Informationen zum Sicherheitsinhalt von iOS 4.2

Dieses Dokument beschreibt den Sicherheitsinhalt von iOS 4.2, das mit iTunes geladen und installiert werden kann.

In diesem Dokument finden Sie Informationen zum Sicherheitsinhalt von iOS 4.2, das Sie über iTunes laden und installieren können.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.

Informationen zum Apple PGP-Schlüssel für die Produktsicherheit finden Sie unter "Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit".

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates finden Sie unter "Apple-Sicherheitsupdates".

iOS 4.2

  • Konfigurationsprofile

    CVE-ID: CVE-2010-3827

    Verfügbar für: iOS 2.0 bis 4.1 für das iPhone 3G und neuer, iOS 2.1 bis 4.1 für den iPod touch (2. Generation und neuer), iOS 3.2 bis 3.2.2 für das iPad

    Auswirkung: Ein Benutzer kann dazu verleitet werden, ein in böswilliger Absicht erstelltes Konfigurationsprofil zu installieren

    Beschreibung: Bei der Verarbeitung von Konfigurationsprofilen existiert ein Problem mit der Signaturvalidierung. Ein in böswilliger Absicht erstelltes Konfigurationsprofil kann scheinbar über eine gültige Signatur im Konfigurationsinstallationsprogramm verfügen. Dieses Problem wird durch eine verbesserte Validierung von Profilsignaturen behoben. Wir danken Barry Simpson von der Bomgar Corporation für die Meldung dieses Problems.

  • CoreGraphics

    CVE-ID: CVE-2010-2805, CVE-2010-2806, CVE-2010-2807, CVE-2010-2808, CVE-2010-3053, CVE-2010-3054

    Verfügbar für: iOS 2.0 bis 4.1 für das iPhone 3G und neuer, iOS 2.1 bis 4.1 für den iPod touch (2. Generation und neuer), iOS 3.2 bis 3.2.2 für das iPad

    Auswirkung: Mehrere Schwachstellen in FreeType 2.4.1

    Beschreibung: In FreeType 2.4.1 gibt es mehrere Schwachstellen, die im schlimmsten Fall bei der Verarbeitung von in böswilliger Absicht erstellten Schriftartdaten zur Ausführung willkürlichen Codes führen können. Dieses Problem wird durch die Aktualisierung auf Version 2.4.2 behoben. Weitere Informationen finden Sie auf der FreeType-Website unter http://www.freetype.org.

  • FreeType

    CVE-ID: CVE-2010-3814

    Verfügbar für: iOS 2.0 bis 4.1 für das iPhone 3G und neuer, iOS 2.1 bis 4.1 für den iPod touch (2. Generation und neuer), iOS 3.2 bis 3.2.2 für das iPad

    Auswirkung: Das Anzeigen eines PDF-Dokuments mit in böswilliger Absicht erstellten eingebetteten Schriften kann zur Ausführung willkürlichen Codes führen

    Beschreibung: Die Verarbeitung von TrueType-Opcodes in FreeType führt zu einem Pufferüberlauf. Das Anzeigen eines PDF-Dokuments mit in böswilliger Absicht erstellten eingebetteten Schriften kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Mit diesem Update wurde das Problem durch eine verbesserte Abgrenzungsüberprüfung behoben.

  • iAd Content Display

    CVE-ID: CVE-2010-3828

    Verfügbar für: iOS 2.0 bis 4.1 für das iPhone 3G und neuer, iOS 2.1 bis 4.1 für den iPod touch (2. Generation und neuer), iOS 3.2 bis 3.2.2 für das iPad

    Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann das Initiieren eines Aufrufs verursachen

    Beschreibung: In iAd Content Display existiert ein Problem mit der Verarbeitung von URLs. Eine iAd wird von einem Programm entweder automatisch oder durch explizite Benutzeraktion angefordert. Indem in den Inhalt einer angeforderten Anzeige ein Link mit einem URL-Schema eingefügt wird, das zum Initiieren eines Aufrufs verwendet wird, kann ein Angreifer in einer privilegierten Netzwerkposition einen Aufruf verursachen. Dieses Problem wird gelöst, indem sichergestellt wird, dass der Benutzer zu einer Eingabe aufgefordert wird, bevor ein Aufruf über einen Link initiiert wird. Wir danken Aaron Sigel von vtty.com für die Meldung dieses Problems.

  • ImageIO

    CVE-ID: CVE-2010-2249, CVE-2010-1205

    Verfügbar für: iOS 2.0 bis 4.1 für das iPhone 3G und neuer, iOS 2.1 bis 4.1 für den iPod touch (2. Generation und neuer), iOS 3.2 bis 3.2.2 für das iPad

    Auswirkung: Mehrere Schwachstellen in libpng

    Beschreibung: libpng wird auf Version 1.4.3 aktualisiert, um mehrere Schwachstellen zu beseitigen, die im schlimmsten Fall zur Ausführung willkürlichen Codes führen können. Weitere Informationen finden Sie auf der libpng-Website unter http://www.libpng.org/pub/png/libpng.html.

  • libxml

    CVE-ID: CVE-2010-4008

    Verfügbar für: iOS 2.0 bis 4.1 für das iPhone 3G und neuer, iOS 2.1 bis 4.1 für den iPod touch (2. Generation und neuer), iOS 3.2 bis 3.2.2 für das iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von xpath-Ausdrücken durch libxml kommt es zu einem Speicherfehler. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen. Dieses Problem wurde durch eine verbesserte Verarbeitung der xpath-Ausdrücke behoben. Wir danken Bui Quang Minh von Bkis (www.bkis.com) für die Meldung dieses Problems.

  • Mail

    CVE-ID: CVE-2010-3829

    Verfügbar für: iOS 2.0 bis 4.1 für das iPhone 3G und neuer, iOS 2.1 bis 4.1 für den iPod touch (2. Generation und neuer), iOS 3.2 bis 3.2.2 für das iPad

    Auswirkung: Mail kann DNS-Namen auflösen, wenn das Remote-Image-Laden deaktiviert ist

    Beschreibung: Wenn WebKit auf ein HTML-Link-Element stößt, das ein DNS Prefetching anfordert, wird dieses Prefetching ausgeführt, auch wenn das Remote-Image-Laden deaktiviert ist. Dies führt möglicherweise zu unerwünschten Anforderungen an entfernte Server. Der Absender einer E-Mail-Nachricht im HTML-Format könnte dies nutzen, um festzustellen, ob die Nachricht gelesen wurde. Dieses Problem wird behoben, indem das DNS Prefetching deaktiviert wird, wenn das Remote-Image-Laden deaktiviert ist. Wir danken Mike Cardwell von Cardwell IT Ltd. für die Meldung des Problems.

  • Netzwerkbetrieb

    CVE-ID: CVE-2010-1843

    Verfügbar für: iOS 4.0 bis 4.1 für das iPhone 3GS und neuer, iOS 4.0 bis 4.1 für den iPod touch (3. Generation), iOS 3.2 bis 3.2.2 für das iPad

    Auswirkung: Ein entfernter Angreifer kann ein unerwartetes Herunterfahren des Systems verursachen

    Beschreibung: Bei der Verarbeitung von PIM-Paketen (Protocol Independent Multicast) kommt es zu einem Rückverweis auf einen Nullzeiger. Durch Senden eines in böswilliger Absicht erstellten PIM-Pakets kann ein entfernter Angreifer das unerwartete Herunterfahren des Systems herbeiführen. Dieses Problem wird durch eine verbesserte Validierung von PIM-Paketen behoben. Wir danken einem anonymen Mitarbeiter der Zero Day Initiative von TippingPoint für die Meldung dieses Problems. Dieses Problem betrifft keine Geräte, auf denen ältere iOS-Versionen als Version 3.2 ausgeführt werden.

  • Netzwerkbetrieb

    CVE-ID: CVE-2010-3830

    Verfügbar für: iOS 2.0 bis 4.1 für das iPhone 3G und neuer, iOS 2.1 bis 4.1 für den iPod touch (2. Generation und neuer), iOS 3.2 bis 3.2.2 für das iPad

    Auswirkung: Böswilliger Code kann Systemrechte erlangen

    Beschreibung: Im Netzwerk existiert ein ungültiger Zeigerverweis, wenn Paketfilterregeln verarbeitet werden. Dadurch kann böswilliger Code, der während der Benutzersitzung ausgeführt wird, Systemrechte erlangen. Dieses Problem wird durch eine verbesserte Verarbeitung der Paketfilterregeln behoben.

  • OfficeImport

    • CVE-ID: CVE-2010-3786

    • Verfügbar für: iOS 3.2 bis 3.2.2 für das iPad

    • Auswirkung: Das Anzeigen einer in böswilliger Absicht erstellten Excel-Datei kann zu einer unerwarteten Programmbeendigung oder der Ausführung willkürlichen Codes führen

    • Beschreibung: Bei der Verarbeitung von Excel-Dateien in OfficeImport kommt es zu Speicherfehlern. Das Anzeigen einer in böswilliger Absicht erstellten Excel-Datei kann zu einer unerwarteten Programmbeendigung oder der Ausführung willkürlichen Codes führen. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben. Das Problem wurde bei iPhones mit iOS 4 behoben. Wir danken Tobias Klein, der mit VeriSign iDefense Labs zusammenarbeitet, für die Meldung dieses Problems.

  • Codesperre

    CVE-ID: CVE-2010-4012

    Verfügbar für: iOS 4.0 bis 4.1 für das iPhone 3G und neuer

    Auswirkung: Eine Person mit physischem Zugang zu einem Gerät kann auf die Daten des Benutzers zugreifen

    Beschreibung: Bei der Verarbeitung von Notrufen existiert eine Race-Bedingung. Indem kurz nach dem Start eines Anrufs über den Notrufbildschirm die Standby-Taste gedrückt wird, kann eine Person die Codesperre umgehen. Dieses Problem wurde durch eine bessere Überprüfung des Sperrstatus behoben.

  • Fotos

    CVE-ID: CVE-2010-3831

    Verfügbar für: iOS 2.0 bis 4.1 für das iPhone 3G und neuer, iOS 2.1 bis 4.1 für den iPod touch (2. Generation und neuer), iOS 3.2 bis 3.2.2 für das iPad

    Auswirkung: "An MobileMe senden" kann zur Preisgabe des Kennworts für den MobileMe-Account führen

    Beschreibung: Das Programm Fotos erlaubt Benutzern, ihre Bilder und Filme auf verschiedene Weise bereitzustellen. Eine Möglichkeit besteht darin, die Taste "An MobileMe senden" zu nutzen, wodurch ausgewählte Inhalte in die MobileMe-Galerie des Benutzers geladen werden. Das Programm Fotos verwendet die HTTP-Standardauthentifizierung, wenn vom Server kein anderer Authentifizierungsmechanismus als verfügbar angeboten wird. Ein Angreifer mit privilegierter Netzwerkposition kann die Antwort der MobileMe-Galerie manipulieren, sodass sie eine Standardauthentifizierung anfordert, was zur Preisgabe des Kennworts für den MobileMe-Account führt. Das Problem wurde behoben, indem die Unterstützung für eine Standardauthentifizierung deaktiviert wurde. Wir danken Aaron Sigel von vtty.com für die Meldung dieses Problems.

  • Safari

    CVE-ID: CVE-2009-1707

    Verfügbar für: iOS 2.0 bis 4.1 für das iPhone 3G und neuer, iOS 2.1 bis 4.1 für den iPod touch (2. Generation und neuer), iOS 3.2 bis 3.2.2 für das iPad

    Auswirkung: Bei Verwendung der Option "Safari zurücksetzen" werden Website-Passwörter möglicherweise nicht sofort gelöscht

    Beschreibung: Nachdem Sie im Menü "Safari zurücksetzen" unter "Gesicherte Namen und Passörter" auf die Taste "Zurücksetzen" geklickt haben, benötigt Safari zum Löschen der Passwörter bis zu 30 Sekunden. Ein Benutzer, der während dieses Zeitfensters Zugang zum Gerät hat, kann auf die gespeicherten Anmeldedaten zugreifen. Das Problem wurde behoben, indem die Race-Bedingung aufgelöst wurde, die zu der Verzögerung führte. Wir danken Philippe Couturier von izypage.com und Andrew Wellington von der Australian National University für die Meldung des Problems.

  • Telefonie

    CVE-ID: CVE-2010-3832

    Verfügbar für: iOS 2.0 bis 4.1 für das iPhone 3G und neuer, iOS 3.2 bis 3.2.2 für das iPad

    Auswirkung: Ein entfernter Angreifer kann die Ausführung willkürlichen Codes verursachen

    Beschreibung: Bei der Verarbeitung von Temporary Mobile Subscriber Identity (TMSI)-Feldern in der GSM-Mobilitätsverwaltung existiert ein Stapelpufferüberlauf. Dies kann einem entfernten Angreifer erlauben, die Ausführung willkürlichen Codes auf dem Basisbandprozessor zu verursachen. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben. Wir danken Ralf-Philipp Weinmann von der Universität Luxemburg für die Meldung des Problems.

  • WebKit

    CVE-ID: CVE-2010-3803

    Verfügbar für: iOS 2.0 bis 4.1 für das iPhone 3G und neuer, iOS 2.1 bis 4.1 für den iPod touch (2. Generation und neuer), iOS 3.2 bis 3.2.2 für das iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von Zeichenketten durch WebKit kann es zu einem Ganzzahl-Pufferüberlauf kommen. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben. Wir danken J23 für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2010-3824

    Verfügbar für: iOS 2.0 bis 4.1 für das iPhone 3G und neuer, iOS 2.1 bis 4.1 für den iPod touch (2. Generation und neuer), iOS 3.2 bis 3.2.2 für das iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von "use"-Elementen in SVG-Dokumenten durch WebKit kommt es zu einem Use-after-free-Problem. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben. Wir danken wushi von team509 für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2010-3816

    Verfügbar für: iOS 2.0 bis 4.1 für das iPhone 3G und neuer, iOS 2.1 bis 4.1 für den iPod touch (2. Generation und neuer), iOS 3.2 bis 3.2.2 für das iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von Scrollbalken in WebKit kommt es zu einem Use-after-free-Problem. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben. Wir danken Rohit Makasana von Google Inc. für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2010-3809

    Verfügbar für: iOS 2.0 bis 4.1 für das iPhone 3G und neuer, iOS 2.1 bis 4.1 für den iPod touch (2. Generation und neuer), iOS 3.2 bis 3.2.2 für das iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung des Inline-Stylings durch WebKit kommt es zu einem "Invalid Cast"-Problem. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen. Dieses Problem wird durch eine verbesserte Verarbeitung des Inline-Stylings behoben. Wir danken Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2010-3810

    Verfügbar für: iOS 2.0 bis 4.1 für das iPhone 3G und neuer, iOS 2.1 bis 4.1 für den iPod touch (2. Generation und neuer), iOS 3.2 bis 3.2.2 für das iPad

    Auswirkung: Eine in böswilliger Absicht erstellte Website könnte die Adresse in der Adressleiste vortäuschen oder beliebige Adressen zur Chronik bzw. zum Verlauf hinzufügen.

    Beschreibung: Bei der Verarbeitung des Verlaufsobjekts in WebKit gibt es ein Cross-Origin-Problem. Eine in böswilliger Absicht erstellte Website könnte die Adresse in der Adressleiste vortäuschen oder beliebige Adressen zur Chronik bzw. zum Verlauf hinzufügen. Dieses Problem wird durch eine verbesserte Verfolgung von Security Origins behoben. Wir danken Mike Taylor von Opera Software für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2010-3805

    Verfügbar für: iOS 2.0 bis 4.1 für das iPhone 3G und neuer, iOS 2.1 bis 4.1 für den iPod touch (2. Generation und neuer), iOS 3.2 bis 3.2.2 für das iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von WebSockets durch WebKit kann es zu einem Ganzzahl-Pufferüberlauf kommen. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben. Wir danken Keith Campbell und Cris Neckar vom Google Chrome-Sicherheitsteam für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2010-3823

    Verfügbar für: iOS 2.0 bis 4.1 für das iPhone 3G und neuer, iOS 2.1 bis 4.1 für den iPod touch (2. Generation und neuer), iOS 3.2 bis 3.2.2 für das iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von Geolocation-Objekten in WebKit kommt es zu einem Use-after-free-Problem. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben. Wir danken kuzzcc für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2010-3116

    Verfügbar für: iOS 2.0 bis 4.1 für das iPhone 3G und neuer, iOS 2.1 bis 4.1 für den iPod touch (2. Generation und neuer), iOS 3.2 bis 3.2.2 für das iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von Plug-ins in WebKit kommt es zu mehreren Use-after-free-Problemen. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen. Diese Probleme werden durch eine verbesserte Speicherverwaltung behoben.

  • WebKit

    CVE-ID: CVE-2010-3812

    Verfügbar für: iOS 2.0 bis 4.1 für das iPhone 3G und neuer, iOS 2.1 bis 4.1 für den iPod touch (2. Generation und neuer), iOS 3.2 bis 3.2.2 für das iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von Textobjekten durch WebKit kann es zu einem Ganzzahl-Pufferüberlauf kommen. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben. Wir danken J23 von der Zero Day Initiative von TippingPoint für die Meldung des Problems.

  • WebKit

    CVE-ID: CVE-2010-3808

    Verfügbar für: iOS 2.0 bis 4.1 für das iPhone 3G und neuer, iOS 2.1 bis 4.1 für den iPod touch (2. Generation und neuer), iOS 3.2 bis 3.2.2 für das iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von Bearbeitungsbefehlen durch WebKit kommt es zu einem "Invalid Cast"-Problem. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen. Dieses Problem wird durch eine verbesserte Verarbeitung von Bearbeitungsbefehlen behoben. Wir danken wushi von team509 für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2010-3259

    Verfügbar für: iOS 2.0 bis 4.1 für das iPhone 3G und neuer, iOS 2.1 bis 4.1 für den iPod touch (2. Generation und neuer), iOS 3.2 bis 3.2.2 für das iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zur Freigabe von Bilddaten einer anderen Website führen

    Beschreibung: Bei der Verarbeitung von Bildern, die aus "canvas"-Elementen erstellt wurden, kommt es zu einem Cross-Origin-Problem. Der Besuch einer in böswilliger Absicht erstellten Website kann zur Freigabe von Bilddaten einer anderen Website führen. Dieses Problem wird durch eine verbesserte Verfolgung von Security Origins behoben. Wir danken Isaac Dawson und James Qiu von Microsoft und Microsoft Vulnerability Research (MSVR) für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2010-1822

    Verfügbar für: iOS 2.0 bis 4.1 für das iPhone 3G und neuer, iOS 2.1 bis 4.1 für den iPod touch (2. Generation und neuer), iOS 3.2 bis 3.2.2 für das iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von SVG-Elementen in SVG-fremden Dokumenten in WebKit kommt es zu einem "Invalid Cast"-Problem. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen. Dieses Problem wird durch eine verbesserte Verarbeitung der SVG-Elemente behoben. Wir danken wushi von team509 für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2010-3811

    Verfügbar für: iOS 2.0 bis 4.1 für das iPhone 3G und neuer, iOS 2.1 bis 4.1 für den iPod touch (2. Generation und neuer), iOS 3.2 bis 3.2.2 für das iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von Elementattributen in WebKit kommt es zu einem Use-after-free-Problem. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben. Wir danken Michal Zalewski für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2010-3817

    Verfügbar für: iOS 2.0 bis 4.1 für das iPhone 3G und neuer, iOS 2.1 bis 4.1 für den iPod touch (2. Generation und neuer), iOS 3.2 bis 3.2.2 für das iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von CSS 3D-Transformationen durch WebKit kommt es zu einem "Invalid Cast"-Problem. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen. Dieses Problem wird durch eine verbesserte Verarbeitung von CSS 3D-Transformationen behoben. Wir danken Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2010-3818

    Verfügbar für: iOS 2.0 bis 4.1 für das iPhone 3G und neuer, iOS 2.1 bis 4.1 für den iPod touch (2. Generation und neuer), iOS 3.2 bis 3.2.2 für das iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von Inline-Textboxen in WebKit kommt es zu einem Use-after-free-Problem. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben. Wir danken Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2010-3819

    Verfügbar für: iOS 2.0 bis 4.1 für das iPhone 3G und neuer, iOS 2.1 bis 4.1 für den iPod touch (2. Generation und neuer), iOS 3.2 bis 3.2.2 für das iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von CSS-Boxen durch WebKit kommt es zu einem "Invalid Cast"-Problem. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen. Dieses Problem wird durch eine verbesserte Verarbeitung von CSS-Boxen behoben. Wir danken Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2010-3820

    Verfügbar für: iOS 2.0 bis 4.1 für das iPhone 3G und neuer, iOS 2.1 bis 4.1 für den iPod touch (2. Generation und neuer), iOS 3.2 bis 3.2.2 für das iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von bearbeitbaren Elementen durch WebKit kommt es zu einem Problem mit nicht initialisiertem Speicherzugriff. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen. Dieses Problem wird durch eine verbesserte Verarbeitung der bearbeitbaren Elemente behoben. Dank an Apple.

  • WebKit

    CVE-ID: CVE-2010-1789

    Verfügbar für: iOS 2.0 bis 4.1 für das iPhone 3G und neuer, iOS 2.1 bis 4.1 für den iPod touch (2. Generation und neuer), iOS 3.2 bis 3.2.2 für das iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: In WebKit tritt ein Heap-Puffer-Überlauf bei der Verarbeitung von JavaScript-String-Objekten auf. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben. Dank an Apple.

  • WebKit

    CVE-ID: CVE-2010-1806

    Verfügbar für: iOS 2.0 bis 4.1 für das iPhone 3G und neuer, iOS 2.1 bis 4.1 für den iPod touch (2. Generation und neuer), iOS 3.2 bis 3.2.2 für das iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von Elementen mit Run-in-Option in WebKit kommt es zu einem Use-after-free-Problem. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen. Dieses Problem wird durch eine verbesserte Verarbeitung der Objektzeiger behoben. Wir danken wushi von team509, das mit der Zero Day Initiative von TippingPoint zusammenarbeitet, für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2010-3257

    Verfügbar für: iOS 2.0 bis 4.1 für das iPhone 3G und neuer, iOS 2.1 bis 4.1 für den iPod touch (2. Generation und neuer), iOS 3.2 bis 3.2.2 für das iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung der Elementfokussierung in WebKit kommt es zu einem Use-after-free-Problem. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen. Dieses Problem wird durch eine verbesserte Speicherverwaltung behoben. Wir danken dem VUPEN Vulnerability Research-Team für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2010-3826

    Verfügbar für: iOS 2.0 bis 4.1 für das iPhone 3G und neuer, iOS 2.1 bis 4.1 für den iPod touch (2. Generation und neuer), iOS 3.2 bis 3.2.2 für das iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von Farben in SVG-Dokumenten durch WebKit kommt es zu einem "Invalid Cast"-Problem. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen. Dieses Problem wird durch eine verbesserte Verarbeitung der Farben in SVG-Dokumenten behoben. Wir danken Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2010-1807

    Verfügbar für: iOS 2.0 bis 4.1 für das iPhone 3G und neuer, iOS 2.1 bis 4.1 für den iPod touch (2. Generation und neuer), iOS 3.2 bis 3.2.2 für das iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von Fließkomma-Datentypen in WebKit kommt es zu einem Eingabevalidierungsproblem. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen. Dieses Problem wurde durch eine verbesserte Verarbeitung von Fließkommawerten behoben. Wir danken Luke Wagner von Mozilla für die Meldung des Problems.

  • WebKit

    CVE-ID: CVE-2010-3821

    Verfügbar für: iOS 2.0 bis 4.1 für das iPhone 3G und neuer, iOS 2.1 bis 4.1 für den iPod touch (2. Generation und neuer), iOS 3.2 bis 3.2.2 für das iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung des Pseudo-Elements ':first-letter' in Cascading Stylesheets durch WebKit kommt es zu einem Speicherfehler. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen. Das Problem wird durch die verbesserte Verarbeitung des Pseudo-Elements ':first-letter' behoben. Wir danken Cris Neckar und Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2010-3804

    Verfügbar für: iOS 2.0 bis 4.1 für das iPhone 3G und neuer, iOS 2.1 bis 4.1 für den iPod touch (2. Generation und neuer), iOS 3.2 bis 3.2.2 für das iPad

    Auswirkung: Websites können heimlich Benutzer verfolgen

    Beschreibung: Safari generiert für JavaScript-Anwendungen mithilfe eines berechenbaren Algorithmus verschiedene Zufallszahlen. Eine Website könnte dies ausnutzen, um eine bestimmte Safari-Sitzung ohne Einsatz von Cookies, verborgenen Formularelementen, IP-Adressen oder anderen Methoden nachzuverfolgen. Mit diesem Update wird das Problem durch einen stärkeren Zufallszahlengenerator behoben. Wir danken Amit Klein von Trusteer für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2010-3813

    Verfügbar für: iOS 2.0 bis 4.1 für das iPhone 3G und neuer, iOS 2.1 bis 4.1 für den iPod touch (2. Generation und neuer), iOS 3.2 bis 3.2.2 für das iPad

    Auswirkung: WebKit kann ein DNS-Prefetching ausführen, selbst wenn es deaktiviert ist

    Beschreibung: Wenn WebKit auf ein HTML Link-Element trifft, das ein DNS-Prefetching anfordert, wird diese Operation ausgeführt, auch wenn das Prefetching deaktiviert ist. Dies führt möglicherweise zu unerwünschten Anforderungen an entfernte Server. So könnte z. B. der Absender einer HTML-formatierten E-Mail auf diese Weise feststellen, ob die Nachricht gelesen wurde. Dieses Problem wird durch eine verbesserte Verarbeitung von DNS Prefetching-Anfragen behoben. Wir danken Jeff Johnson von Rogue Amoeba Software für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2010-3822

    Verfügbar für: iOS 2.0 bis 4.1 für das iPhone 3G und neuer, iOS 2.1 bis 4.1 für den iPod touch (2. Generation und neuer), iOS 3.2 bis 3.2.2 für das iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von "counter"-Styles im CSS gibt es ein Problem mit nicht initialisierten Zeigern. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen. Dieses Problem wird durch eine verbesserte Verarbeitung von "counter"-Styles im CSS behoben. Wir danken kuzzcc für die Meldung dieses Problems.

  • WebKit

    Verfügbar für: iOS 2.0 bis 4.1 für das iPhone 3G und neuer, iOS 2.1 bis 4.1 für den iPod touch (2. Generation und neuer), iOS 3.2 bis 3.2.2 für das iPad

    Auswirkung: Eine in böswilliger Absicht erstellte Website könnte ermitteln, welche Sites ein Benutzer besucht hat

    Beschreibung: Bei der Verarbeitung der CSS-Pseudo-Klasse ":visited" in WebKit gibt es ein Designproblem. Eine in böswilliger Absicht erstellte Website könnte ermitteln, welche Sites ein Benutzer besucht hat. Dieses Update schränkt die Gestaltungsmöglichkeiten für Seiten durch Webseiten auf der Grundlage von besuchten Links ein.

  • Mehrere Komponenten

    CVE-ID: CVE-2010-0051, CVE-2010-0544, CVE-2010-0042, CVE-2010-1384, CVE-2010-1387, CVE-2010-1392, CVE-2010-1394, CVE-2010-1403, CVE-2010-1405, CVE-2010-1407, CVE-2010-1408, CVE-2010-1410, CVE-2010-1414, CVE-2010-1415, CVE-2010-1416, CVE-2010-1417, CVE-2010-1418, CVE-2010-1421, CVE-2010-1422, CVE-2010-1757, CVE-2010-1758, CVE-2010-1764, CVE-2010-1770, CVE-2010-1771, CVE-2010-1780, CVE-2010-1781, CVE-2010-1782, CVE-2010-1783, CVE-2010-1784, CVE-2010-1785, CVE-2010-1786, CVE-2010-1787, CVE-2010-1788, CVE-2010-1791, CVE-2010-1793, CVE-2010-1811, CVE-2010-1812, CVE-2010-1813, CVE-2010-1814, CVE-2010-1815

    Verfügbar für: iOS 3.2 bis 3.2.2 für das iPad

    Auswirkung: Mehrere Sicherheitskorrekturen in iOS für das iPad

    Beschreibung: Dieses Update enthält mehrere Sicherheitskorrekturen für das iPhone und den iPod touch in iOS 4 und iOS 4.1.

Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.

Veröffentlichungsdatum: