Informationen zum Sicherheitsinhalt von iOS 4.3

In diesem Dokument wird der Sicherheitsinhalt von iOS 4.3 beschrieben.

In diesem Dokument finden Sie Informationen zum Sicherheitsinhalt von iOS 4.3, das Sie über iTunes laden und installieren können.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.

Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit finden Sie unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates finden Sie unter Apple-Sicherheitsupdates.

iOS 4.3

  • CoreGraphics

    Verfügbar für: iOS 3.0 bis 4.2.1 für iPhone 3GS und neuer, iOS 3.1 bis 4.2.1 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.2.1 für iPad

    Auswirkung: Mehrere Schwachstellen in FreeType

    Beschreibung: In FreeType gab es mehrere Schwachstellen, die im schlimmsten Fall bei der Verarbeitung von in böswilliger Absicht erstellten Schriftartdaten zur Ausführung von willkürlichem Code hätten führen können. Dieses Problem wurde durch Aktualisieren auf Version 2.4.3 behoben. Weitere Informationen finden Sie auf der FreeType-Website unter http://www.freetype.org.

    CVE-ID

    CVE-2010-3855

  • ImageIO

    Verfügbar für: iOS 3.0 bis 4.2.1 für iPhone 3GS und neuer, iOS 3.1 bis 4.2.1 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.2.1 für iPad

    Auswirkung: Das Anzeigen eines in böswilliger Absicht erstellten TIFF-Bildes kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Die Verarbeitung von JPEG-codierten TIFF-Bildern durch libTIFF konnte zu einem Pufferüberlauf führen. Das Anzeigen eines in böswilliger Absicht erstellten TIFF-Bildes hätte zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen können.

    CVE-ID

    CVE-2011-0191: Apple

  • ImageIO

    Verfügbar für: iOS 3.0 bis 4.2.1 für iPhone 3GS und neuer, iOS 3.1 bis 4.2.1 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.2.1 für iPad

    Auswirkung: Das Anzeigen eines in böswilliger Absicht erstellten TIFF-Bildes kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Die Verarbeitung von CCITT Group 4-codierten TIFF-Bildern durch libTIFF konnte zu einem Pufferüberlauf führen. Das Anzeigen eines in böswilliger Absicht erstellten TIFF-Bildes hätte zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen können.

    CVE-ID

    CVE-2011-0192: Apple

  • libxml

    Verfügbar für: iOS 3.0 bis 4.2.1 für iPhone 3GS und neuer, iOS 3.1 bis 4.2.1 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.2.1 für iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von XPath-Ausdrücken durch libxml kam es zu einem Double-Free-Problem. Der Besuch einer in böswilliger Absicht erstellten Website hätte zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen können.

    CVE-ID

    CVE-2010-4494: Yang Dingning von NCNIPC, Graduate University of Chinese Academy of Sciences

  • Netzwerkbetrieb

    Verfügbar für: iOS 3.0 bis 4.2.1 für iPhone 3GS und neuer, iOS 3.1 bis 4.2.1 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.2.1 für iPad

    Auswirkung: Ein Server könnte ein Gerät über mehrere Verbindungen hinweg identifizieren

    Beschreibung: Die vom Gerät gewählte IPv6-Adresse enthält die MAC-Adresse des Geräts, wenn die automatische Adressvergabe ohne Protokoll (Stateless Address Autoconfiguration, SLAAC) verwendet wird. Ein für IPv6 aktivierter Server, der vom Gerät kontaktiert wird, kann die Adresse verwenden, um das Gerät über verschiedene Verbindungen hinweg zu verfolgen. Mit diesem Update wird die in RFC 3041 beschriebene IPv6-Erweiterung implementiert, indem eine temporäre und zufällige Adresse für ausgehende Verbindungen verwendet wird.

  • Safari

    Verfügbar für: iOS 3.0 bis 4.2.1 für iPhone 3GS und neuer, iOS 3.1 bis 4.2.1 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.2.1 für iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann dazu führen, dass MobileSafari beim Start beendet wird

    Beschreibung: Eine in böswilliger Absicht erstellte Website kann Javascript enthalten, das wiederholt ein anderes Programm über seinen URL-Handler startet. Beim Besuch einer solchen Website mit MobileSafari wird MobileSafari beendet und das Zielprogramm gestartet. Diese Sequenz wird dann jedes Mal wiederholt, sobald MobileSafari gestartet wird. Dieses Problem wird behoben, indem die vorherige Seite aufgerufen wird, sobald Safari erneut geöffnet wird, nachdem ein anderes Programm per URL-Handler gestartet wurde.

    CVE-ID

    CVE-2011-0158: Nitesh Dhanjani von Ernst & Young LLP

  • Safari

    Verfügbar für: iOS 4.0 bis 4.2.1 für iPhone 3GS und neuer, iOS 4.0 bis 4.2.1 für iPod touch (3. Generation und neuer), iOS 4.2 bis 4.2.1 für iPad

    Auswirkung: Das Löschen von Cookies in den Einstellungen von Safari zeigt keine Wirkung

    Beschreibung: Unter bestimmten Umständen zeigt das Löschen von Cookies über die Safari-Einstellungen keine Wirkung, wenn Safari aktuell ausgeführt wird. Dieses Problem wird durch eine verbesserte Verarbeitung der Cookies behoben. Dieses Problem wirkt sich nicht auf Systeme vor iOS 4.0 aus.

    CVE-ID

    CVE-2011-0159: Erik Wong von Google, Inc.

  • WebKit

    Verfügbar für: iOS 3.0 bis 4.2.1 für iPhone 3GS und neuer, iOS 3.1 bis 4.2.1 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.2.1 für iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: In WebKit gibt es mehrere Speicherfehler. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

    CVE-ID

    CVE-2010-1792

    CVE-2010-1824: kuzzcc und wushi von team509 der Zero Day Initiative von TippingPoint

    CVE-2011-0111: Sergey Glazunov

    CVE-2011-0112: Yuzo Fujishima von Google, Inc.

    CVE-2011-0113: Andreas Kling von Nokia

    CVE-2011-0114: Chris Evans vom Google Chrome-Sicherheitsteam

    CVE-2011-0115: J23 von der Zero Day Initiative von TippingPoint und Emil A Eklund von Google, Inc.

    CVE-2011-0116: Anonymer Mitarbeiter der Zero Day Initiative von TippingPoint

    CVE-2011-0117: Abhishek Arya (Inferno) von Google, Inc.

    CVE-2011-0118: Abhishek Arya (Inferno) von Google, Inc.

    CVE-2011-0119: Abhishek Arya (Inferno) von Google, Inc.

    CVE-2011-0120: Abhishek Arya (Inferno) von Google, Inc.

    CVE-2011-0121: Abhishek Arya (Inferno) von Google, Inc.

    CVE-2011-0122: Slawomir Blazek

    CVE-2011-0123: Abhishek Arya (Inferno) von Google, Inc.

    CVE-2011-0124: Yuzo Fujishima von Google, Inc.

    CVE-2011-0125: Abhishek Arya (Inferno) von Google, Inc.

    CVE-2011-0126: Mihai Parparita von Google, Inc.

    CVE-2011-0127: Abhishek Arya (Inferno) von Google, Inc.

    CVE-2011-0128: David Bloom

    CVE-2011-0129: Famlam

    CVE-2011-0130: Apple

    CVE-2011-0131: wushi von team509

    CVE-2011-0132: wushi von team509 der Zero Day Initiative von TippingPoint

    CVE-2011-0133: wushi von team509 der Zero Day Initiative von TippingPoint

    CVE-2011-0134: Jan Tosovsky

    CVE-2011-0135: Anonymer Benutzer

    CVE-2011-0136: Sergey Glazunov

    CVE-2011-0137: Sergey Glazunov

    CVE-2011-0138: kuzzcc

    CVE-2011-0140: Sergey Glazunov

    CVE-2011-0141: Chris Rohlf von Matasano Security

    CVE-2011-0142: Abhishek Arya (Inferno) von Google, Inc.

    CVE-2011-0143: Slawomir Blazek und Sergey Glazunov

    CVE-2011-0144: Emil A Eklund von Google, Inc.

    CVE-2011-0145: Abhishek Arya (Inferno) von Google, Inc.

    CVE-2011-0146: Abhishek Arya (Inferno) von Google, Inc.

    CVE-2011-0147: Dirk Schulze

    CVE-2011-0148: Michal Zalewski von Google, Inc.

    CVE-2011-0149: wushi von team509 der Zero Day Initiative von TippingPoint und SkyLined vom Google Chrome-Sicherheitsteam

    CVE-2011-0150: Michael Gundlach von safariadblock.com

    CVE-2011-0151: Abhishek Arya (Inferno) von Google, Inc.

    CVE-2011-0152: SkyLined vom Google Chrome-Sicherheitsteam

    CVE-2011-0153: Abhishek Arya (Inferno) von Google, Inc.

    CVE-2011-0154: Anonymer Mitarbeiter der Zero Day Initiative von TippingPoint

    CVE-2011-0155: Aki Helin von OUSPG

    CVE-2011-0156: Abhishek Arya (Inferno) von Google, Inc.

    CVE-2011-0157: Benoit Jacob von Mozilla

    CVE-2011-0168: Sergey Glazunov

  • WebKit

    Verfügbar für: iOS 3.0 bis 4.2.1 für iPhone 3GS und neuer, iOS 3.1 bis 4.2.1 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.2.1 für iPad

    Auswirkung: Die Anmeldeinformationen der HTTP Basic Authentication können versehentlich einer anderen Site preisgegeben werden

    Beschreibung: Wenn eine Site die HTTP Basic Authentication verwendet und dann zu einer anderen Site umleitet, können die Anmeldeinformationen an die andere Site gesendet werden. Dieses Problem wird durch eine verbesserte Verarbeitung der Anmeldedaten behoben.

    CVE-ID

    CVE-2011-0160: McIntosh Cooey von Twelve Hundred Group, Harald Hanche-Olsen, Chuck Hohn von 1111 Internet LLC in Zusammenarbeit mit CERT und Paul Hinze von Braintree

  • WebKit

    Verfügbar für: iOS 3.0 bis 4.2.1 für iPhone 3GS und neuer, iOS 3.1 bis 4.2.1 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.2.1 für iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu Cross-Site-Style-Deklarationen führen

    Beschreibung: Bei der Verarbeitung des Akzessors Attr.style in WebKit bestand ein Cross-Origin-Problem. Durch den Besuch einer in böswilliger Absicht erstellten Website hätte die Site CSS in andere Dokumente injizieren können. Dieses Problem wurde durch Entfernung des Akzessors Attr.style behoben.

    CVE-ID

    CVE-2011-0161: Apple

  • WebKit

    Verfügbar für: iOS 3.0 bis 4.2.1 für iPhone 3GS und neuer, iOS 3.1 bis 4.2.1 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.2.1 für iPad

    Auswirkung: Eine in böswilliger Absicht erstellte Website könnte andere Sites an der Anforderung bestimmter Ressourcen hindern

    Beschreibung: Bei der Verarbeitung von zwischengespeicherten Ressourcen in WebKit bestand ein Cache-Poisoning-Problem. Eine in böswilliger Absicht erstellte Website hätte andere Sites an der Anforderung bestimmter Ressourcen hindern können. Dieses Problem wurde durch eine verbesserte Typüberprüfung behoben.

    CVE-ID

    CVE-2011-0163: Apple

  • WLAN

    Verfügbar für: iOS 3.0 bis 4.2.1 für iPhone 3GS und neuer, iOS 3.1 bis 4.2.1 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.2.1 für iPad

    Auswirkung: Wenn eine WLAN-Verbindung besteht, könnte ein Angreifer in demselben Netzwerk ein Zurücksetzen des Geräts auslösen

    Beschreibung: Bei der Verarbeitung von WLAN-Frames bestand ein Problem mit der Abgrenzungsprüfung. Bei bestehender WLAN-Verbindung hätte ein Angreifer in demselben Netzwerk ein Zurücksetzen des Geräts auslösen können.

    CVE-ID

    CVE-2011-0162: Scott Boyd von ePlus Technology, Inc.

Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.

Veröffentlichungsdatum: