Informationen zum Sicherheitsinhalt des Softwareupdates iOS 4.2.7 für iPhone

In diesem Dokument wird der Sicherheitsinhalt des Softwareupdates iOS 4.2.7 beschrieben.

In diesem Dokument wird der Sicherheitsinhalt des Softwareupdates iOS 4.2.7 beschrieben, das du über iTunes laden und installieren kannst.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit findest du auf der Website zur Apple-Produktsicherheit.

Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit findest du unter „Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit“.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates findest du unter „Apple-Sicherheitsupdates“.

Softwareupdate iOS 4.2.7 für iPhone

• Certificate Trust Policy

  Verfügbar für: iOS 4.2.5 bis 4.2.6 für iPhone 4 (CDMA)

  Auswirkung: Ein Angreifer mit einer privilegierten Netzwerkposition könnte Anmeldedaten oder andere vertrauliche Daten von Benutzern abfangen.

  Beschreibung: Eine Comodo zugeordnete Registrierungsstelle hat mehrere betrügerische SSL-Zertifikate ausgestellt. Dadurch könnte ein Man-in-the-Middle-Angreifer in der Lage sein, Verbindungen umzuleiten und Anmeldedaten von Benutzern oder andere vertrauliche Daten abzufangen. Dieses Problem wird dadurch gelöst, dass die betrügerischen Zertifikate auf eine schwarze Liste gesetzt werden.

  Hinweis: Bei Mac OS X-Systemen wird dieses Problem durch das Sicherheitsupdate 2011-002 gelöst. In Windows-Systemen bestimmt Safari anhand des Zertifikatspeichers des Host-Betriebssystems, ob ein SSL-Serverzertifikat vertrauenswürdig ist. Wenn du die im Microsoft Knowledge Base-Artikel 2524375 beschriebene Aktualisierung durchführst, wird Safari diese Zertifikate als „nicht vertrauenswürdig“ einstufen. Der Artikel ist unter http://support.microsoft.com/kb/2524375 verfügbar.

• QuickLook

  Verfügbar für: iOS 4.2.5 bis 4.2.6 für iPhone 4 (CDMA)

  Auswirkung: Die Anzeige einer in böswilliger Absicht erstellten Microsoft Office-Datei könnte zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen.

  Beschreibung: Bei der Verarbeitung von Microsoft Office-Dateien durch QuickLook bestand ein Speicherfehler. Das Anzeigen einer in böswilliger Absicht erstellten Microsoft Office-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen.

  CVE-ID

  CVE-2011-1417: Charlie Miller und Dion Blazakis in Zusammenarbeit mit der Zero Day Initiative von TippingPoint

• WebKit

  Verfügbar für: iOS 4.2.5 bis 4.2.6 für iPhone 4 (CDMA)

  Auswirkung: Der Aufruf einer in böswilliger Absicht erstellten Website könnte zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen.

  Beschreibung: Bei der Verarbeitung von Node-Sets bestand ein Ganzzahlüberlauf-Problem. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

  CVE-ID

  CVE-2011-1290: Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp Weinmann und ein anonymer Forscher in Zusammenarbeit mit der Zero Day Initiative von TippingPoint

• WebKit

  Verfügbar für: iOS 4.2.5 bis 4.2.6 für iPhone 4 (CDMA)

  Auswirkung: Der Aufruf einer in böswilliger Absicht erstellten Website könnte zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen.

  Beschreibung: Bei der Verarbeitung von Text-Nodes bestand ein Use-After-Free-Problem. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

  CVE-ID

  CVE-2011-1344: Vupen Security in Zusammenarbeit mit der Zero Day Initiative von TippingPoint und Martin Barbella