I dette dokument beskrives sikkerhedsindholdet i iOS 4.3, som kan hentes og installeres ved hjælp af iTunes.
Af hensyn til vores kunders sikkerhed omtaler eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.
Du kan finde flere oplysninger om PGP-nøglen til Apple-produktsikkerhed i artiklen Sådan bruges PGP-nøglen til Apple-produktsikkerhed.
Hvor det er muligt, anvendes der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.
Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.
iOS 4.3
-
CoreGraphics
Fås til: iOS 3.0 til 4.2.1 til iPhone 3GS og nyere, iOS 3.1 til 4.2.1 til iPod touch (3. generation) og nyere, iOS 3.2 til 4.2.1 til iPad
Effekt: Flere sikkerhedsrisici i FreeType
Beskrivelse: FreeType indeholder flere svagheder, hvoraf den mest alvorlige kan medføre vilkårlig afvikling af kode ved behandling af en skadelig skrift. Disse problemer løses ved at opdatere FreeType til version 2.4.3. Du kan finde flere oplysninger via FreeType-webstedet på http://www.freetype.org/
CVE-id
CVE-2010-3855
-
ImageIO
Fås til: iOS 3.0 til 4.2.1 til iPhone 3GS og nyere, iOS 3.1 til 4.2.1 til iPod touch (3. generation) og nyere, iOS 3.2 til 4.2.1 til iPad
Effekt: Visning af et TIFF-billede med skadelig kode kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et bufferoverløbsproblem i heap i libTIFF's håndtering af TIFF-billeder. Visning af et TIFF-billede med skadelig software kan medføre pludselig programlukning eller kørsel af vilkårlig kode.
CVE-id
CVE-2011-0191: Apple
-
ImageIO
Fås til: iOS 3.0 til 4.2.1 til iPhone 3GS og nyere, iOS 3.1 til 4.2.1 til iPod touch (3. generation) og nyere, iOS 3.2 til 4.2.1 til iPad
Effekt: Visning af et TIFF-billede med skadelig kode kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et bufferoverløbsproblem i heap i libTIFF's håndtering af CCITT Group 4-kodede TIFF-billeder. Visning af et TIFF-billede med skadelig software kan medføre pludselig programlukning eller kørsel af vilkårlig kode.
CVE-id
CVE-2011-0192: Apple
-
libxml
Fås til: iOS 3.0 til 4.2.1 til iPhone 3GS og nyere, iOS 3.1 til 4.2.1 til iPod touch (3. generation) og nyere, iOS 3.2 til 4.2.1 til iPad
Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et dobbelt "use after free"-problem med libxml's håndtering af XPath-udtryk. Et besøg på et skadeligt websted kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode.
CVE-id
CVE-2010-4494: Yang Dingning fra NCNIPC, Graduate University of Chinese Academy of Sciences
-
Netværk
Fås til: iOS 3.0 til 4.2.1 til iPhone 3GS og nyere, iOS 3.1 til 4.2.1 til iPod touch (3. generation) og nyere, iOS 3.2 til 4.2.1 til iPad
Effekt: En server kan være i stand til at identificere en enhed på tværs af forbindelser
Beskrivelse: Den IPv6-adresse, der er valgt af enheden, indeholder enhedens MAC-adresse, hvis der bruges SLAAC (Stateless Adress Autoconfiguration). En server, der har aktiveret IPv6 og kontaktes af enheden, kan bruge adressen til at spore enheden på tværs af forbindelser. Opdateringen implementerer den IPv6-udvidelse, der er beskrevet i RFC 3041, ved at tilføje en midlertidig vilkårlig adresse, som bruges til udgående forbindelser.
-
Safari
Fås til: iOS 3.0 til 4.2.1 til iPhone 3GS og nyere, iOS 3.1 til 4.2.1 til iPod touch (3. generation) og nyere, iOS 3.2 til 4.2.1 til iPad
Effekt: Et besøg på et skadeligt websted kan medføre, at MobileSafari lukkes efter start
Beskrivelse: Et skadeligt websted kan indeholde javascript, der løbende får et andet program på enheden til at starte via URL-handleren. Ved besøg på webstedet med MobileSafari lukkes MobileSafari, og målprogrammet åbnes. Sekvensen gentages, hver gang MobileSafari åbnes. Problemet løses ved at gå tilbage til den foregående side, hvis Safari genåbnes, efter at et andet program blev startet via URL-handleren.
CVE-id
CVE-2011-0158: Nitesh Dhanjani fra Ernst & Young LLP
-
Safari
Fås til: iOS 4.0 til 4.2.1 til iPhone 3GS og nyere, iOS 4.0 til 4.2.1 til iPod touch (3. generation) og nyere, iOS 4.2 til 4.2.1 til iPad
Effekt: Det har muligvis ingen virkning at slette cookies i indstillingerne i Safari
Beskrivelse: I nogle tilfælde virker det ikke at slette cookies via indstillingerne i Safari, mens Safari kører. Problemet løses ved forbedret håndtering af cookies. Problemet berører ikke systemer, der er ældre end iOS 4.0.
CVE-id
CVE-2011-0159: Erik Wong fra Google Inc.
-
WebKit
Fås til: iOS 3.0 til 4.2.1 til iPhone 3GS og nyere, iOS 3.1 til 4.2.1 til iPod touch (3. generation) og nyere, iOS 3.2 til 4.2.1 til iPad
Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der er flere problemer med beskadiget hukommelse i WebKit. Et besøg på et skadeligt websted kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode.
CVE-id
CVE-2010-1792
CVE-2010-1824: kuzzcc og wushi fra team509, som arbejder for TippingPoints Zero Day Initiative
CVE-2011-0111: Sergey Glazunov
CVE-2011-0112: Yuzo Fujishima fra Google Inc.
CVE-2011-0113: Andreas Kling fra Nokia
CVE-2011-0114: Chris Evans fra Google Chrome Security Team
CVE-2011-0115: J23, som arbejder for TippingPoints Zero Day Initiative, og Emil A Eklund fra Google, Inc.
CVE-2011-0116: En anonym forsker, som arbejder for TippingPoints Zero Day Initiative
CVE-2011-0117: Abhishek Arya (Inferno) fra Google, Inc.
CVE-2011-0118: Abhishek Arya (Inferno) fra Google, Inc.
CVE-2011-0119: Abhishek Arya (Inferno) fra Google, Inc.
CVE-2011-0120: Abhishek Arya (Inferno) fra Google, Inc.
CVE-2011-0121: Abhishek Arya (Inferno) fra Google, Inc.
CVE-2011-0122: Slawomir Blazek
CVE-2011-0123: Abhishek Arya (Inferno) fra Google, Inc.
CVE-2011-0124: Yuzo Fujishima fra Google Inc.
CVE-2011-0125: Abhishek Arya (Inferno) fra Google, Inc.
CVE-2011-0126: Mihai Parparita fra Google, Inc.
CVE-2011-0127: Abhishek Arya (Inferno) fra Google, Inc.
CVE-2011-0128: David Bloom
CVE-2011-0129: Famlam
CVE-2011-0130: Apple
CVE-2011-0131: wushi fra team509
CVE-2011-0132: wushi fra team509, som arbejder for TippingPoints Zero Day Initiative
CVE-2011-0133: wushi fra team509, som arbejder for TippingPoints Zero Day Initiative
CVE-2011-0134: Jan Tosovsky
CVE-2011-0135: En anonym anmelder
CVE-2011-0136: Sergey Glazunov
CVE-2011-0137: Sergey Glazunov
CVE-2011-0138: kuzzcc
CVE-2011-0140: Sergey Glazunov
CVE-2011-0141: Chris Rohlf fra Matasano Security
CVE-2011-0142: Abhishek Arya (Inferno) fra Google, Inc.
CVE-2011-0143: Slawomir Blazek og Sergey Glazunov
CVE-2011-0144: Emil A Eklund fra Google, Inc.
CVE-2011-0145: Abhishek Arya (Inferno) fra Google, Inc.
CVE-2011-0146: Abhishek Arya (Inferno) fra Google, Inc.
CVE-2011-0147: Dirk Schulze
CVE-2011-0148: Michal Zalewski fra Google, Inc.
CVE-2011-0149: wushi fra team509, som arbejder for TippingPoints Zero Day Initiative, og SkyLined fra Google Chrome Security Team
CVE-2011-0150: Michael Gundlach fra safariadblock.com
CVE-2011-0151: Abhishek Arya (Inferno) fra Google, Inc.
CVE-2011-0152: SkyLined fra Google Chrome Security Team
CVE-2011-0153: Abhishek Arya (Inferno) fra Google, Inc.
CVE-2011-0154: En anonym forsker, som arbejder for TippingPoints Zero Day Initiative
CVE-2011-0155: Aki Helin fra OUSPG
CVE-2011-0156: Abhishek Arya (Inferno) fra Google, Inc.
CVE-2011-0157: Benoit Jacob fra Mozilla
CVE-2011-0168: Sergey Glazunov
-
WebKit
Fås til: iOS 3.0 til 4.2.1 til iPhone 3GS og nyere, iOS 3.1 til 4.2.1 til iPod touch (3. generation) og nyere, iOS 3.2 til 4.2.1 til iPad
Effekt: Legitimationsoplysninger via HTTP Basic Authentication kan ved en fejl blive tilgængelige for et andet websted
Beskrivelse: Hvis et websted bruger HTTP Basic Authentication og omdirigeres til et andet websted, sendes legitimationsoplysningerne muligvis til dette websted. Problemet løses ved forbedret håndtering af legitimationsoplysninger.
CVE-id
CVE-2011-0160: McIntosh Cooey fra Twelve Hundred Group, Harald Hanche-Olsen, Chuck Hohn fra 1111 Internet LLC, der arbejder med CERT, og Paul Hinze fra Braintree
-
WebKit
Fås til: iOS 3.0 til 4.2.1 til iPhone 3GS og nyere, iOS 3.1 til 4.2.1 til iPod touch (3. generation) og nyere, iOS 3.2 til 4.2.1 til iPad
Effekt: Et besøg på et skadeligt websted kan medføre formdeklarationer på tværs af websteder
Beskrivelse: Der er et cross-origin-problem i forbindelse med WebKits håndtering af Attr.style-accessor. Et besøg på et skadeligt websted kan tillade webstedet at indsætte CSS i andre dokumenter. Problemet løses ved at fjerne Attr.style-accessoren.
CVE-id
CVE-2011-0161: Apple
-
WebKit
Fås til: iOS 3.0 til 4.2.1 til iPhone 3GS og nyere, iOS 3.1 til 4.2.1 til iPod touch (3. generation) og nyere, iOS 3.2 til 4.2.1 til iPad
Effekt: Et besøg på et skadeligt websted kan forhindre andre websteder i at anmode om visse ressourcer
Beskrivelse: Der er et problem med uautoriseret ændring af cachen i WebKits håndtering af cachelagrede ressourcer. Et skadeligt websted kan forhindre andre websteder i at anmode om visse ressourcer. Dette problem løses gennem forbedret skriftkontrol.
CVE-id
CVE-2011-0163: Apple
-
Wi-Fi
Fås til: iOS 3.0 til 4.2.1 til iPhone 3GS og nyere, iOS 3.1 til 4.2.1 til iPod touch (3. generation) og nyere, iOS 3.2 til 4.2.1 til iPad
Effekt: Hvis en enhed er sluttet til Wi-Fi, kan en hacker på samme netværk muligvis forårsage, at enheden nulstilles
Beskrivelse: Der var et problem med kontrol af grænser i håndteringen af Wi-Fi-rammer. Hvis en enhed er sluttet til Wi-Fi, kan en hacker på samme netværk muligvis forårsage, at enheden nulstilles.
CVE-id
CVE-2011-0162: Scott Boyd fra ePlus Technology, inc.