Informationen zum Sicherheitsinhalt von iOS 2.2 und iOS für iPod touch 2.2

Dieses Dokument beschreibt den Sicherheitsinhalt von iOS 2.2 und iOS für iPod touch 2.2.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit findest du auf der Website zur Apple-Produktsicherheit.

Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit findest du unter „Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit“.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates findest du unter „Apple-Sicherheitsupdates.“

iOS 2.2 und iOS für iPod touch 2.2

  • CoreGraphics

    CVE-ID: CVE-2008-2321

    Verfügbar für: iOS 1.0 bis 2.1, iOS für iPod touch 1.1 bis 2.1

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

    Beschreibung: CoreGraphics enthält Probleme mit Speicherfehlern bei der Verarbeitung von Argumenten. Die Weitergabe von ungeprüftem Code an CoreGraphics mittels eines Programms, z. B. eines Webbrowsers, kann zu einem unerwarteten Programmabbruch oder der Ausführung von willkürlichem Code führen. Dieses Update behebt das Problem durch eine verbesserte Abgrenzungsprüfung. Danke an Michal Zalewski von Google für die Meldung dieses Problems.

  • ImageIO

    CVE-ID: CVE-2008-2327

    Verfügbar für: iOS 1.0 bis 2.1, iOS für iPod touch 1.1 bis 2.1

    Auswirkung: Das Anzeigen eines in böswilliger Absicht erstellten TIFF-Bildes kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

    Beschreibung: Bei der Verarbeitung von LZW-kodierten TIFF-Bildern durch libTIFF traten mehrere Probleme aufgrund eines nicht initialisierten Speicherzugriffs auf. Das Anzeigen eines in böswilliger Absicht erstellten TIFF-Bildes kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Dieses Update behebt das Problem durch eine korrekte Speicherinitialisierung und eine zusätzliche Prüfung von TIFF-Bildern.

  • ImageIO

    CVE-ID: CVE-2008-1586

    Verfügbar für: iOS 1.0 bis 2.1, iOS für iPod touch 1.1 bis 2.1

    Auswirkung: Das Anzeigen eines in böswilliger Absicht erstellten TIFF-Bildes kann zu einem unerwarteten Zurücksetzen des Geräts führen.

    Beschreibung: Bei der Verarbeitung von TIFF-Bildern gibt es ein Problem mit der Speichererschöpfung. Das Anzeigen eines in böswilliger Absicht erstellten TIFF-Bildes kann zu einem unerwarteten Zurücksetzen des Geräts führen. Dieses Update behebt das Problem durch Beschränken des Speichers, der dem Öffnen eines TIFF-Bildes zugewiesen ist. Danke an Sergio „shadown“ Alvarez von der Recurity Labs GmbH für die Meldung dieses Problems.

  • Networking

    CVE-ID: CVE-2008-4227

    Verfügbar für: iOS 1.0 bis 2.1, iOS für iPod touch 1.1 bis 2.1

    Auswirkung: Der Verschlüsselungsgrad für PPTP-VPN-Verbindungen ist möglicherweise niedriger als erwartet.

    Beschreibung: Der Verschlüsselungsgrad für PPTP-VPN-Verbindungen wird möglicherweise auf eine vorherige niedrigere Einstellung zurückgesetzt. Dieses Update behebt das Problem durch korrektes Festlegen der Verschlüsselungseinstellungen. Danke an Stephen Butler von der University of Illinois in Urbana-Champaign für die Meldung dieses Problems.

  • Office Viewer

    CVE-ID: CVE-2008-4211

    Verfügbar für: iOS 1.0 bis 2.1, iOS für iPod touch 1.1 bis 2.1

    Auswirkung: Das Anzeigen einer in böswilliger Absicht erstellten Microsoft Excel-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

    Beschreibung: Ein Vorzeichenproblem bei der Behandlung von Spalten in Microsoft Excel-Dateien durch Office Viewer kann zu einem Out-of-Bounds-Speicherzugriff führen. Das Anzeigen einer in böswilliger Absicht erstellten Microsoft Excel-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Dieses Update behebt das Problem, indem sichergestellt wird, dass die betroffenen Indexwerte nicht negativ sind. Quelle: Apple.

  • Passcode Lock

    CVE-ID: CVE-2008-4228

    Verfügbar für: iOS 1.0 bis 2.1, iOS für iPod touch 1.1 bis 2.1

    Auswirkung: Notrufe sind nicht auf Notrufnummern beschränkt.

    Beschreibung: Mit dem iPhone lassen sich Notrufe absetzen, während das Gerät gesperrt ist. Derzeit sind Notrufe an beliebige Rufnummern möglich. Eine Person mit physischem Zugang zu einem iPhone kann diese Funktion möglicherweise nutzen, um Anrufe zu tätigen, die dem iPhone-Besitzer in Rechnung gestellt werden. Dieses Update behebt das Problem durch Beschränken von Notrufen auf eine begrenzte Anzahl von Rufnummern.

  • Passcode Lock

    CVE-ID: CVE-2008-4229

    Verfügbar für: iOS 1.0 bis 2.1, iOS für iPod touch 1.1 bis 2.1

    Auswirkung: Bei der Wiederherstellung eines Geräts aus einem Backup wird die Codesperre möglicherweise nicht wieder aktiviert.

    Beschreibung: Die Codesperre soll sicherstellen, dass Programme nur gestartet werden können, wenn der richtige Code eingegeben wird. Bei der Verarbeitung von Geräteeinstellungen kann eine Race-Bedingung dazu führen, dass die Codesperre entfernt wird, wenn das Gerät aus einem Backup wiederhergestellt wird. Dadurch kann eine Person mit physischem Zugang zum Gerät möglicherweise Programme ohne den Code starten. Dieses Update behebt das Problem, indem es die Fähigkeit des Systems verbessert, fehlende Einstellungen zu erkennen. Dieses Problem betrifft keine Systeme vor iOS 2.0 oder iOS für iPod touch 2.0. Danke an Nolen Scaife für die Meldung dieses Problems.

  • Passcode Lock

    CVE-ID: CVE-2008-4230

    Verfügbar für: iOS 1.0 bis 2.1, iOS für iPod touch 1.1 bis 2.1

    Auswirkung: Textnachrichten (SMS) werden möglicherweise angezeigt, bevor der Code eingegeben wird.

    Beschreibung: Wenn eine SMS empfangen wird, während der Notrufbildschirm angezeigt wird, ist die ganze SMS sichtbar, selbst wenn die Einstellung „Vorschau zeigen“ auf „AUS“ festgelegt ist. Dieses Update behebt das Problem, indem in dieser Situation nur eine Benachrichtigung angezeigt wird, dass eine SMS eingegangen ist, und nicht der Inhalt der SMS.

  • Safari

    CVE-ID: CVE-2008-4231

    Verfügbar für: iOS 1.0 bis 2.1, iOS für iPod touch 1.1 bis 2.1

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

    Beschreibung: Bei der Handhabung von HTML-Tabellenelementen tritt ein Speicherfehler auf. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Dieses Update behebt das Problem durch eine verbesserte Handhabung von HTML-Tabellenelementen. Danke an Haifei Li vom FortiGuard Global Security Research Team von Fortinet für die Meldung dieses Problems.

  • Safari

    CVE-ID: CVE-2008-4232

    Verfügbar für: iOS 1.0 bis 2.1, iOS für iPod touch 1.1 bis 2.1

    Auswirkung: Websites mit eingebetteten iframe-Elementen sind möglicherweise anfällig für Benutzeroberflächen-Spoofing.

    Beschreibung: Safari gestattet es einem iframe-Element, Inhalte außerhalb seiner Grenzen anzuzeigen, was zu Benutzeroberflächen-Spoofing führen kann. Dieses Update behebt das Problem, indem nicht zugelassen wird, dass iframe-Elemente Inhalte außerhalb ihrer Grenzen anzeigen. Dieses Problem betrifft keine Systeme vor iOS 2.0 oder iOS für iPod touch 2.0. Danke an John Resig von der Mozilla Corporation für die Meldung dieses Problems.

  • CVE-ID: CVE-2008-4233. Verfügbar für: iOS 1.0 bis 2.1, iOS für iPod touch 1.1 bis 2.1. Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann dazu führen, dass ohne Benutzerinteraktion ein Anruf gestartet wird. Beschreibung: Während über Safari ein Programm gestartet wird, während Dialog zur Bestätigung eines Anrufs angezeigt wird, wird der Anruf gestartet. Dadurch kann eine in böswilliger Absicht erstellte Website ohne Benutzerinteraktion einen Anruf starten. Außerdem kann eine in böswilliger Absicht erstellte Website möglicherweise in bestimmten Situationen für kurze Zeit verhindern, dass der Benutzer das Wählen der Rufnummer abbricht. Dieses Update behebt das Problem, indem der Safari-Dialog zur Anrufbestätigung korrekt geschlossen wird, wenn ein Programm über Safari gestartet wird. Danke an Collin Mulliner von Fraunhofer SIT für die Meldung dieses Problems.

    Safari

  • Webkit

    CVE-ID: CVE-2008-3644

    Verfügbar für: iOS 1.0 bis 2.1, iOS für iPod touch 1.1 bis 2.1

    Auswirkung: Für eine Person mit physischem Zugang zu einem entsperrten Gerät können möglicherweise vertrauliche Daten offengelegt werden.

    Beschreibung: Das Deaktivieren der Funktion zur automatischen Vervollständigung in einem Formularfeld verhindert möglicherweise nicht, dass die Daten im Feld im Browserseitencache gesichert werden. Dies kann dazu führen, dass für eine Person mit physischem Zugang zu einem entsperrten Gerät vertrauliche Daten offengelegt werden. Dieses Update behebt das Problem durch korrektes Löschen der Formulardaten. Danke an einen anonymen Forscher für die Meldung dieses Problems.

Wichtig: Informationen zu Produkten, die nicht von Apple hergestellt wurden, werden lediglich zu Informationszwecken zur Verfügung gestellt und stellen keine Empfehlung oder Billigung seitens Apple dar. Weitere Informationen sind beim Anbieter erhältlich.

Veröffentlichungsdatum: