. Dette kan tillade et tredjepartsprogram at læse arkiver i et andet tredjepartsprograms sandbox og føre til videregivelse af følsomme oplysninger. Denne opdatering løser problemet ved at håndhæve de korrekte adgangsbegrænsninger mellem programmers sandboxes. Tak til Nicolas Seriot fra Sen:te og Bryce Cogswell for at rapportere dette problem. Dette problem påvirker ikke iPod touch-versioner før v2.0.
CoreGraphics
CVE-ID: CVE-2008-1806, CVE-2008-1807, CVE-2008-1808
Fås til: iPod touch v1.1 til og med v2.0.2
Effekt: Flere sårbarheder i FreeType v2.3.5
Beskrivelse: Der findes flere sårbarheder i FreeType v2.3.5, hvoraf den mest alvorlige kan føre til kørsel af vilkårlig kode, når man tilgår skadeligt udformede skrifttypedata. Denne opdatering løser problemet ved at inkorporere sikkerhedsbeskyttelse fra version 2.3.6 af FreeType. Yderligere oplysninger er tilgængelige via FreeType-siden på http://www.freetype.org/
mDNSResponder
CVE-ID: CVE-2008-1447
Fås til: iPod touch v1.1 til og med v2.0.2
Effekt: mDNSResponder er modtagelig for DNS-cacheforgiftning og kan returnere forfalskede oplysninger
Beskrivelse: mDNSResponder leverer oversættelse mellem værtsnavne og IP-adresser til programmer, der bruger dets API til unicast-DNS-genkendelse. En svaghed i DNS-protokollen kan tillade en fjernangriber at udføre angreb med DNS-cacheforgiftning. Som følge heraf kan programmer, der er afhængige af mDNSResponder til DNS, modtage forfalskede oplysninger. Denne opdatering løser problemet ved at implementere randomisering af kildeport og transaktions-id for at forbedre modstandsdygtigheden mod angreb med cacheforgiftning. Tak til Dan Kaminsky fra IOActive, som har rapporteret problemet.
Networking
CVE-ID: CVE-2008-3612
Fås til: iPod touch v1.1 til og med v2.0.2
Effekt: Forudsigelig generering af TCP-startsekvensnumre kan føre til TCP-spoofing eller sessionskapring
Beskrivelse: TCP-startsekvensnumre genereres sekventielt. Forudsigelige startsekvensnumre kan gøre det muligt for en fjernangriber at oprette en spoofet TCP-forbindelse eller indsætte data i en eksisterende TCP-forbindelse. Denne opdatering løser problemet ved at generere tilfældige TCP-startsekvensnumre.
WebKit
CVE-ID: CVE-2008-3632
Fås til: iPod touch v1.1 til og med v2.0.2
Effekt: Besøg på et skadeligt websted kan føre til uventet programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der er et problem med brug-efter-gratis i WebKits håndtering af CSS-importerklæringer. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Denne opdatering løser problemet via en forbedret håndtering af dokumentreferencer.
Vigtigt: Oplysninger om produkter, der ikke er fremstillet af Apple, gives kun til orientering og udgør ikke Apples anbefaling eller godkendelse. Du bedes kontakte producenten for at få nærmere information.