Om sikkerhedsindholdet af iOS 4.3.2-softwareopdatering

I dette dokument beskrives sikkerhedsindholdet af softwareopdateringen til iOS 4.3.2.

I dette dokument beskrives sikkerhedsindholdet i iOS 4.3.2-softwareopdateringen, som kan hentes og installeres ved hjælp af iTunes.

Af hensyn til vores kunders sikkerhed omtaler eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Du kan finde flere oplysninger om PGP-nøglen til Apple-produktsikkerhed i artiklen Sådan bruges PGP-nøglen til Apple-produktsikkerhed.

Hvor det er muligt, anvendes der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.

iOS 4.3.2-softwareopdatering

  • Politik for certifikatgodkendelse

    Tilgængelig til: iOS 3.0 til 4.3.1 til iPhone 3GS og nyere, iOS 3.1 til 4.3.1 til iPod touch (3. generation) og nyere, iOS 3.2 til 4.3.1 til iPad

    Effekt: En hacker med en priviligeret netværksposition kan opfange brugerens adgangsoplysninger eller andre følsomme oplysninger

    Beskrivelse: Flere falske SSL-certifikater blev udgivet af en Comodo-ARA (Affiliate Registration Authority). Dette gør det muligt for en MITM-hacker at omdirigere forbindelser og opfange brugerens adgangsoplysninger eller andre følsomme oplysninger. Dette problem løses ved at sortliste de falske certifikater.

    Bemærk: I Mac OS X-systemer løses dette problem med sikkerhedsopdatering 2011-002. I Windows-systemer er Safari afhængig af værtsoperativsystemets certifikatbibliotek, når det skal registrere, om et SSL-servercertifikat er troværdigt. Anvendelse af den opdatering, der beskrives i Microsoft Knowledge Base-artikel 2524375, medfører, at Safari anser disse certifikater for at være utroværdige. Denne artikel er tilgængelig på http://support.microsoft.com/kb/2524375/da-dk

  • libxslt

    Tilgængelig til: iOS 3.0 til 4.3.1 til iPhone 3GS og nyere, iOS 3.1 til 4.3.1 til iPod touch (3. generation) og nyere, iOS 3.2 til 4.3.1 til iPad

    Effekt: Besøg på et skadeligt udformet websted kan medføre afsløring af adresser på heapbufferen

    Beskrivelse: libxslt's implementering af generate-id() XPath-funktionen har afsløret adressen på en heapbuffer. Visning af et skadeligt websted kan medføre afsløring af adresser på heapbufferen, der kan være med til at tilsidesætte beskyttelse af ASLR (Address Space Layout Randomization). Dette problem løses ved at generere et id baseret på forskellen på de to heapbufferes adresser.

    CVE-id

    CVE-2011-0195: Chris Evans fra Google Chrome Security Team

  • QuickLook

    Tilgængelig til: iOS 3.0 til 4.3.1 til iPhone 3GS og nyere, iOS 3.1 til 4.3.1 til iPod touch (3. generation) og nyere, iOS 3.2 til 4.3.1 til iPad

    Effekt: Visning af en skadelig Microsoft Office-fil kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der er en hukommelsesfejl i forbindelse med håndteringen af Microsoft Office-arkiver i QuickLook. Visning af en skadelig Microsoft Office-fil kan medføre pludselig programlukning eller kørsel af vilkårlig kode.

    CVE-id

    CVE-2011-1417: Charlie Miller og Dion Blazakis, som arbejder for TippingPoints Zero Day Initiative

  • WebKit

    Tilgængelig til: iOS 3.0 til 4.3.1 til iPhone 3GS og nyere, iOS 3.1 til 4.3.1 til iPod touch (3. generation) og nyere, iOS 3.2 til 4.3.1 til iPad

    Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med heltalsoverløb i håndteringen af nodesæt. Et besøg på et skadeligt websted kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode.

    CVE-id

    CVE-2011-1290: Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp Weinmann og en anonym forsker, som arbejder for TippingPoints Zero Day Initiative

  • WebKit

    Tilgængelig til: iOS 3.0 til 4.3.1 til iPhone 3GS og nyere, iOS 3.1 til 4.3.1 til iPod touch (3. generation) og nyere, iOS 3.2 til 4.3.1 til iPad

    Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med "use after free" i håndteringen af tekstnoder. Et besøg på et skadeligt websted kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode.

    CVE-id

    CVE-2011-1344: Vupen Security, som arbejder for TippingPoints Zero Day Initiative og Martin Barbella

Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.

Udgivelsesdato: