Om sikkerhedsindholdet i iPhone 1.1.1 Update

Dette dokument beskriver sikkerhedsindholdet i iPhone v1.1.1 Update.

Som en beskyttelse for vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, førend en fuld efterforskning har fundet sted, og relevante programrettelser eller versioner kan hentes. Hvis du vil læse mere om Apple Produktsikkerhed, kan du besøge webstedet Apple Produktsikkerhed.

Gå til "Sådan bruges PGP-nøglen til Apple Produktsikkerhed" for at få oplysninger om PGP-nøglen til Apple Produktsikkerhed.

Hvor det er muligt, anvendes CVE-id'er til at referere til yderligere oplysninger om sikkerhedsproblemer.

Gå til "Apple Sikkerhedsopdateringer", hvis du vil lære mere om andre sikkerhedsopdateringer.

iPhone v1.1.1 Update

  • Bluetooth

    CVE-id: CVE-2007-3753

    Indvirkning: En angriber inden for Bluetooth vil måske være i stand til at fremkalde uventet programafslutning eller afvikling af vilkårlige koder

    Beskrivelse: Et valideringsproblem med input findes i iPhones Bluetooth-server. Ved at sende skadelige Service Discovery Protocol (SDP)-pakker til en iPhone, hvor Bluetooth er aktiveret, kan en angriber udløse problemet, som kan medføre uventet programafslutning eller afvikling af vilkårlige koder. Denne opdatering korrigerer problemet ved at udføre yderligere validering af SDP-pakker. Tak til Kevin Mahaffey og John Hering fra Flexilis Mobile Security, som har rapporteret dette problem.

  • Mail

    CVE-id: CVE-2007-3754

    Indvirkning: Kontrol af e-mail via netværk, der ikke er tillid til, kan føre til afsløring af oplysninger via et "insider"-angreb

    Beskrivelse: Når Mail er konfigureret til at bruge SSL til indgående og udgående forbindelser, advarer den ikke brugeren, når identiteten på mailserveren er ændret eller ikke er pålidelig. En angriber, der er i stand til at opsnappe forbindelsen, er muligvis i stand til at give sig ud for at være brugerens mailserver og hente brugerens godkendelsesbeviser til e-mail eller andre følsomme oplysninger. Denne opdatering behandler problemet ved korrekt at advare om, at identiteten på den eksterne mailserver er ændret.

  • Mail

    CVE-id: CVE-2007-3755

    Indvirkning: Med et telefonlink ("tel:") i Mail ringes der til et telefonnummer uden bekræftelse

    Beskrivelse: Mail understøtter, at et telefonlink ("tel:") ringer til telefonnumre. Ved at friste en bruger til at følge et telefonlink i en mailmeddelelse kan en angriber få iPhone til at placere et opkald uden brugerens bekræftelse. Denne opdatering behandler problemet ved at vise et bekræftelsesvindue, inden der ringes til et telefonnummer via et telefonlink i Mail. Tak til Andi Baritchi fra McAfee, som har rapporteret dette problem.

  • Safari

    CVE-id: CVE-2007-3756

    Indvirkning: Besøg på et ondsidet websted kan medføre afsløring af URL-indhold

    Beskrivelse: Et designproblem i Safari tillader, at et pop-op-vindue kan læses i den URL, der i øjeblikket vises i det overordnede vindue. Ved at friste en bruger til at besøge en ondsindet udfærdiget webside kan en angriber muligvis hente URL'en på en side, som ikke er relateret. Denne opdatering korrigerer problemet gennem en forbedret cross-domain-sikkerhedskontrol. Tak til Michal Zalewski fra Google Inc. og Secunia Research, som har rapporteret dette problem.

  • Safari

    CVE-id: CVE-2007-3757

    Indvirkning: Besøg på et ondsindet websted kan føre til utilsigtet opringning eller opringning til et andet nummer end det forventede

    Beskrivelse: Safari understøtter, at et telefonlink ("tel:") ringer til telefonnumre. Når et telefonlink er valgt, bekræfter Safari, at dette er nummeret, der skal ringes til. Et skadeligt tilpasset telefonlink kan føre til, at der vises et andet nummer under bekræftelse, end det nummer der faktisk ringes til. Afslutning af Safari under bekræftelsesprocessen kan resultere i utilsigtet bekræftelse. Denne opdatering behandler problemet med korrekt visning af det nummer, der skal ringes til, og kræver bekræftelse af telefonlinks. Tak til Billy Hoffman og Bryan Sullivan fra HP Security Labs (tidligere SPI Labs) og Eduardo Tang, som har rapporteret dette problem.

  • Safari

    CVE-id: CVE-2007-3758

    Indvirkning: Besøg på et ondsindet websted kan føre til cross-site scripting

    Beskrivelse: Der findes en sårbarhed overfor cross-site scripting i Safari, som tillader, at ondsindede websteder indstiller JavaScript-vinduets egenskaber for webstedet, der hører til et andet domæne. Ved at friste en bruger til at besøge et ondsindet tilpasset websted kan en angriber udløse problemet, hvilket resulterer i hentning eller indstilling af vinduestatus og placering på sider, der hører til andre websteder. Denne opdatering behandler problemet ved at yde forbedret adgangskontrol til disse egenskaber. Tak til Michal Zalewski fra Google Inc., som har rapporteret dette problem.

  • Safari

    CVE-id: CVE-2007-3759

    Indvirkning: Deaktivering af JavaScript har ingen effekt, før Safari genstartes

    Beskrivelse: Safari kan konfigureres til at aktivere eller deaktivere JavaScript. Denne indstilling har ingen effekt, før næste gang Safari genstartes. Dette sker normalt, når iPhone genstartes. Dette kan vildlede brugere i at tro, at JavaScript er deaktiveret, selvom det ikke er det. Denne opdatering behandler problemet ved at anvende den nye indstilling inden indlæsning af nye websider.

  • Safari

    CVE-id: CVE-2007-3760

    Indvirkning: Besøg på et ondsindet websted kan resultere i cross-site scripting

    Beskrivelse: Et problem med cross-site i Safari tillader, at et ondsidet tilpasset websted tilsidesætter politik med samme oprindelse ved hjælp af "ramme"-mærker. Ved at friste en bruger til at besøge en ondsindet udfærdiget webside kan en angriber udløse problemet, som kan medføre udførsel af JavaScript i konteksten på et andet sted. Denne opdatering behandler problemet ved at afvise JavaScript som en "iframe"-kilde og begrænse JavaScript i rammemærker til samme adgang som stedet, hvorfra den hører til. Tak til Michal Zalewski fra Google Inc. og Secunia Research, som har rapporteret dette problem.

  • Safari

    CVE-id: CVE-2007-3761

    Indvirkning: Besøg på et ondsindet websted kan resultere i cross-site scripting

    Beskrivelse: Et problem med cross-site scripting i Safari tillader, at JavaScript-hændelser knyttes til den forkerte ramme. Ved at friste en bruger til at besøge et ondsindet udfærdiget webside kan en angriber udløse udførsel af JavaScript i konteksten på et andet sted. Denne opdatering behandler problemet ved at knytte JavaScript-hændelser til den korrekte kilderamme.

  • Safari

    CVE-id: CVE-2007-4671

    Indvirkning: JavaScript på webstedet kan have adgang til eller manipulere indholdet på dokumenter, der håndteres over HTTPS

    Beskrivelse: Et problem i Safari tillader, at indhold, der håndteres over HTTP, ændrer eller får adgang til indhold, der håndteres over HTTPS, i det samme domæne. Ved at friste en bruger til at besøge et ondsindet udfærdiget webside kan en angriber udløse udførsel af JavaScript i konteksten på HTTPS-websteder i dette domæne. Denne opdatering behandler problemet ved at begrænse adgang mellem JavaScript-udførsel i HTTP- og HTTPS-rammer. Tak til Keigo Yamazaki fra LAC Co., Ltd. (Little eArth Corporation Co., Ltd.), som har rapporteret dette problem.

Bemærkning til installationen:

Denne opdatering er kun tilgængelig gennem iTunes og vises ikke i din computers Software Update-applikation eller på Apple Downloads-stedet. Kontroller, at du har en internetforbindelse og har installeret den nyeste version af iTunes fra www.apple.com/dk/itunes

iTunes kontrollerer automatisk Apples opdateringsserver hver uge. Hvis der registreres en opdatering, bliver den hentet. Når iPhone er dokket, giver iTunes brugeren mulighed for at installere opdateringen. Vi anbefaler, at opdateringen straks anvendes, hvis det er muligt. Ved valg af "Don't install" vises indstillingen næste gang, du tilslutter din iPhone.

Den automatiske opdateringsproces kan tage op til en uge, afhængigt af hvilken dag iTunes kontrollerer, om der er opdateringer. Du kan manuelt hente opdateringen via knappen "Check for Update" i iTunes. Når du har gjort dette, kan opdateringen anvendes, når din iPhone dokkes til din computer.

Sådan kontrollerer du, om iPhone er blevet opdateret:

  1. Naviger til Settings
  2. Klik på General
  3. Klik på About. Versionen efter anvendelse af denne opdatering er "1.1.1 (3A109a)"
Udgivelsesdato: