Om sikkerhedsindholdet i iOS 5.0.1-softwareopdateringen

Dette dokument indeholder en beskrivelse af sikkerhedsindholdet i iOS 5.0.1.

I dette dokument beskrives sikkerhedsindholdet i iOS 5.0.1, som kan hentes og installeres ved hjælp af iTunes.

Af hensyn til vores kunders sikkerhed omtaler eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Du kan finde flere oplysninger om PGP-nøglen til Apple-produktsikkerhed i artiklen Sådan bruges PGP-nøglen til Apple-produktsikkerhed.

Hvor det er muligt, anvendes der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.

iOS 5.0.1-softwareopdatering

• CFNetwork

  Tilgængelig til: iOS 3.0-5.0 til iPhone 3GS, iPhone 4 og iPhone 4S, iOS 3.1-5.0 til iPod touch (3. generation) og nyere, iOS 3.2-5.0 til iPad, iOS 4.3-5.0 til iPad 2

  Effekt: Besøg på et skadeligt websted kan medføre afsløring af følsomme oplysninger

  Beskrivelse: Der opstod et problem med CFNetworks håndtering af skadelige URL-adresser. Under adgang til en skadelig HTTP- eller HTTPS-URL kan CFNetwork gå til en forkert server.

  CVE-id

  CVE-2011-3246: Erling Ellingsen på Facebook

• CoreGraphics

  Tilgængelig til: iOS 3.0-5.0 til iPhone 3GS, iPhone 4 og iPhone 4S, iOS 3.1-5.0 til iPod touch (3. generation) og nyere, iOS 3.2-5.0 til iPad, iOS 4.3-5.0 til iPad 2

  Effekt: Visning af et dokument, der indeholder en skrift med skadelig kode, kan medføre kørsel af vilkårlig kode

  Beskrivelse: FreeType indeholdt flere problemer med beskadiget hukommelse, hvoraf det mest alvorlige kan medføre kørsel af vilkårlig kode ved behandling af en skadelig skrift.

  CVE-id

  CVE-2011-3439: Apple

• Datasikkerhed

  Tilgængelig til: iOS 3.0-5.0 til iPhone 3GS, iPhone 4 og iPhone 4S, iOS 3.1-5.0 til iPod touch (3. generation) og nyere, iOS 3.2-5.0 til iPad, iOS 4.3-5.0 til iPad 2

  Effekt: En hacker med en priviligeret netværksposition kan opfange brugerens adgangsoplysninger eller andre følsomme oplysninger

  Beskrivelse: To certificeringsautoriteter på listen med sikre rodcertifikater har uafhængigt af hinanden udstedt midlertidige certifikater til DigiCert Malaysia. DigiCert Malaysia har udstedt certifikater med dårlige koder, der ikke kan tilbagekaldes. Effekt: En hacker med en priviligeret netværksposition kan opfange brugerens adgangsoplysninger eller andre følsomme oplysninger, som er beregnet til et websted med et certifikat, der er udstedt af DigiCert Malaysia. Dette problem løses ved at konfigurere standardindstillingerne for godkendelse, så DigiCert Malaysias certifikater ikke godkendes. Tak til Bruce Morton fra Entrust, Inc., som har rapporteret dette problem.

• Kernel

  Tilgængelig til: iOS 3.0-5.0 til iPhone 3GS, iPhone 4 og iPhone 4S, iOS 3.1-5.0 til iPod touch (3. generation) og nyere, iOS 3.2-5.0 til iPad, iOS 4.3-5.0 til iPad 2

  Effekt: Et program kan udføre usigneret kode

  Beskrivelse: Der opstod en logisk fejl ved mmap-systemkaldets kontrol af gyldige flagkombinationer Dette problem kan medføre en tilsidesættelse af kodesigneringskontrol. Dette problem berører ikke enheder med iOS inden version 4.3.

  CVE-id

  CVE-2011-344: Charlie Miller hos Accuvant Labs

• libinfo

  Tilgængelig til: iOS 3.0-5.0 til iPhone 3GS, iPhone 4 og iPhone 4S, iOS 3.1-5.0 til iPod touch (3. generation) og nyere, iOS 3.2-5.0 til iPad, iOS 4.3-5.0 til iPad 2

  Effekt: Besøg på et skadeligt websted kan medføre afsløring af følsomme oplysninger

  Beskrivelse: Der opstod et problem med libinfos håndtering af DNS-navneopslag. Ved håndtering af et skadeligt værtsnavn kan libinfo returnere et forkert resultat.

  CVE-id

  CVE-2011-3441: Erling Ellingsen på Facebook, Per Johansson fra Blocket AB

• Lås med kode

  Tilgængelig til: iOS 4.3-5.0 til iPad 2

  Effekt: En person med fysisk adgang til en låst iPad 2 kan få adgang til nogle af brugerens data

  Beskrivelse: Hvis et Smart Cover åbnes, mens iPad 2 er slukket i låst tilstand, anmoder iPad ikke om en adgangskode. Dette giver adgang til noget af iPad, men data, der er beskyttet af Databeskyttelse, er ikke tilgængelige, og der kan ikke åbnes programmer.

  CVE-id

  CVE-2011-3440