Om sikkerhedsindholdet af iOS 5-softwareopdatering

I dette dokument beskrives sikkerhedsindholdet af softwareopdateringen til iOS 5.

I dette dokument beskrives sikkerhedsindholdet i iOS 5-softwareopdateringen, som kan hentes og installeres ved hjælp af iTunes.

Af hensyn til vores kunders sikkerhed omtaler eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Du kan finde flere oplysninger om PGP-nøglen til Apple-produktsikkerhed i artiklen Sådan bruges PGP-nøglen til Apple-produktsikkerhed.

Hvor det er muligt, anvendes der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan læse om andre sikkerhedsopdateringer i artiklen "Apple-sikkerhedsopdateringer".

iOS 5-softwareopdatering

  • CalDAV

    Fås til: iOS 3.0 til 4.3.5 til iPhone 3GS og iPhone 4, iOS 3.1 til 4.3.5 til iPod touch (3. generation) og nyere versioner, iOS 3.2 til 4.3.5 til iPad

    Effekt: En hacker med en priviligeret netværksposition kan muligvis opfange brugerens adgangsoplysninger eller andre følsomme oplysninger fra en CalDAV-kalenderserver

    Beskrivelse: CalDAV har ikke kontrolleret, om SSL-certifikatet fra serveren er godkendt.

    CVE-id

    CVE-2011-3253: Leszek Tasiemski fra nSense

  • Kalender

    Fås til: iOS 4.2.0 til 4.3.5 til iPhone 3GS og iPhone 4, iOS 4.2.0 til 4.3.5 til iPod touch (3. generation) og nyere, iOS 4.2.0 til 4.3.5 til iPad

    Effekt: Visning af en kalenderinvitation med skadelig kode kan medføre indsætning af script i det lokale domæne

    Beskrivelse: Der er et problem med scriptindsættelse i kalenderens behandling af invitationsnoter. Problemet er løst ved forbedret undvigelse ved specialtegn i invitationsnoter. Problemet berører ikke enheder med ældre versioner end iOS 4.2.0.

    CVE-id

    CVE-2011-3254: Rick Deacon

  • CFNetwork

    Fås til: iOS 3.0 til 4.3.5 til iPhone 3GS og iPhone 4, iOS 3.1 til 4.3.5 til iPod touch (3. generation) og nyere versioner, iOS 3.2 til 4.3.5 til iPad

    Effekt: Adgangskoden til brugerens Apple-id kan blive arkiveret i et lokalt arkiv

    Beskrivelse: Adgangskoden og brugernavnet til brugerens Apple-id arkiveres i et arkiv, der kan læses af programmer på enheden. Problemet er løst ved at undlade at arkivere brugeroplysningerne.

    CVE-id

    CVE-2011-3255: Peter Quade fra qdevelop

  • CFNetwork

    Fås til: iOS 3.0 til 4.3.5 til iPhone 3GS og iPhone 4, iOS 3.1 til 4.3.5 til iPod touch (3. generation) og nyere versioner, iOS 3.2 til 4.3.5 til iPad

    Effekt: Besøg på et skadeligt websted kan medføre afsløring af følsomme oplysninger

    Beskrivelse: Der opstod et problem med CFNetworks håndtering af HTTP-cookies. Ved adgang til en HTTP- eller HTTPS-URL-adresse med skadelig kode kan CFNetwork fejlagtigt sende cookies for et domæne til en server uden for domænet.

    CVE-id

    CVE-2011-3246: Erling Ellingsen fra Facebook

  • CoreFoundation

    Fås til: iOS 3.0 til 4.3.5 til iPhone 3GS og iPhone 4, iOS 3.1 til 4.3.5 til iPod touch (3. generation) og nyere versioner, iOS 3.2 til 4.3.5 til iPad

    Effekt: Visning af et skadeligt websted eller skadelig e-mail kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der er en hukommelsesfejl i forbindelse med håndtering af opdeling i tokens i CoreFoundation.

    CVE-id

    CVE-2011-0259: Apple

  • CoreGraphics

    Fås til: iOS 3.0 til 4.3.5 til iPhone 3GS og iPhone 4, iOS 3.1 til 4.3.5 til iPod touch (3. generation) og nyere versioner, iOS 3.2 til 4.3.5 til iPad

    Effekt: Visning af et dokument, der indeholder en skrift med skadelig kode, kan medføre vilkårlig kørsel af kode

    Beskrivelse: FreeType indeholdt flere svagheder, hvoraf den mest alvorlige kan medføre kørsel af vilkårlig kode ved behandling af en skadelig skrift.

    CVE-id

    CVE-2011-3256: Apple

  • CoreMedia

    Fås til: iOS 3.0 til 4.3.5 til iPhone 3GS og iPhone 4, iOS 3.1 til 4.3.5 til iPod touch (3. generation) og nyere versioner, iOS 3.2 til 4.3.5 til iPad

    Effekt: Besøg på et skadeligt websted kan medføre videregivelse af videodata fra et andet websted

    Beskrivelse: Der opstod et cross-origin-problem med CoreMedias håndtering af videresendelse til andre websteder. Problemet er løst ved forbedret oprindelsessporing.

    CVE-id

    CVE-2011-0187: Nirankush Panchbhai og Microsoft Vulnerability Research (MSVR)

  • Dataadgang

    Fås til: iOS 3.0 til 4.3.5 til iPhone 3GS og iPhone 4, iOS 3.1 til 4.3.5 til iPod touch (3. generation) og nyere versioner, iOS 3.2 til 4.3.5 til iPad

    Effekt: Et håndteringsproblem med Exchange-cookies kan ved en fejl medføre datasynkronisering på tværs af forskellige konti

    Beskrivelse: Hvis flere Excange-e-mail-konti er konfigureret med forbindelse til samme server, kan en session modtage en gyldig cookie, der hører til en anden konto. Problemet er løst ved at sikre, at cookies adskilles mellem forskellige konti.

    CVE-id

    CVE-2011-3257: Bob Sielken fra IBM

  • Datasikkerhed

    Fås til: iOS 3.0 til 4.3.5 til iPhone 3GS og iPhone 4, iOS 3.1 til 4.3.5 til iPod touch (3. generation) og nyere versioner, iOS 3.2 til 4.3.5 til iPad

    Effekt: En hacker med en priviligeret netværksposition kan opfange brugerens adgangsoplysninger eller andre følsomme oplysninger

    Beskrivelse: Falske certifikater er udstedt af flere certificeringsautoriteter, som håndteres af DigiNotar. Dette problem er løst ved at fjerne DigiNotar fra listen med sikre rodcertifikater og listen med EV-certificeringsautoriteter (Extended Validation) og ved at konfigurere standardindstillingerne for godkendelse, så DigiNotars certifikater (inkl. certifikater, som er udstedt af andre autoriteter) ikke godkendes.

  • Datasikkerhed

    Fås til: iOS 3.0 til 4.3.5 til iPhone 3GS og iPhone 4, iOS 3.1 til 4.3.5 til iPod touch (3. generation) og nyere versioner, iOS 3.2 til 4.3.5 til iPad

    Effekt: Understøttelse af X.509-certifikater med MD5-hashes kan udsætte brugeren for svindel og offentliggørelse af oplysninger, når angrebene udvikles

    Beskrivelse: Certifikater, der er signeret ved hjælp af MD5-hash-algoritmen, blev godkendt af iOS. Algoritmen har krypteringsmæssige svagheder. Yderligere undersøgelser eller en forkert konfigureret certifikatmyndighed kunne have tilladt oprettelse af X.509-certifikater med hackerkontrollerede værdier, der ville være blevet godkendt af systemet. Dette kunne have udsat X.509-baserede protokoller for spoofing, MITM-angreb og afsløring af oplysninger. Opdateringen deaktiverer understøttelse af X.509-certifikater med en MD5-hash ved brug som andet end et godkendt rodcertifikat.

    CVE-id

    CVE-2011-3427

  • Datasikkerhed

    Fås til: iOS 3.0 til 4.3.5 til iPhone 3GS og iPhone 4, iOS 3.1 til 4.3.5 til iPod touch (3. generation) og nyere versioner, iOS 3.2 til 4.3.5 til iPad

    Effekt: En hacker kan dekryptere dele af en SSL-forbindelse

    Beskrivelse: Kun SSLv3- og TLS 1.0-versionerne af SSL var understøttet. Versionerne har en protokolsvaghed, når der bruges blokkodning. En MITM-hacker kunne have indsat ugyldige data, hvilket ville få forbindelsen til at blive afbrudt, men afsløre nogle oplysninger om de foregående data. Hvis samme forbindelse blev angrebet gentagne gange, kan hackeren have været i stand til at dekryptere de sendte data – f.eks. en adgangskode. Problemet er løst ved at integrere understøttelse af TLS 1.2.

    CVE-id

    CVE-2011-3389

  • Hjemmeskærmen

    Fås til: iOS 3.0 til 4.3.5 til iPhone 3GS og iPhone 4, iOS 3.1 til 4.3.5 til iPod touch (3. generation) og nyere versioner, iOS 3.2 til 4.3.5 til iPad

    Effekt: Skift mellem programmer kan medføre afsløring af følsomme programoplysninger

    Beskrivelse: Ved skift mellem programmer med programskiftbevægelsen med fire fingre kan skærmen have vist den foregående programstatus. Problemet er løst ved at sikre, at systemet læser metoden applicationWillResignActive: korrekt ved skift mellem programmer.

    CVE-id

    CVE-2011-3431: Abe White fra Hedonic Software Inc.

  • ImageIO

    Fås til: iOS 3.0 til 4.3.5 til iPhone 3GS og iPhone 4, iOS 3.1 til 4.3.5 til iPod touch (3. generation) og nyere versioner, iOS 3.2 til 4.3.5 til iPad

    Effekt: Visning af et TIFF-billede med skadelig kode kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et bufferoverløbsproblem i libTIFF's håndtering af CCITT Group 4-kodede TIFF-billeder.

    CVE-id

    CVE-2011-0192: Apple

  • ImageIO

    Fås til: iOS 3.0 til 4.3.5 til iPhone 3GS og iPhone 4, iOS 3.1 til 4.3.5 til iPod touch (3. generation) og nyere versioner, iOS 3.2 til 4.3.5 til iPad

    Effekt: Visning af et skadeligt TIFF-billede kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et bufferoverløbsproblem i heap i ImageIO's håndtering af CCITT Group 4-kodede TIFF-billeder.

    CVE-id

    CVE-2011-0241: Cyril CATTIAUX fra Tessi Technologies

  • Internationale komponenter til Unicode

    Fås til: iOS 3.0 til 4.3.5 til iPhone 3GS og iPhone 4, iOS 3.1 til 4.3.5 til iPod touch (3. generation) og nyere versioner, iOS 3.2 til 4.3.5 til iPad

    Effekt: Programmer, der bruger ICU, kan være udsat for pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et bufferoverløbsproblem med ICU's generering af collation keys til lange strenge med primært store bogstaver.

    CVE-id

    CVE-2011-0206: David Bienvenu fra Mozilla

  • Kernel

    Fås til: iOS 3.0 til 4.3.5 til iPhone 3GS og iPhone 4, iOS 3.1 til 4.3.5 til iPod touch (3. generation) og nyere versioner, iOS 3.2 til 4.3.5 til iPad

    Effekt: En hacker kan muligvis udløse nulstilling af enheden

    Beskrivelse: Det mislykkedes for kernen at få hukommelse tilbage fra ufuldstændige TCP-forbindelser omgående En hacker med mulighed for at oprette forbindelse til en lyttetjeneste på en iOS-enhed kan sluge systemressourcerne.

    CVE-id

    CVE-2011-3259: Wouter van der Veer fra Topicus I&I og Josh Enders

  • Kernel

    Fås til: iOS 3.0 til 4.3.5 til iPhone 3GS og iPhone 4, iOS 3.1 til 4.3.5 til iPod touch (3. generation) og nyere versioner, iOS 3.2 til 4.3.5 til iPad

    Effekt: En lokal bruger kan muligvis udløse nulstilling af systemet

    Beskrivelse: Der var et problem med null pointer-dereference i håndteringen af IPv6-socketindstillingerne.

    CVE-id

    CVE-2011-1132: Thomas Clement fra Intego

  • Tastaturer

    Fås til: iOS 3.0 til 4.3.5 til iPhone 3GS og iPhone 4, iOS 3.1 til 4.3.5 til iPod touch (3. generation) og nyere versioner, iOS 3.2 til 4.3.5 til iPad

    Effekt: En bruger kan muligvis få oplysninger om det sidste tegn i en adgangskode

    Beskrivelse: Det tastatur, der blev brugt til at indtaste det sidste tegn i en adgangskode, vises kortvarigt, næste gang tastaturet bruges.

    CVE-id

    CVE-2011-3245: Paul Mousdicas

  • libxml

    Fås til: iOS 3.0 til 4.3.5 til iPhone 3GS og iPhone 4, iOS 3.1 til 4.3.5 til iPod touch (3. generation) og nyere versioner, iOS 3.2 til 4.3.5 til iPad

    Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et bufferoverløbsproblem på en byte i libxml's håndtering af XML-data.

    CVE-id

    CVE-2011-0216: Billy Rios fra Google Security Team

  • OfficeImport

    Fås til: iOS 3.0 til 4.3.5 til iPhone 3GS og iPhone 4, iOS 3.1 til 4.3.5 til iPod touch (3. generation) og nyere versioner, iOS 3.2 til 4.3.5 til iPad

    Effekt: Visning af et skadeligt Word-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et bufferoverløbsproblem med OfficeImports håndtering af Microsoft Word-dokumenter.

    CVE-id

    CVE-2011-3260: Tobias Klein, som arbejder for Verisign iDefense Labs

  • OfficeImport

    Fås til: iOS 3.0 til 4.3.5 til iPhone 3GS og iPhone 4, iOS 3.1 til 4.3.5 til iPod touch (3. generation) og nyere versioner, iOS 3.2 til 4.3.5 til iPad

    Effekt: Visning af et skadeligt Excel-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et double free-problem i OfficeImports håndtering af Microsoft Excel-arkiver.

    CVE-id

    CVE-2011-3261: Tobias Klein fra www.trapkit.de

  • OfficeImport

    Fås til: iOS 3.0 til 4.3.5 til iPhone 3GS og iPhone 4, iOS 3.1 til 4.3.5 til iPod touch (3. generation) og nyere versioner, iOS 3.2 til 4.3.5 til iPad

    Effekt: Overførsel af et skadeligt Microsoft Office-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var en hukommelsesfejl i forbindelse med OfficeImports håndtering af Microsoft Office-arkiver.

    CVE-id

    CVE-2011-0208: Tobias Klein, som arbejder for iDefense VCP

  • OfficeImport

    Fås til: iOS 3.0 til 4.3.5 til iPhone 3GS og iPhone 4, iOS 3.1 til 4.3.5 til iPod touch (3. generation) og nyere versioner, iOS 3.2 til 4.3.5 til iPad

    Effekt: Overførsel af et skadeligt Excel-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var en hukommelsesfejl i forbindelse med OfficeImports håndtering af Excel-arkiver.

    CVE-id

    CVE-2011-0184: Tobias Klein, som arbejder for iDefense VCP

  • Safari

    Fås til: iOS 3.0 til 4.3.5 til iPhone 3GS og iPhone 4, iOS 3.1 til 4.3.5 til iPod touch (3. generation) og nyere versioner, iOS 3.2 til 4.3.5 til iPad

    Effekt: Åbning af skadelige arkiver på visse websteder kan medføre et scripting-angreb på tværs af websteder

    Beskrivelse: iOS understøttede ikke værdien 'attachment' for HTTP Content-Disposition header. Headeren bruges på mange websteder til at behandle arkiver, der overføres til siden af tredjemand – f.eks. bilag i webbaserede e-mail-programmer. Et script i et arkiv, der behandles med denne headerværdi, ville køre, som om arkivet var blevet behandlet inline med fuld adgang til andre ressourcer på oprindelsesserveren. Problemet er løst ved at indlæse bilag på en isoleret sikkerhedsoprindelsesserver uden adgang til ressourcer på andre websteder.

    CVE-id

    CVE-2011-3426: Christian Matthies, der arbejder for iDefense VCP, Yoshinori Oota fra Business Architects Inc, der arbejder for JP/CERT

  • Indstillinger

    Fås til: iOS 3.0 til 4.3.5 til iPhone 3GS og iPhone 4, iOS 3.1 til 4.3.5 til iPod touch (3. generation) og nyere versioner, iOS 3.2 til 4.3.5 til iPad

    Effekt: En hacker med fysisk adgang til en enhed har mulighed for at gendanne adgangskoden for begrænsninger

    Beskrivelse: Den overordnede begrænsningsfunktionalitet medfører brugerfladebegrænsninger Indstilling af de overordnede begrænsninger er beskyttet med en adgangskode, som tidligere blev arkiveret som klartekst på disken. Problemet er løst ved at foretage sikker lagring af adgangskoden til overordnede begrænsninger i systemnøgleringen.

    CVE-id

    CVE-2011-3429: En anonym anmelder

  • Indstillinger

    Fås til: iOS 3.0 til 4.3.5 til iPhone 3GS og iPhone 4, iOS 3.1 til 4.3.5 til iPod touch (3. generation) og nyere versioner, iOS 3.2 til 4.3.5 til iPad

    Effekt: Misvisende brugergrænseflade

    Beskrivelse: Konfigurationer og indstillinger, der udføres via konfigurationsbeskrivelser, så ikke ud til at virke korrekt på andre sprog end engelsk. Der kunne derfor være fejl i visningen af indstillingerne. Problemet er løst ved at rette en lokaliseringsfejl.

    CVE-id

    CVE-2011-3430: Florian Kreitmaier fra Siemens CERT

  • UIKit-advarsler

    Fås til: iOS 3.0 til 4.3.5 til iPhone 3GS og iPhone 4, iOS 3.1 til 4.3.5 til iPod touch (3. generation) og nyere versioner, iOS 3.2 til 4.3.5 til iPad

    Effekt: Et skadeligt websted kan medføre, at en enhed pludselig ikke svarer

    Beskrivelse: En for stor maksimal tekstlayoutlængde gav skadelige websteder mulighed for at få iOS til at sidde fast ved behandling af godkendelsesdialoger for meget lange tel:-URI-strenge. Problemet er løst ved at anvende en mere passende maksimumlængde for URI-strenge.

    CVE-id

    CVE-2011-3432: Simon Young fra Anglia Ruskin University

  • WebKit

    Fås til: iOS 3.0 til 4.3.5 til iPhone 3GS og iPhone 4, iOS 3.1 til 4.3.5 til iPod touch (3. generation) og nyere versioner, iOS 3.2 til 4.3.5 til iPad

    Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var flere problemer med beskadiget hukommelse i WebKit.

    CVE-id

    CVE-2011-0218: SkyLined fra Google Chrome Security Team

    CVE-2011-0221: Abhishek Arya (Inferno) fra Google Chrome Security Team

    CVE-2011-0222: Nikita Tarakanov og Alex Bazhanyuk fra CISS Research Team samt Abhishek Arya (Inferno) fra Google Chrome Security Team

    CVE-2011-0225: Abhishek Arya (Inferno) fra Google Chrome Security Team

    CVE-2011-0232: J23, der arbejder for TippingPoints Zero Day Initiative

    CVE-2011-0233: wushi fra team509, der arbejder for TippingPoints Zero Day Initiative

    CVE-2011-0234: Rob King, som arbejder for TippingPoint's Zero Day Initiative, wushi fra team509, der arbejder for TippingPoint's Zero Day Initiative

    CVE-2011-0235: Abhishek Arya (Inferno) fra Google Chrome Security Team

    CVE-2011-0238: Adam Barth fra Google Chrome Security Team

    CVE-2011-0254: En anonym programmør, der arbejder for TippingPoints Zero Day Initiative

    CVE-2011-0255: En anonym anmelder, der arbejder for TippingPoints Zero Day Initiative

    CVE-2011-0981: Rik Cabanier fra Adobe Systems, Inc

    CVE-2011-0983: Martin Barbella

    CVE-2011-1109: Sergey Glazunov

    CVE-2011-1114: Martin Barbella

    CVE-2011-1115: Martin Barbella

    CVE-2011-1117: wushi fra team509

    CVE-2011-1121: miaubiz

    CVE-2011-1188: Martin Barbella

    CVE-2011-1203: Sergey Glazunov

    CVE-2011-1204: Sergey Glazunov

    CVE-2011-1288: Andreas Kling fra Nokia

    CVE-2011-1293: Sergey Glazunov

    CVE-2011-1296: Sergey Glazunov

    CVE-2011-1449: Marek Majkowski

    CVE-2011-1451: Sergey Glazunov

    CVE-2011-1453: wushi fra team509, som arbejder for TippingPoints Zero Day Initiative

    CVE-2011-1457: John Knottenbelt fra Google

    CVE-2011-1462: wushi fra team509

    CVE-2011-1797: wushi fra team509

    CVE-2011-2338: Abhishek Arya (Inferno) fra Google Chrome Security Team ved hjælp af AddressSanitizer

    CVE-2011-2339: Cris Neckar fra Google Chrome Security Team

    CVE-2011-2341: wushi fra team509, der arbejder for Verisign iDefense Labs

    CVE-2011-2351: miaubiz

    CVE-2011-2352: Apple

    CVE-2011-2354: Apple

    CVE-2011-2356: Adam Barth og Abhishek Arya fra Google Chrome Security Team ved hjælp af AddressSanitizer

    CVE-2011-2359: miaubiz

    CVE-2011-2788: Mikolaj Malecki fra Samsung

    CVE-2011-2790: miaubiz

    CVE-2011-2792: miaubiz

    CVE-2011-2797: miaubiz

    CVE-2011-2799: miaubiz

    CVE-2011-2809: Abhishek Arya (Inferno) fra Google Chrome Security Team

    CVE-2011-2813: Cris Neckar fra Google Chrome Security Team ved hjælp af AddressSanitizer

    CVE-2011-2814: Abhishek Arya (Inferno) fra Google Chrome Security Team ved hjælp af AddressSanitizer

    CVE-2011-2816: Apple

    CVE-2011-2817: Abhishek Arya (Inferno) fra Google Chrome Security Team ved hjælp af AddressSanitizer

    CVE-2011-2818: Martin Barbella

    CVE-2011-2820: Raman Tenneti og Philip Rogers fra Google

    CVE-2011-2823: SkyLined fra Google Chrome Security Team

    CVE-2011-2827: miaubiz

    CVE-2011-2831: Abhishek Arya (Inferno) fra Google Chrome Security Team ved hjælp af AddressSanitizer

    CVE-2011-3232: Aki Helin fra OUSPG

    CVE-2011-3234: miaubiz

    CVE-2011-3235: Dimitri Glazkov, Kent Tamura, Dominic Cooney fra udviklingsorganisationen Chromium og Abhishek Arya (Inferno) fra Google Chrome Security Team

    CVE-2011-3236: Abhishek Arya (Inferno) fra Google Chrome Security Team ved hjælp af AddressSanitizer

    CVE-2011-3237: Dimitri Glazkov, Kent Tamura, Dominic Cooney fra udviklingsorganisationen Chromium og Abhishek Arya (Inferno) fra Google Chrome Security Team

    CVE-2011-3244: vkouchna

  • WebKit

    Fås til: iOS 3.0 til 4.3.5 til iPhone 3GS og iPhone 4, iOS 3.1 til 4.3.5 til iPod touch (3. generation) og nyere versioner, iOS 3.2 til 4.3.5 til iPad

    Effekt: Et besøg på et skadeligt websted kan medføre scripting-angreb på tværs af websteder

    Beskrivelse: Der var et cross-origin-problem med håndtering af URL-adresser med et integreret brugernavn Problemet er løst ved at forbedre håndteringen af URL-adresser med integreret brugernavn.

    CVE-id

    CVE-2011-0242: Jobert Abma fra Online24

  • WebKit

    Fås til: iOS 3.0 til 4.3.5 til iPhone 3GS og iPhone 4, iOS 3.1 til 4.3.5 til iPod touch (3. generation) og nyere versioner, iOS 3.2 til 4.3.5 til iPad

    Effekt: Et besøg på et skadeligt websted kan medføre scripting-angreb på tværs af websteder

    Beskrivelse: Der var et cross-origin-problem med håndtering af DOM-knuder.

    CVE-id

    CVE-2011-1295: Sergey Glazunov

  • WebKit

    Fås til: iOS 3.0 til 4.3.5 til iPhone 3GS og iPhone 4, iOS 3.1 til 4.3.5 til iPod touch (3. generation) og nyere versioner, iOS 3.2 til 4.3.5 til iPad

    Effekt: Et skadeligt websted kan medføre, at en anden URL-adresse vises i adresselinjen

    Beskrivelse: Der var et URL-spoofing-problem med håndtering af DOM-historikobjektet

    CVE-id

    CVE-2011-1107: Jordi Chancel

  • WebKit

    Fås til: iOS 3.0 til 4.3.5 til iPhone 3GS og iPhone 4, iOS 3.1 til 4.3.5 til iPod touch (3. generation) og nyere versioner, iOS 3.2 til 4.3.5 til iPad

    Effekt: Et besøg på et skadeligt websted kan medføre kørsel af vilkårlig kode

    Beskrivelse: Der var et konfigurationsproblem med WebKits brug af libxslt. Et besøg på et skadeligt websted kan medføre oprettelse af vilkårlige arkiver med brugerens tilladelser, hvilket kan medføre kørsel af vilkårlig kode. Problemet er løst ved at forbedre libxslt-sikkerhedsindstillingerne.

    CVE-id

    CVE-2011-1774: Nicolas Gregoire fra Agarri

  • WebKit

    Fås til: iOS 3.0 til 4.3.5 til iPhone 3GS og iPhone 4, iOS 3.1 til 4.3.5 til iPod touch (3. generation) og nyere versioner, iOS 3.2 til 4.3.5 til iPad

    Effekt: Et besøg på et skadeligt websted, hvor der trækkes indhold til siden, kan medføre, at der gøres oplysninger tilgængelige

    Beskrivelse: Der var et cross-origin-problem med WebKits håndtering af HTML5-træk-og-slip. Problemet er løst ved ikke at tillade træk-og-slip mellem steder med forskellig oprindelse.

    CVE-id

    CVE-2011-0166: Michal Zalewski fra Google Inc.

  • WebKit

    Fås til: iOS 3.0 til 4.3.5 til iPhone 3GS og iPhone 4, iOS 3.1 til 4.3.5 til iPod touch (3. generation) og nyere versioner, iOS 3.2 til 4.3.5 til iPad

    Effekt: Et besøg på et skadeligt websted kan medføre videregivelse af oplysninger

    Beskrivelse: Der var et cross-origin-problem med håndtering af Web Workers.

    CVE-id

    CVE-2011-1190: Daniel Divricean fra divricean.ro

  • WebKit

    Fås til: iOS 3.0 til 4.3.5 til iPhone 3GS og iPhone 4, iOS 3.1 til 4.3.5 til iPod touch (3. generation) og nyere versioner, iOS 3.2 til 4.3.5 til iPad

    Effekt: Et besøg på et skadeligt websted kan medføre scripting-angreb på tværs af websteder

    Beskrivelse: Der var et cross-origin-problem i forbindelse med håndteringen af window.open-metoden.

    CVE-id

    CVE-2011-2805: Sergey Glazunov

  • WebKit

    Fås til: iOS 3.0 til 4.3.5 til iPhone 3GS og iPhone 4, iOS 3.1 til 4.3.5 til iPod touch (3. generation) og nyere versioner, iOS 3.2 til 4.3.5 til iPad

    Effekt: Et besøg på et skadeligt websted kan medføre scripting-angreb på tværs af websteder

    Beskrivelse: Der er et cross-origin-problem i forbindelse med håndteringen af inaktive DOM-vinduer.

    CVE-id

    CVE-2011-3243: Sergey Glazunov

  • WebKit

    Fås til: iOS 3.0 til 4.3.5 til iPhone 3GS og iPhone 4, iOS 3.1 til 4.3.5 til iPod touch (3. generation) og nyere versioner, iOS 3.2 til 4.3.5 til iPad

    Effekt: Et besøg på et skadeligt websted kan medføre scripting-angreb på tværs af websteder

    Beskrivelse: Der var et cross-origin-problem i forbindelse med håndteringen af egenskaben document.documentURI.

    CVE-id

    CVE-2011-2819: Sergey Glazunov

  • WebKit

    Fås til: iOS 3.0 til 4.3.5 til iPhone 3GS og iPhone 4, iOS 3.1 til 4.3.5 til iPod touch (3. generation) og nyere versioner, iOS 3.2 til 4.3.5 til iPad

    Effekt: Et skadeligt websted kan muligvis spore de URL-adresser, som en bruger besøger inden for en ramme

    Beskrivelse: Der var et cross-origin-problem i forbindelse med håndteringen af beforeload-hændelsen.

    CVE-id

    CVE-2011-2800: Juho Nurminen

  • Wi-Fi

    Fås til: iOS 3.0 til 4.3.5 til iPhone 3GS og iPhone 4, iOS 3.1 til 4.3.5 til iPod touch (3. generation) og nyere versioner, iOS 3.2 til 4.3.5 til iPad

    Effekt: Wi-Fi-adgangsoplysningerne kan blive arkiveret i et lokalt arkiv

    Beskrivelse: Wi-Fi-adgangsoplysningerne inkl. adgangskoden og krypteringsnøglerne blev arkiveret i et arkiv, som kunne læses af programmer i systemet. Problemet er løst ved at undlade at arkivere brugeroplysningerne.

    CVE-id

    CVE-2011-3434: Laurent OUDOT fra TEHTRI Security

 

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: