Om sikkerhedsindholdet af iOS 4.3.2-softwareopdatering

I dette dokument beskrives sikkerhedsindholdet af softwareopdateringen til iOS 4.3.2.

I dette dokument beskrives sikkerhedsindholdet i iOS 4.3.2-softwareopdateringen, som kan hentes og installeres ved hjælp af iTunes.

Af hensyn til vores kunders sikkerhed omtaler eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Du kan finde flere oplysninger om PGP-nøglen til Apple-produktsikkerhed i artiklen Sådan bruges PGP-nøglen til Apple-produktsikkerhed.

Hvor det er muligt, anvendes der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.

iOS 4.3.2-softwareopdatering

  • Politik for certifikatgodkendelse

    Tilgængelig til: iOS 3.0 til 4.3.1 til iPhone 3GS og nyere, iOS 3.1 til 4.3.1 til iPod touch (3. generation) og nyere, iOS 3.2 til 4.3.1 til iPad

    Effekt: En hacker med en priviligeret netværksposition kan opfange brugerens adgangsoplysninger eller andre følsomme oplysninger

    Beskrivelse: Flere falske SSL-certifikater blev udgivet af en Comodo-ARA (Affiliate Registration Authority). Dette gør det muligt for en MITM-hacker at omdirigere forbindelser og opfange brugerens adgangsoplysninger eller andre følsomme oplysninger. Dette problem løses ved at sortliste de falske certifikater.

    Bemærk: I Mac OS X-systemer løses dette problem med sikkerhedsopdatering 2011-002. I Windows-systemer er Safari afhængig af værtsoperativsystemets certifikatbibliotek, når det skal registrere, om et SSL-servercertifikat er troværdigt. Anvendelse af den opdatering, der beskrives i Microsoft Knowledge Base-artikel 2524375, medfører, at Safari anser disse certifikater for at være utroværdige. Denne artikel er tilgængelig på http://support.microsoft.com/kb/2524375/da-dk

  • libxslt

    Tilgængelig til: iOS 3.0 til 4.3.1 til iPhone 3GS og nyere, iOS 3.1 til 4.3.1 til iPod touch (3. generation) og nyere, iOS 3.2 til 4.3.1 til iPad

    Effekt: Besøg på et skadeligt udformet websted kan medføre afsløring af adresser på heapbufferen

    Beskrivelse: libxslt's implementering af generate-id() XPath-funktionen har afsløret adressen på en heapbuffer. Visning af et skadeligt websted kan medføre afsløring af adresser på heapbufferen, der kan være med til at tilsidesætte beskyttelse af ASLR (Address Space Layout Randomization). Dette problem løses ved at generere et id baseret på forskellen på de to heapbufferes adresser.

    CVE-id

    CVE-2011-0195: Chris Evans fra Google Chrome Security Team

  • QuickLook

    Tilgængelig til: iOS 3.0 til 4.3.1 til iPhone 3GS og nyere, iOS 3.1 til 4.3.1 til iPod touch (3. generation) og nyere, iOS 3.2 til 4.3.1 til iPad

    Effekt: Visning af en skadelig Microsoft Office-fil kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der er en hukommelsesfejl i forbindelse med håndteringen af Microsoft Office-arkiver i QuickLook. Visning af en skadelig Microsoft Office-fil kan medføre pludselig programlukning eller kørsel af vilkårlig kode.

    CVE-id

    CVE-2011-1417: Charlie Miller og Dion Blazakis, som arbejder for TippingPoints Zero Day Initiative

  • WebKit

    Tilgængelig til: iOS 3.0 til 4.3.1 til iPhone 3GS og nyere, iOS 3.1 til 4.3.1 til iPod touch (3. generation) og nyere, iOS 3.2 til 4.3.1 til iPad

    Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med heltalsoverløb i håndteringen af nodesæt. Et besøg på et skadeligt websted kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode.

    CVE-id

    CVE-2011-1290: Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp Weinmann og en anonym forsker, som arbejder for TippingPoints Zero Day Initiative

  • WebKit

    Tilgængelig til: iOS 3.0 til 4.3.1 til iPhone 3GS og nyere, iOS 3.1 til 4.3.1 til iPod touch (3. generation) og nyere, iOS 3.2 til 4.3.1 til iPad

    Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med "use after free" i håndteringen af tekstnoder. Et besøg på et skadeligt websted kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode.

    CVE-id

    CVE-2011-1344: Vupen Security, som arbejder for TippingPoints Zero Day Initiative og Martin Barbella

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: