Om sikkerhedsindholdet i iOS 3.1.3 og iOS 3.1.3 til iPod touch

I dette dokument beskrives sikkerhedsindholdet i iOS 3.1.3 og iOS 3.1.3 til iPod touch.

Af hensyn til vores kunders sikkerhed omtaler, diskuterer eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed kan ses i artiklen Sådan bruges PGP-nøglen til Apple Produktsikkerhed.

Hvor det er muligt, bruges der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen "Apple-sikkerhedsopdateringer."

iOS 3.1.3 og iOS 3.1.3 til iPod touch

• CoreAudio

  CVE-id: CVE-2010-0036

  Fås til: iOS 1.0 til og med 3.1.2, iOS til iPod touch 1.1 til og med 3.1.2

  Effekt: Afspilning af et skadeligt mp4-lydarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

  Beskrivelse: Der findes et bufferoverløb i behandlingen af mp4-lydarkiver. Afspilning af et skadeligt mp4-lydarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode. Problemet er løst via forbedret kontrol af grænser. Tak til Tobias Klein fra trapkit.de, som har rapporteret problemet.

• ImageIO

  CVE-id: CVE-2009-2285

  Fås til: iOS 1.0 til og med 3.1.2, iOS til iPod touch 1.1 til og med 3.1.2

  Effekt: Visning af et skadeligt TIFF-billede kan medføre pludselig programlukning eller kørsel af vilkårlig kode

  Beskrivelse: Der findes et bufferunderløb i ImageIOs behandling af TIFF-billeder. Visning af et skadeligt TIFF-billede kan medføre pludselig programlukning eller kørsel af vilkårlig kode. Problemet er løst via forbedret kontrol af grænser.

• Recovery Mode

  CVE-id: CVE-2010-0038

  Fås til: iOS 1.0 til og med 3.1.2, iOS til iPod touch 1.1 til og med 3.1.2

  Effekt: En person med fysisk adgang til en låst enhed kan muligvis få adgang til brugerens data

  Beskrivelse: Der findes et problem med beskadiget hukommelse i behandlingen af en bestemt meddelelse om USB-styring. En person med fysisk adgang til enheden kan bruge dette til at omgå adgangskoden og få adgang til brugerens data. Problemet er blevet løst ved forbedret behandling af meddelelsen om USB-styring.

• WebKit

  CVE-id: CVE-2009-3384

  Fås til: iOS 1.0 til og med 3.1.2, iOS til iPod touch 1.1 til og med 3.1.2

  Effekt: Adgang til en skadelig FTP-server kan medføre uventet applukning, afsløring af oplysninger eller kørsel af vilkårlig kode

  Beskrivelse: Der findes flere problemer med godkendelse af input i WebKits behandling af FTP-mappeoversigter. Adgang til en skadelig FTP-server kan medføre afsløring af oplysninger, pludselig applukning eller kørsel af vilkårlig kode. Denne opdatering løser problemerne via en forbedret parsing af FTP-mappeoversigter. Tak til Michal Zalewski fra Google Inc., som har rapporteret problemerne.

• WebKit

  CVE-id: CVE-2009-2841

  Fås til: iOS 1.0 til og med 3.1.2, iOS til iPod touch 1.1 til og med 3.1.2

  Effekt: Mail kan indlæse fjernindhold af lyd og video, når indlæsning af fjernbilleder er deaktiveret

  Beskrivelse: Når WebKit støder på et HTML 5-medieindhold, der peger på en ekstern ressource, udsteder det ikke en callback om indlæsning af en ressource for at fastslå, om ressourcen skal indlæses. Dette kan medføre, at der sendes uønskede anmodninger til fjernservere. Afsenderen af en HTML-formateret e-mail kan f.eks. bruge dette til at fastslå, om meddelelsen blev læst. Dette problem er blevet løst ved at generere callbacks om indlæsning af ressourcer, når WebKit støder på et HTML 5-medieelement.