Om sikkerhedsindholdet i iOS 4.3

Dette dokument indeholder en beskrivelse af sikkerhedsindholdet i iOS 4.3.

I dette dokument beskrives sikkerhedsindholdet i iOS 4.3, som kan hentes og installeres ved hjælp af iTunes.

Af hensyn til vores kunders sikkerhed omtaler eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Du kan finde flere oplysninger om PGP-nøglen til Apple-produktsikkerhed i artiklen Sådan bruges PGP-nøglen til Apple-produktsikkerhed.

Hvor det er muligt, anvendes der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.

iOS 4.3

  • CoreGraphics

    Fås til: iOS 3.0 til 4.2.1 til iPhone 3GS og nyere, iOS 3.1 til 4.2.1 til iPod touch (3. generation) og nyere, iOS 3.2 til 4.2.1 til iPad

    Effekt: Flere sikkerhedsrisici i FreeType

    Beskrivelse: FreeType indeholder flere svagheder, hvoraf den mest alvorlige kan medføre vilkårlig afvikling af kode ved behandling af en skadelig skrift. Disse problemer løses ved at opdatere FreeType til version 2.4.3. Du kan finde flere oplysninger via FreeType-webstedet på http://www.freetype.org/

    CVE-id

    CVE-2010-3855

  • ImageIO

    Fås til: iOS 3.0 til 4.2.1 til iPhone 3GS og nyere, iOS 3.1 til 4.2.1 til iPod touch (3. generation) og nyere, iOS 3.2 til 4.2.1 til iPad

    Effekt: Visning af et TIFF-billede med skadelig kode kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et bufferoverløbsproblem i heap i libTIFF's håndtering af TIFF-billeder. Visning af et TIFF-billede med skadelig software kan medføre pludselig programlukning eller kørsel af vilkårlig kode.

    CVE-id

    CVE-2011-0191: Apple

  • ImageIO

    Fås til: iOS 3.0 til 4.2.1 til iPhone 3GS og nyere, iOS 3.1 til 4.2.1 til iPod touch (3. generation) og nyere, iOS 3.2 til 4.2.1 til iPad

    Effekt: Visning af et TIFF-billede med skadelig kode kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et bufferoverløbsproblem i heap i libTIFF's håndtering af CCITT Group 4-kodede TIFF-billeder. Visning af et TIFF-billede med skadelig software kan medføre pludselig programlukning eller kørsel af vilkårlig kode.

    CVE-id

    CVE-2011-0192: Apple

  • libxml

    Fås til: iOS 3.0 til 4.2.1 til iPhone 3GS og nyere, iOS 3.1 til 4.2.1 til iPod touch (3. generation) og nyere, iOS 3.2 til 4.2.1 til iPad

    Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et dobbelt "use after free"-problem med libxml's håndtering af XPath-udtryk. Et besøg på et skadeligt websted kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode.

    CVE-id

    CVE-2010-4494: Yang Dingning fra NCNIPC, Graduate University of Chinese Academy of Sciences

  • Netværk

    Fås til: iOS 3.0 til 4.2.1 til iPhone 3GS og nyere, iOS 3.1 til 4.2.1 til iPod touch (3. generation) og nyere, iOS 3.2 til 4.2.1 til iPad

    Effekt: En server kan være i stand til at identificere en enhed på tværs af forbindelser

    Beskrivelse: Den IPv6-adresse, der er valgt af enheden, indeholder enhedens MAC-adresse, hvis der bruges SLAAC (Stateless Adress Autoconfiguration). En server, der har aktiveret IPv6 og kontaktes af enheden, kan bruge adressen til at spore enheden på tværs af forbindelser. Opdateringen implementerer den IPv6-udvidelse, der er beskrevet i RFC 3041, ved at tilføje en midlertidig vilkårlig adresse, som bruges til udgående forbindelser.

  • Safari

    Fås til: iOS 3.0 til 4.2.1 til iPhone 3GS og nyere, iOS 3.1 til 4.2.1 til iPod touch (3. generation) og nyere, iOS 3.2 til 4.2.1 til iPad

    Effekt: Et besøg på et skadeligt websted kan medføre, at MobileSafari lukkes efter start

    Beskrivelse: Et skadeligt websted kan indeholde javascript, der løbende får et andet program på enheden til at starte via URL-handleren. Ved besøg på webstedet med MobileSafari lukkes MobileSafari, og målprogrammet åbnes. Sekvensen gentages, hver gang MobileSafari åbnes. Problemet løses ved at gå tilbage til den foregående side, hvis Safari genåbnes, efter at et andet program blev startet via URL-handleren.

    CVE-id

    CVE-2011-0158: Nitesh Dhanjani fra Ernst & Young LLP

  • Safari

    Fås til: iOS 4.0 til 4.2.1 til iPhone 3GS og nyere, iOS 4.0 til 4.2.1 til iPod touch (3. generation) og nyere, iOS 4.2 til 4.2.1 til iPad

    Effekt: Det har muligvis ingen virkning at slette cookies i indstillingerne i Safari

    Beskrivelse: I nogle tilfælde virker det ikke at slette cookies via indstillingerne i Safari, mens Safari kører. Problemet løses ved forbedret håndtering af cookies. Problemet berører ikke systemer, der er ældre end iOS 4.0.

    CVE-id

    CVE-2011-0159: Erik Wong fra Google Inc.

  • WebKit

    Fås til: iOS 3.0 til 4.2.1 til iPhone 3GS og nyere, iOS 3.1 til 4.2.1 til iPod touch (3. generation) og nyere, iOS 3.2 til 4.2.1 til iPad

    Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der er flere problemer med beskadiget hukommelse i WebKit. Et besøg på et skadeligt websted kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode.

    CVE-id

    CVE-2010-1792

    CVE-2010-1824: kuzzcc og wushi fra team509, som arbejder for TippingPoints Zero Day Initiative

    CVE-2011-0111: Sergey Glazunov

    CVE-2011-0112: Yuzo Fujishima fra Google Inc.

    CVE-2011-0113: Andreas Kling fra Nokia

    CVE-2011-0114: Chris Evans fra Google Chrome Security Team

    CVE-2011-0115: J23, som arbejder for TippingPoints Zero Day Initiative, og Emil A Eklund fra Google, Inc.

    CVE-2011-0116: En anonym forsker, som arbejder for TippingPoints Zero Day Initiative

    CVE-2011-0117: Abhishek Arya (Inferno) fra Google, Inc.

    CVE-2011-0118: Abhishek Arya (Inferno) fra Google, Inc.

    CVE-2011-0119: Abhishek Arya (Inferno) fra Google, Inc.

    CVE-2011-0120: Abhishek Arya (Inferno) fra Google, Inc.

    CVE-2011-0121: Abhishek Arya (Inferno) fra Google, Inc.

    CVE-2011-0122: Slawomir Blazek

    CVE-2011-0123: Abhishek Arya (Inferno) fra Google, Inc.

    CVE-2011-0124: Yuzo Fujishima fra Google Inc.

    CVE-2011-0125: Abhishek Arya (Inferno) fra Google, Inc.

    CVE-2011-0126: Mihai Parparita fra Google, Inc.

    CVE-2011-0127: Abhishek Arya (Inferno) fra Google, Inc.

    CVE-2011-0128: David Bloom

    CVE-2011-0129: Famlam

    CVE-2011-0130: Apple

    CVE-2011-0131: wushi fra team509

    CVE-2011-0132: wushi fra team509, som arbejder for TippingPoints Zero Day Initiative

    CVE-2011-0133: wushi fra team509, som arbejder for TippingPoints Zero Day Initiative

    CVE-2011-0134: Jan Tosovsky

    CVE-2011-0135: En anonym anmelder

    CVE-2011-0136: Sergey Glazunov

    CVE-2011-0137: Sergey Glazunov

    CVE-2011-0138: kuzzcc

    CVE-2011-0140: Sergey Glazunov

    CVE-2011-0141: Chris Rohlf fra Matasano Security

    CVE-2011-0142: Abhishek Arya (Inferno) fra Google, Inc.

    CVE-2011-0143: Slawomir Blazek og Sergey Glazunov

    CVE-2011-0144: Emil A Eklund fra Google, Inc.

    CVE-2011-0145: Abhishek Arya (Inferno) fra Google, Inc.

    CVE-2011-0146: Abhishek Arya (Inferno) fra Google, Inc.

    CVE-2011-0147: Dirk Schulze

    CVE-2011-0148: Michal Zalewski fra Google, Inc.

    CVE-2011-0149: wushi fra team509, som arbejder for TippingPoints Zero Day Initiative, og SkyLined fra Google Chrome Security Team

    CVE-2011-0150: Michael Gundlach fra safariadblock.com

    CVE-2011-0151: Abhishek Arya (Inferno) fra Google, Inc.

    CVE-2011-0152: SkyLined fra Google Chrome Security Team

    CVE-2011-0153: Abhishek Arya (Inferno) fra Google, Inc.

    CVE-2011-0154: En anonym forsker, som arbejder for TippingPoints Zero Day Initiative

    CVE-2011-0155: Aki Helin fra OUSPG

    CVE-2011-0156: Abhishek Arya (Inferno) fra Google, Inc.

    CVE-2011-0157: Benoit Jacob fra Mozilla

    CVE-2011-0168: Sergey Glazunov

  • WebKit

    Fås til: iOS 3.0 til 4.2.1 til iPhone 3GS og nyere, iOS 3.1 til 4.2.1 til iPod touch (3. generation) og nyere, iOS 3.2 til 4.2.1 til iPad

    Effekt: Legitimationsoplysninger via HTTP Basic Authentication kan ved en fejl blive tilgængelige for et andet websted

    Beskrivelse: Hvis et websted bruger HTTP Basic Authentication og omdirigeres til et andet websted, sendes legitimationsoplysningerne muligvis til dette websted. Problemet løses ved forbedret håndtering af legitimationsoplysninger.

    CVE-id

    CVE-2011-0160: McIntosh Cooey fra Twelve Hundred Group, Harald Hanche-Olsen, Chuck Hohn fra 1111 Internet LLC, der arbejder med CERT, og Paul Hinze fra Braintree

  • WebKit

    Fås til: iOS 3.0 til 4.2.1 til iPhone 3GS og nyere, iOS 3.1 til 4.2.1 til iPod touch (3. generation) og nyere, iOS 3.2 til 4.2.1 til iPad

    Effekt: Et besøg på et skadeligt websted kan medføre formdeklarationer på tværs af websteder

    Beskrivelse: Der er et cross-origin-problem i forbindelse med WebKits håndtering af Attr.style-accessor. Et besøg på et skadeligt websted kan tillade webstedet at indsætte CSS i andre dokumenter. Problemet løses ved at fjerne Attr.style-accessoren.

    CVE-id

    CVE-2011-0161: Apple

  • WebKit

    Fås til: iOS 3.0 til 4.2.1 til iPhone 3GS og nyere, iOS 3.1 til 4.2.1 til iPod touch (3. generation) og nyere, iOS 3.2 til 4.2.1 til iPad

    Effekt: Et besøg på et skadeligt websted kan forhindre andre websteder i at anmode om visse ressourcer

    Beskrivelse: Der er et problem med uautoriseret ændring af cachen i WebKits håndtering af cachelagrede ressourcer. Et skadeligt websted kan forhindre andre websteder i at anmode om visse ressourcer. Dette problem løses gennem forbedret skriftkontrol.

    CVE-id

    CVE-2011-0163: Apple

  • Wi-Fi

    Fås til: iOS 3.0 til 4.2.1 til iPhone 3GS og nyere, iOS 3.1 til 4.2.1 til iPod touch (3. generation) og nyere, iOS 3.2 til 4.2.1 til iPad

    Effekt: Hvis en enhed er sluttet til Wi-Fi, kan en hacker på samme netværk muligvis forårsage, at enheden nulstilles

    Beskrivelse: Der var et problem med kontrol af grænser i håndteringen af Wi-Fi-rammer. Hvis en enhed er sluttet til Wi-Fi, kan en hacker på samme netværk muligvis forårsage, at enheden nulstilles.

    CVE-id

    CVE-2011-0162: Scott Boyd fra ePlus Technology, inc.

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: