Denne artikel er blevet arkiveret og opdateres ikke længere af Apple.

Om sikkerhedsindholdet i iOS 3.1 og iOS 3.1.1 til iPod touch.

I dette dokument beskrives sikkerhedsindholdet i iOS 3.1 og iOS 3.1.1 til iPod touch.

Af hensyn til vores kunders sikkerhed omtaler, diskuterer eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed kan ses i artiklen Sådan bruges PGP-nøglen til Apple Produktsikkerhed.

Hvor det er muligt, bruges der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen "Apple-sikkerhedsopdateringer."

iOS 3.1 og iOS 3.1.1 til iPod touch

  • CoreAudio

    CVE-id: CVE-2009-2206

    Fås til: iOS 1.0 til og med 3.0.1, iOS til iPod touch 1.1 til og med 3.0

    Effekt: Åbning af et skadeligt AAC- eller MP3-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der findes et heap-bufferoverløb i håndteringen af AAC- eller MP3-arkiver. Åbning af et skadeligt AAC- eller MP3-arkiv kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode. Denne opdatering løser problemet via forbedret kontrol af grænser. Tak til Tobias Klein fra trapkit.de, som har rapporteret problemet.

  • Exchange Support

    CVE-id: CVE-2009-2794

    Fås til: iOS 1.0 til og med 3.0.1, iOS til iPod touch 1.1 til og med 3.0

    Effekt: En person med fysisk adgang til en enhed kan muligvis bruge den efter den timeoutperiode, som er angivet af en Exchange-administrator

    Beskrivelse: I iOS er det muligt at kommunikere via tjenester fra en Microsoft Exchange-server. En administrator af en Exchange-server kan angive en indstilling for låsning efter en maksimal periode med inaktivitet. Dette kræver, at brugeren angiver sin adgangskode igen efter udløbet af den angivne periode, for at brugeren fortsat kan bruge Exchange-tjenesterne. I iOS kan en bruger angive indstillingen "Kræv adgangskode", som kan udvides til op til fire timer. Indstillingen "Kræv adgangskode" påvirkes ikke af indstillingen for låsning efter en maksimal periode med inaktivitet. Hvis brugeren har indstillet "Kræv adgangskode" til en værdi, der er højere end indstillingen for låsning efter en maksimal periode med inaktivitet, kan det gøre det muligt for en person med fysisk adgang til enheden at bruge enheden, herunder Exchange-tjenesterne. Denne opdatering løser problemet ved at deaktivere brugervalgene for værdier i "Kræv adgangskode", som er større end indstillingen for låsning efter en maksimal periode med inaktivitet. Dette problem påvirker kun iOS 2.0 og nyere versioner og iOS til iPod touch 2.0 og nyere. Tak til Allan Steven, Robert Duran, Jeff Beckham fra PepsiCo, Joshua Levitsky, Michael Breton fra Intel Corporation, Mike Karban fra Edward Jones og Steve Moriarty fra Agilent Technologies, som har rapporteret problemet.

  • MobileMail

    CVE-id: CVE-2009-2207

    Fås til: iOS 1.0 til og med 3.0.1, iOS til iPod touch 1.1 til og med 3.0

    Effekt: Slettede e-mails kan stadig blive vist i en Spotlight-søgning

    Beskrivelse: Spotlight finder og giver adgang til slettede meddelelser i Mail-mapper på enheden. En person med adgang til enheden har dermed mulighed for at se de slettede meddelelser. Denne opdatering løser problemet ved ikke at inkludere de slettede e-mails i Sportlight-søgeresultater: Dette problem påvirker kun iOS 3.0, iOS 3.0.1 og iOS til iPod touch 3.0. Tak til Clickwise Software og Tony Kavadias, som har rapporteret problemet.

  • Recovery Mode

    CVE-id: CVE-2009-2795

    Fås til: iOS 1.0 til og med 3.0.1, iOS til iPod touch 1.1 til og med 3.0

    Effekt: En person med fysisk adgang til en låst enhed kan muligvis få adgang til brugerens data

    Beskrivelse: Der findes et heap-bufferoverløb ved parsing af Recovery Mode-kommandoer. Dette kan give en anden person, der har fysisk adgang til enheden, mulighed for at tilsidesætte adgangskoden og få adgang til brugerens data. Denne opdatering løser problemet via forbedret kontrol af grænser.

  • Telephony

    CVE-id: CVE-2009-2815

    Fås til: iOS 1.0 til og med 3.0.1

    Effekt: Modtagelse af en sms med skadelig kode kan medføre pludselig afbrydelse af en tjeneste

    Beskrivelse: Der findes et problem med at fjerne referencer til null-pointere i håndteringen af notifikationer om modtagne sms'er. Modtagelse af en sms med skadelig kode kan medføre uventet afbrydelse af en tjeneste. Denne opdatering løser problemet gennem forbedret håndtering af indgående sms'er. Tak til Charlie Miller fra Independent Security Evaluators og Collin Mulliner fra Technical University Berlin, som har rapporteret problemet.

  • UIKit

    CVE-id: CVE-2009-2796

    Fås til: iOS 1.0 til og med 3.0.1, iOS til iPod touch 1.1 til og med 3.0

    Effekt: Adgangskoder kan være synlige

    Beskrivelse: Når der slettes et tegn i en adgangskode og sletningen fortrydes, kan tegnet ses kortvarigt. Dette kan give en person med fysisk adgang til enheden mulighed for at læse en adgangskode ét tegn ad gangen. Denne opdatering løser problemet ved at forhindre, at tegnet gøres synligt. Dette problem påvirker kun iOS 3.0 og iOS 3.0.1. Tak til Abraham Vegh, som har rapporteret problemet.

  • WebKit

    CVE-id: CVE-2009-2797

    Fås til: iOS 1.0 til og med 3.0.1, iOS til iPod touch 1.1 til og med 3.0

    Effekt: Brugernavne og adgangskoder i en URL-adresse kan blive offentliggjort til forbundne websteder

    Beskrivelse: Safari inkluderer brugernavnet og adgangskoden fra den oprindelige URL-adresse i headeren fra henvisningen. Dette kan medføre afsløring af følsomme oplysninger. Denne opdatering løser problemet ved ikke at inkludere brugernavne og adgangskoder i headers fra henvisninger. Tak til James A. T. Rice fra Jump Networks Ltd, som har rapporteret problemet.

  • WebKit

    CVE-id: CVE-2009-1725

    Fås til: iOS 1.0 til og med 3.0.1, iOS til iPod touch 1.1 til og med 3.0

    Effekt: Besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der findes et problem med hukommelsesfejl i WebKits håndtering af numeriske tegnreferencer. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Denne opdatering løser problemet via en forbedret håndtering af referencer til numeriske tegn. Tak til Chris Evans, som har rapporteret problemet.

  • WebKit

    CVE-id: CVE-2009-1724

    Fås til: iOS 1.0 til og med 3.0.1, iOS til iPod touch 1.1 til og med 3.0

    Effekt: Besøg på et skadeligt websted kan medføre et angreb med scripting på tværs af websteder

    Beskrivelse: Et problem i WebKits håndtering af overordnede objekter og objekter på øverste niveau kan medføre et angreb med scripting på tværs af websteder, når der besøges et skadeligt websted. Denne opdatering løser problemet ved en forbedret håndtering af overordnede objekter og topobjekter.

  • WebKit

    CVE-id: CVE-2009-2199

    Fås til: iOS 1.0 til og med 3.0.1, iOS til iPod touch 1.1 til og med 3.0

    Effekt: Tegn i en URL-adresse, der ligner andre tegn, kan bruges til at angive et websted med et lignende navn

    Beskrivelse: IDN-understøttelse (International Domain Name) og Unicode-skrifter, som er indlejret i Safari, kan bruges til at oprette en URL-adresse, der indeholder tegn, som ligner andre tegn. Disse kan bruges på et skadeligt websted til at dirigere brugeren til et forfalsket websted, der visuelt ser ud til at være et legitimt domæne. Denne opdatering løser problemet ved at supplere WebKits liste over kendte tegn, der ligner andre tegn. Tegn, der ligner andre tegn, gengives i Punycode på adresselinjen. Tak til Chris Weber fra Casaba Security, LLC, som har rapporteret problemet.

Udgivelsesdato: