Informationen zum Sicherheitsinhalt von iOS 6
Hier erfahren Sie mehr über den Sicherheitsinhalt von iOS 6.
iOS 6 kann über iTunes geladen und installiert werden.
In diesem Dokument wird der Sicherheitsinhalt von iOS 6 beschrieben.
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.
Informationen zum Apple PGP-Schlüssel für die Produktsicherheit finden Sie unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.
Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.
Informationen zu weiteren Sicherheitsupdates finden Sie unter Apple-Sicherheitsupdates.
iOS 6
CFNetwork
Verfügbar für: iPhone 3GS und neuer, iPod touch (4. Generation und neuer), iPad 2 und neuer
Auswirkung: Das Aufrufen einer in böswilliger Absicht erstellten Website kann zur Offenlegung vertraulicher Daten führen
Beschreibung: Es bestand ein Problem beim Verarbeiten von fehlerhaften URLs in CFNetwork. CFNetwork sendete womöglich Anfragen an einen falschen Hostnamen, was zur Preisgabe sensibler Daten führte. Dieses Problem wurde durch eine verbesserte URL-Verarbeitung behoben.
CVE-ID
CVE-2012-3724: Erling Ellingsen von Facebook
CoreGraphics
Verfügbar für: iPhone 3GS und neuer, iPod touch (4. Generation) und neuer, iPad 2 und neuer
Auswirkung: Mehrere Schwachstellen in FreeType
Beschreibung: In FreeType gab es mehrere Schwachstellen, die im schlimmsten Fall bei der Verarbeitung von in böswilliger Absicht erstellten Schriftartdaten zur Ausführung von willkürlichem Code hätten führen können. Dieses Problem wurde durch Aktualisieren von FreeType auf Version 2.4.9 behoben. Weitere Informationen finden Sie auf der FreeType-Website unter http://www.freetype.org.
CVE-ID
CVE-2012-1126
CVE-2012-1127
CVE-2012-1128
CVE-2012-1129
CVE-2012-1130
CVE-2012-1131
CVE-2012-1132
CVE-2012-1133
CVE-2012-1134
CVE-2012-1135
CVE-2012-1136
CVE-2012-1137
CVE-2012-1138
CVE-2012-1139
CVE-2012-1140
CVE-2012-1141
CVE-2012-1142
CVE-2012-1143
CVE-2012-1144
CoreMedia
Verfügbar für: iPhone 3GS und neuer, iPod touch (4. Generation und neuer), iPad 2 und neuer
Auswirkung: Das Anzeigen einer in böswilliger Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen.
Beschreibung: Bei der Verarbeitung von Sorenson-codierten Filmdateien bestand ein Problem mit nicht initialisiertem Speicherzugriff. Dieses Problem wurde durch eine verbesserte Speicherinitialisierung behoben.
CVE-ID
CVE-2012-3722: Will Dormann von CERT/CC
DHCP
Verfügbar für: iPhone 3GS und neuer, iPod touch (4. Generation und neuer), iPad 2 und neuer
Auswirkung: Ein böswilliges WLAN-Netzwerk könnte Netzwerke erkennen, auf die ein Gerät in der Vergangenheit bereits zugegriffen hat
Beschreibung: Nach dem Verbinden mit einem WLAN-Netzwerk konnte iOS per DNAv4-Protokoll MAC-Adressen von Netzwerken übertragen, die in der Vergangenheit bereits verwendet wurden. Dieses Problem wurde durch Deaktivieren von DNAv4 bei unverschlüsselten WLAN-Netzwerken behoben.
CVE-ID
CVE-2012-3725: Mark Wuergler von Immunity, Inc.
ImageIO
Verfügbar für: iPhone 3GS und neuer, iPod touch (4. Generation und neuer), iPad 2 und neuer
Auswirkung: Das Anzeigen einer in böser Absicht erstellten TIFF-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Die Verarbeitung von ThunderScan-codierten TIFF-Bildern durch libtiff konnte zu einem Pufferüberlauf führen. Dieses Problem wurde durch die Aktualisierung von libtiff auf Version 3.9.5 behoben.
CVE-ID
CVE-2011-1167
ImageIO
Verfügbar für: iPhone 3GS und neuer, iPod touch (4. Generation und neuer), iPad 2 und neuer
Auswirkung: Das Verarbeiten eines in böswilliger Absicht erstellten PNG-Bildes könnte zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung von PNG-Bildern in libpng traten mehrere Speicherfehler auf. Dieses Problem wurde durch eine verbesserte Validierung von PNG-Bildern behoben.
CVE-ID
CVE-2011-3026: Jüri Aedla
CVE-2011-3048
CVE-2011-3328
ImageIO
Verfügbar für: iPhone 3GS und neuer, iPod touch (4. Generation) und neuer, iPad 2 und neuer
Auswirkung: Das Anzeigen einer in böswilliger Absicht erstellten JPEG-Bilddatei könnte zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung von JPEG-Bildern in ImageIO kam es zu einem Double-Free-Problem. Dieses Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-ID
CVE-2012-3726: Phil von PKJE Consulting
ImageIO
Verfügbar für: iPhone 3GS und neuer, iPod touch (4. Generation) und neuer, iPad 2 und neuer
Auswirkung: Das Anzeigen eines in böswilliger Absicht erstellten TIFF-Bildes kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung von TIFF-Bildern in libTIFF konnte es zu einem Stapelpufferüberlauf kommen. Dieses Problem wurde durch eine verbesserte Verarbeitung von TIFF-Bildern behoben.
CVE-ID
CVE-2012-1173: Alexander Gavrun in Zusammenarbeit mit der HP Zero Day Initiative
Internationale Komponenten für Unicode
Verfügbar für: iPhone 3GS und neuer, iPod touch (4. Generation und neuer), iPad 2 und neuer
Auswirkung: Programme, die ICU verwenden, können anfällig für die Ausführung willkürlichen Codes oder einen unerwarteten Programmabbruch sein
Beschreibung: Bei der Verarbeitung von lokalen ICU-IDs konnte es zu einem Pufferüberlauf kommen. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2011-4599
IPSec
Verfügbar für: iPhone 3GS und neuer, iPod touch (4. Generation und neuer), iPad 2 und neuer
Auswirkung: Das Laden einer in böswilliger Absicht erstellten Racoon-Konfigurationsdatei könnte zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung von Racoon-Konfigurationsdateien konnte es zu einem Pufferüberlauf kommen. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2012-3727: iOS Jailbreak Dream Team
Kernel
Verfügbar für: iPhone 3GS und neuer, iPod touch (4. Generation und neuer), iPad 2 und neuer
Auswirkung: Ein lokaler Benutzer kann willkürlichen Code mit Systemrechten ausführen
Beschreibung: Bei der Verarbeitung von Paketfilter-ioctls gab es ein Problem mit einem ungültigen Zeiger-Rückverweis. Dies erlaubte es einem Angreifer, den Kernel-Speicher zu ändern. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.
CVE-ID
CVE-2012-3728: iOS Jailbreak Dream Team
Kernel
Verfügbar für: iPhone 3GS und neuer, iPod touch (4. Generation und neuer), iPad 2 und neuer
Auswirkung: Ein lokaler Benutzer könnte das Kernel-Speicher-Layout ermitteln
Beschreibung: Im Berkeley Paketfilter-Interpretierer gab es ein Problem mit einem nicht initialisierten Speicherzugriff, das zur Preisgabe von Speicherinhalten führte. Dieses Problem wurde durch eine verbesserte Speicherinitialisierung behoben.
CVE-ID
CVE-2012-3729: Dan Rosenberg
libxml
Verfügbar für: iPhone 3GS und neuer, iPod touch (4. Generation und neuer), iPad 2 und neuer
Auswirkung: Das Anzeigen einer in böswilliger Absicht erstellten Webseite könnte zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen
Beschreibung: In libxml waren mehrere Schwachstellen vorhanden, die schlimmstenfalls zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen können. Diese Probleme wurden durch Anwenden der entsprechenden Upstream-Patches behoben.
CVE-ID
CVE-2011-1944: Chris Evans vom Google Chrome-Sicherheitsteam
CVE-2011-2821: Yang Dingning von NCNIPC, Graduate University of Chinese Academy of Sciences
CVE-2011-2834: Yang Dingning von NCNIPC, Graduate University of Chinese Academy of Sciences
CVE-2011-3919: Jüri Aedla
Mail
Verfügbar für: iPhone 3GS und neuer, iPod touch (4. Generation und neuer), iPad 2 und neuer
Auswirkung: Mail präsentiert ggf. den falschen Anhang in einer Nachricht
Beschreibung: Bei der Verarbeitung von Anhängen gab es in Mail ein Logikproblem. Wenn ein nachfolgender Mail-Anhang dieselbe Inhalts-ID verwendet wie ein vorheriger, würde der vorherige Anhang angezeigt, selbst wenn die 2 Nachrichten von verschiedenen Absendern stammten. Damit ließen sich einige Spoofing- oder Phishing-Angriffe erleichtern. Dieses Problem wurde durch eine verbesserte Verarbeitung der Anhänge behoben.
CVE-ID
CVE-2012-3730: Angelo Prado vom salesforce.com-Produktsicherheitsteam
Mail
Verfügbar für: iPhone 3GS und neuer, iPod touch (4. Generation und neuer), iPad 2 und neuer
Auswirkung: E-Mail-Anhänge könnten ohne Code des Benutzers gelesen werden
Beschreibung: Bei der Nutzung des Datenschutzes gab es in Mail ein Logikproblem. Dieses Problem wurde durch korrektes Einstellen der Datenschutzklasse für E-Mail-Anhänge behoben.
CVE-ID
CVE-2012-3731: Stephen Prairie von Travelers Insurance, Erich Stuntebeck von AirWatch
Mail
Verfügbar für: iPhone 3GS und neuer, iPod touch (4. Generation und neuer), iPad 2 und neuer
Auswirkung: Ein Angreifer könnte den Absender einer S/MIME-signierten Nachricht vortäuschen
Beschreibung: S/MIME-signierte Nachrichten zeigten die nicht vertrauenswürdige Absender-Adresse anstelle des Namens an, der mit der Identität des Nachrichten-Unterzeichners verknüpft ist. Dieses Problem wurde behoben, indem die Adresse angezeigt wird, die mit der Identität des Nachrichten-Unterzeichners verknüpft ist, wenn diese verfügbar ist.
CVE-ID
CVE-2012-3732: Ein anonymer Forscher.
Nachrichten
Verfügbar für: iPhone 3GS und neuer, iPod touch (4. Generation und neuer), iPad 2 und neuer
Auswirkung: Ein Benutzer könnte unbeabsichtigt die Existenz seiner E-Mail-Adresse preisgeben
Beschreibung: Wenn ein Benutzer mehrere E-Mail-Adressen mit iMessage verknüpft hatte, konnte das Antworten auf eine Nachricht dazu führen, dass die Antwort von einer anderen E-Mail-Adresse gesendet wurde. Dadurch kann eine andere E-Mail-Adresse preisgegeben werden, die mit dem Benutzeraccount verknüpft ist. Dieses Problem wurde behoben, indem immer von der E-Mail-Adresse geantwortet wird, an die die ursprüngliche Nachricht gesendet wurde.
CVE-ID
CVE-2012-3733: Rodney S. Foley von Gnomesoft, LLC
Office Viewer
Verfügbar für: iPhone 3GS und neuer, iPod touch (4. Generation und neuer), iPad 2 und neuer
Auswirkung: Unverschlüsselte Dokumentdaten könnten in eine temporäre Datei geschrieben werden
Beschreibung: Bei der Anzeige von Microsoft Office-Dateien bestand ein Problem mit der Preisgabe von Daten. Bei der Anzeige eines Dokuments erstellte Office Viewer eine temporäre Datei mit Daten aus dem angezeigten Dokument im temporären Verzeichnis des aufrufenden Prozesses. Bei einer Anwendung, die einen Datenschutz oder eine andere Verschlüsselung zum Schutz der Dateien des Benutzers verwendet, konnte dies zur Preisgabe von Daten führen. Das Problem wurde behoben, indem das Erstellen temporärer Dateien beim Anzeigen von Office-Dokumenten vermieden wird.
CVE-ID
CVE-2012-3734: Salvatore Cataudella von Open Systems Technologies
OpenGL
Verfügbar für: iPhone 3GS und neuer, iPod touch (4. Generation und neuer), iPad 2 und neuer
Auswirkung: Programme, die die OpenGL-Implementierung von OS X verwenden, sind möglicherweise anfällig für eine unerwartete Programmbeendigung oder die Ausführung willkürlichen Codes
Beschreibung: Bei der Verarbeitung der GLSL-Zusammenstellung gab es mehrere Speicherfehler. Dieses Problem wurde durch eine verbesserte Validierung von GLSL-Shadern behoben.
CVE-ID
CVE-2011-3457: Chris Evans vom Google Chrome Security Team und Marc Schoenefeld vom Red Hat Security Response Team
Codesperre
Verfügbar für: iPhone 3GS und neuer, iPod touch (4. Generation und neuer), iPad 2 und neuer
Auswirkung: Eine Person mit physischem Zugang zum Gerät könnte kurz die zuletzt verwendete App eines Drittanbieters auf einem gesperrten Gerät anzeigen
Beschreibung: Es gab ein Logikproblem mit der Anzeige des Schiebereglers "Ausschalten" im Sperrbildschirm. Dieses Problem wurde durch eine verbesserte Sperrstatusverwaltung behoben.
CVE-ID
CVE-2012-3735: Chris Lawrence DBB
Codesperre
Verfügbar für: iPhone 3GS und neuer, iPod touch (4. Generation und neuer), iPad 2 und neuer
Auswirkung: Eine Person mit physischem Zugang zum Gerät könnte die Bildschirmsperre umgehen
Beschreibung: Es existierte ein Logikproblem beim Beenden von FaceTime-Anrufen über die Bildschirmsperre. Dieses Problem wurde durch eine verbesserte Sperrstatusverwaltung behoben.
CVE-ID
CVE-2012-3736: Ian Vitek von 2Secure AB
Codesperre
Verfügbar für: iPhone 3GS und neuer, iPod touch (4. Generation und neuer), iPad 2 und neuer
Auswirkung: Bei gesperrtem Bildschirm könnte auf alle Fotos zugegriffen werden
Beschreibung: Es existierte ein Designproblem bei der Anzeige von Fotos, die bei gesperrtem Bildschirm aufgenommen wurden. Um zu bestimmen, auf welche Fotos zugegriffen werden darf, betrachtete die Codesperre die Uhrzeit, zu der das Gerät gesperrt wurde, und verglich diese mit der Uhrzeit, zu der das Foto gemacht wurde. Durch Vortäuschen der aktuellen Uhrzeit konnte ein Angreifer Zugriff auf Fotos erhalten, die vor dem Sperren des Geräts aufgenommen wurden. Diese Probleme wurden gelöst, indem explizit festhalten wird, welche Fotos während der Sperre des Geräts aufgenommen wurden.
CVE-ID
CVE-2012-3737: Ade Barkah von BlueWax Inc.
Codesperre
Verfügbar für: iPhone 3GS und neuer, iPod touch (4. Generation und neuer), iPad 2 und neuer
Auswirkung: Eine Person mit physischem Zugang zu einem gesperrten Gerät könnte FaceTime-Anrufe durchführen
Beschreibung: Es bestand ein Logikproblem beim Notruf-Bildschirm, wodurch FaceTime-Anrufe über Sprachwahl auf dem gesperrten Gerät erlaubt wurden. Dadurch konnten auch die Kontakte des Benutzers über Kontaktvorschläge preisgegeben werden. Das Problem wurde behoben, indem die Sprachwahl im Notruf-Bildschirm deaktiviert wurde.
CVE-ID
CVE-2012-3738: Ade Barkah von BlueWax Inc.
Codesperre
Verfügbar für: iPhone 3GS und neuer, iPod touch (4. Generation und neuer), iPad 2 und neuer
Auswirkung: Eine Person mit physischem Zugang zum Gerät könnte die Bildschirmsperre umgehen
Beschreibung: Das Verwenden der Kamera bei gesperrtem Bildschirm konnte in manchen Fällen die automatische Sperrfunktion beeinträchtigen, sodass eine Person mit physischem Zugang zum Gerät den Codesperre-Bildschirm umgehen konnte. Dieses Problem wurde durch eine verbesserte Sperrstatusverwaltung behoben.
CVE-ID
CVE-2012-3739: Sebastian Spanninger vom österreichischen Bundesrechenzentrum (BRZ)
Codesperre
Verfügbar für: iPhone 3GS und neuer, iPod touch (4. Generation und neuer), iPad 2 und neuer
Auswirkung: Eine Person mit physischem Zugang zum Gerät könnte die Bildschirmsperre umgehen
Beschreibung: Es existierte ein Zustandsverwaltungsproblem beim Umgang mit der Bildschirmsperre. Dieses Problem wurde durch eine verbesserte Sperrstatusverwaltung behoben.
CVE-ID
CVE-2012-3740: Ian Vitek von 2Secure AB
Einschränkungen
Verfügbar für: iPhone 3GS und neuer, iPod touch (4. Generation und neuer), iPad 2 und neuer
Auswirkung: Ein Benutzer könnte Einkäufe tätigen, ohne seine Apple-ID-Berechtigung eingeben zu müssen
Beschreibung: Nach dem Deaktivieren der Einschränkungen fragte iOS bei einer Transaktion nicht mehr nach dem Kennwort des Benutzers. Das Problem wurde durch ein zusätzliches Erzwingen einer Kaufautorisierung gelöst.
CVE-ID
CVE-2012-3741: Kevin Makens von der Redwood High School
Safari
Verfügbar für: iPhone 3GS und neuer, iPod touch (4. Generation und neuer), iPad 2 und neuer
Auswirkung: Websites könnten Zeichen mit einem Erscheinungsbild verwenden, das dem Schlosssymbol in ihrem Titel ähnelt
Beschreibung: Websites konnten ein Unicode-Zeichen verwenden, um ein Schlosssymbol im Seitentitel zu erzeugen. Dieses Symbol ähnelte im Erscheinungsbild dem Symbol, das verwendet wird, um eine sichere Verbindung zu kennzeichnen, und konnte den Benutzer glauben lassen, dass eine sichere Verbindung hergestellt wurde. Das Problem wurde behoben, indem diese Zeichen aus Seitentiteln entfernt wurden.
CVE-ID
CVE-2012-3742: Boku Kihara von Lepidum
Safari
Verfügbar für: iPhone 3GS und neuer, iPod touch (4. Generation und neuer), iPad 2 und neuer
Auswirkung: Kennwörter werden möglicherweise automatisch vervollständigt, auch wenn von der Site angegeben wird, dass das automatische Vervollständigen deaktiviert werden soll
Beschreibung: Steuerelemente für die Kennworteingabe, bei denen das Attribut für die automatische Vervollständigung auf "off" festgelegt wurde, wurden automatisch vervollständigt. Dieses Problem wurde durch eine verbesserte Verarbeitung der Anhänge behoben.
CVE-ID
CVE-2012-0680: Dan Poltawski von Moodle
Systemprotokolle
Verfügbar für: iPhone 3GS und neuer, iPod touch (4. Generation und neuer), iPad 2 und neuer
Auswirkung: In der Sandbox ausgeführte Apps könnten Systemprotokoll-Inhalte erlangen
Beschreibung: In der Sandbox ausgeführte Apps hatten Lesezugriff auf das Verzeichnis /var/log, wodurch sie sensible Daten in den Systemprotokollen erlangen konnten. Dieses Problem wurde gelöst, indem in der Sandbox ausgeführte Apps keinen Zugriff mehr auf das Verzeichnis /var/log erhalten.
CVE-ID
CVE-2012-3743
Telefonie
Verfügbar für: iPhone 3GS und neuer, iPod touch (4. Generation und neuer), iPad 2 und neuer
Auswirkung: Eine SMS-Nachricht scheint von einem willkürlichen Benutzer gesandt worden zu sein
Beschreibung: Nachrichten zeigten die Absenderadresse einer SMS-Nachricht als Absender an. Absenderadressen konnten vorgetäuscht sein. Das Problem wurde behoben, indem immer die Ursprungsadresse anstelle der Absenderadresse angezeigt wird.
CVE-ID
CVE-2012-3744: pod2g
Telefonie
Verfügbar für: iPhone 3GS und neuer, iPod touch (4. Generation und neuer), iPad 2 und neuer
Auswirkung: Eine SMS-Nachricht könnte die Funkverbindung stören
Beschreibung: Bei der Verarbeitung von SMS-Nutzerdaten-Headern bestand ein Problem mit einem Pufferüberlauf vom Typ "off-by-one". Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2012-3745: pod2g
UIKit
Verfügbar für: iPhone 3GS und neuer, iPod touch (4. Generation und neuer), iPad 2 und neuer
Auswirkung: Ein Angreifer, der Zugriff auf das Dateisystem eines Geräts erlangt, könnte Dateien lesen, die in einer UIWebView angezeigt wurden
Beschreibung: Anwendungen, die UIWebView verwenden, konnten unverschlüsselte Dateien auf dem Dateisystem belassen, selbst wenn ein Code aktiviert ist. Dieses Problem wurde durch eine verbesserte Nutzung des Datenschutzes behoben.
CVE-ID
CVE-2012-3746: Ben Smith von Box
WebKit
Verfügbar für: iPhone 3GS und neuer, iPod touch (4. Generation und neuer), iPad 2 und neuer
Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: In WebKit gab es mehrere Speicherfehler. Diese Probleme wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-ID
CVE-2011-3016: miaubiz
CVE-2011-3021: Arthur Gerkis
CVE-2011-3027: miaubiz
CVE-2011-3032: Arthur Gerkis
CVE-2011-3034: Arthur Gerkis
CVE-2011-3035: wushi von team509 in Zusammenarbeit mit iDefense VCP, Arthur Gerkis
CVE-2011-3036: miaubiz
CVE-2011-3037: miaubiz
CVE-2011-3038: miaubiz
CVE-2011-3039: miaubiz
CVE-2011-3040: miaubiz
CVE-2011-3041: miaubiz
CVE-2011-3042: miaubiz
CVE-2011-3043: miaubiz
CVE-2011-3044: Arthur Gerkis
CVE-2011-3050: miaubiz
CVE-2011-3053: miaubiz
CVE-2011-3059: Arthur Gerkis
CVE-2011-3060: miaubiz
CVE-2011-3064: Atte Kettunen von OUSPG
CVE-2011-3068: miaubiz
CVE-2011-3069: miaubiz
CVE-2011-3071: pa_kt in Zusammenarbeit mit der Zero Day Initiative von HP
CVE-2011-3073: Arthur Gerkis
CVE-2011-3074: Slawomir Blazek
CVE-2011-3075: miaubiz
CVE-2011-3076: miaubiz
CVE-2011-3078: Martin Barbella vom Google Chrome-Sicherheitsteam
CVE-2011-3081: miaubiz
CVE-2011-3086: Arthur Gerkis
CVE-2011-3089: Skylined vom Google Chrome-Sicherheitsteam, miaubiz
CVE-2011-3090: Arthur Gerkis
CVE-2011-3105: miaubiz
CVE-2011-3913: Arthur Gerkis
CVE-2011-3924: Arthur Gerkis
CVE-2011-3926: Arthur Gerkis
CVE-2011-3958: miaubiz
CVE-2011-3966: Aki Helin von OUSPG
CVE-2011-3968: Arthur Gerkis
CVE-2011-3969: Arthur Gerkis
CVE-2011-3971: Arthur Gerkis
CVE-2012-0682: Apple-Produktsicherheit
CVE-2012-0683: Dave Mandelin von Mozilla
CVE-2012-1520: Martin Barbella vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer, Jose A. Vazquez von spa-s3c.blogspot.com in Zusammenarbeit mit iDefense VCP
CVE-2012-1521: Skylined vom Google Chrome-Sicherheitsteam, Jose A. Vazquez von spa-s3c.blogspot.com in Zusammenarbeit mit iDefense VCP
CVE-2012-2818: miaubiz
CVE-2012-3589: Dave Mandelin von Mozilla
CVE-2012-3590: Apple-Produktsicherheit
CVE-2012-3591: Apple-Produktsicherheit
CVE-2012-3592: Apple-Produktsicherheit
CVE-2012-3593: Apple-Produktsicherheit
CVE-2012-3594: miaubiz
CVE-2012-3595: Martin Barbella von Google Chrome Security
CVE-2012-3596: Skylined vom Google Chrome-Sicherheitsteam
CVE-2012-3597: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam
CVE-2012-3598: Apple-Produktsicherheit
CVE-2012-3599: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam
CVE-2012-3600: David Levin von der Chromium-Entwicklergemeinde
CVE-2012-3601: Martin Barbella vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer
CVE-2012-3602: miaubiz
CVE-2012-3603: Apple-Produktsicherheit
CVE-2012-3604: Skylined vom Google Chrome-Sicherheitsteam
CVE-2012-3605: Cris Neckar vom Google Chrome-Sicherheitsteam
CVE-2012-3608: Skylined vom Google Chrome-Sicherheitsteam
CVE-2012-3609: Skylined vom Google Chrome-Sicherheitsteam
CVE-2012-3610: Skylined vom Google Chrome-Sicherheitsteam
CVE-2012-3611: Apple-Produktsicherheit
CVE-2012-3612: Skylined vom Google Chrome-Sicherheitsteam
CVE-2012-3613: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam
CVE-2012-3614: Yong Li von Research In Motion, Inc.
CVE-2012-3615: Stephen Chenney von der Chromium-Entwicklergemeinde
CVE-2012-3617: Apple-Produktsicherheit
CVE-2012-3618: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam
CVE-2012-3620: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam
CVE-2012-3624: Skylined vom Google Chrome-Sicherheitsteam
CVE-2012-3625: SkyLined vom Google Chrome-Sicherheitsteam
CVE-2012-3626: Apple-Produktsicherheit
CVE-2012-3627: Skylined und Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam
CVE-2012-3628: Apple-Produktsicherheit
CVE-2012-3629: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam
CVE-2012-3630: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam
CVE-2012-3631: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam
CVE-2012-3633: Martin Barbella vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer
CVE-2012-3634: Martin Barbella vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer
CVE-2012-3635: Martin Barbella vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer
CVE-2012-3636: Martin Barbella vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer
CVE-2012-3637: Martin Barbella vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer
CVE-2012-3638: Martin Barbella vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer
CVE-2012-3639: Martin Barbella vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer
CVE-2012-3640: miaubiz
CVE-2012-3641: Slawomir Blazek
CVE-2012-3642: miaubiz
CVE-2012-3644: miaubiz
CVE-2012-3645: Martin Barbella vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer
CVE-2012-3646: Julien Chaffraix von der Chromium-Entwicklergemeinde, Martin Barbella vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer
CVE-2012-3647: Skylined vom Google Chrome-Sicherheitsteam
CVE-2012-3648: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam
CVE-2012-3651: Abhishek Arya (Inferno) und Martin Barbella vom Google Chrome-Sicherheitsteam
CVE-2012-3652: Martin Barbella vom Google Chrome-Sicherheitsteam
CVE-2012-3653: Martin Barbella vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer
CVE-2012-3655: Skylined vom Google Chrome-Sicherheitsteam
CVE-2012-3656: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam
CVE-2012-3658: Apple
CVE-2012-3659: Mario Gomes von netfuzzer.blogspot.com, Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam
CVE-2012-3660: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam
CVE-2012-3661: Apple-Produktsicherheit
CVE-2012-3663: SkyLined vom Google Chrome-Sicherheitsteam
CVE-2012-3664: Thomas Sepez von der Chromium-Entwicklergemeinde
CVE-2012-3665: Martin Barbella vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer
CVE-2012-3666: Apple
CVE-2012-3667: Trevor Squires von propaneapp.com
CVE-2012-3668: Apple-Produktsicherheit
CVE-2012-3669: Apple-Produktsicherheit
CVE-2012-3670: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam, Arthur Gerkis
CVE-2012-3671: Skylined und Martin Barbella vom Google Chrome-Sicherheitsteam
CVE-2012-3672: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam
CVE-2012-3673: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam
CVE-2012-3674: SkyLined vom Google Chrome-Sicherheitsteam
CVE-2012-3676: Julien Chaffraix von der Chromium-Entwicklergemeinde
CVE-2012-3677: Apple
CVE-2012-3678: Apple-Produktsicherheit
CVE-2012-3679: Chris Leary von Mozilla
CVE-2012-3680: SkyLined vom Google Chrome-Sicherheitsteam
CVE-2012-3681: Apple
CVE-2012-3682: Adam Barth vom Google Chrome-Sicherheitsteam
CVE-2012-3683: wushi von team509 in Zusammenarbeit mit iDefense VCP
CVE-2012-3684: kuzzcc
CVE-2012-3686: Robin Cao von Torch Mobile (Beijing)
CVE-2012-3703: Apple-Produktsicherheit
CVE-2012-3704: Skylined vom Google Chrome-Sicherheitsteam
CVE-2012-3706: Apple-Produktsicherheit
CVE-2012-3708: Apple
CVE-2012-3710: James Robinson von Google
CVE-2012-3747: David Bloom von Cue
WebKit
Verfügbar für: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. Generation) und neuer, iPad, iPad 2
Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website könnte zur Offenlegung von Informationen auf anderen Websites führen
Beschreibung: Bei der Verarbeitung von CSS-Eigenschaftenwerten gab es ein Cross-Origin-Problem. Das Problem wurde durch eine verbesserte Herkunftsverfolgung behoben.
CVE-ID
CVE-2012-3691: Apple
WebKit
Verfügbar für: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. Generation) und neuer, iPad, iPad 2
Auswirkung: Eine in böswilliger Absicht erstellte Website könnte den Inhalt eines iframe auf einer anderen Site ersetzen
Beschreibung: Bei der Verarbeitung von iframes in Popup-Fenstern gab es ein Cross-Origin-Problem. Das Problem wurde durch eine verbesserte Herkunftsverfolgung behoben.
CVE-ID
CVE-2011-3067: Sergey Glazunov
WebKit
Verfügbar für: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. Generation) und neuer, iPad, iPad 2
Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website könnte zur Offenlegung von Informationen auf anderen Websites führen
Beschreibung: Bei der Verarbeitung von iframes und Fragmentbezeichnern gab es ein Cross-Origin-Problem. Das Problem wurde durch eine verbesserte Herkunftsverfolgung behoben.
CVE-ID
CVE-2012-2815: Elie Bursztein, Baptiste Gourdin, Gustav Rydstedt und Dan Boneh vom Stanford University Security Laboratory
WebKit
Verfügbar für: iPhone 3GS und neuer, iPod touch (4. Generation und neuer), iPad 2 und neuer
Auswirkung: Doppelgängerzeichen in einer URL könnten zur Maskierung einer Website verwendet werden
Beschreibung: Die IDN-Unterstützung (International Domain Name) und die in Safari integrierten Unicode-Schriftarten konnten verwendet werden, um URLs zu erstellen, die Doppelgängerzeichen enthalten. Diese konnten in einer schädlichen Website verwendet werden, um den Benutzer auf eine gefälschte Site zu leiten, die auf den ersten Blick eine legitime Domain aufzuweisen scheint. Das Problem wurde behoben, indem die Liste bekannter Doppelgängerzeichen des WebKit ergänzt wurde. Doppelgängerzeichen werden in der Adressleiste mit Punycode gerendert.
CVE-ID
CVE-2012-3693: Matt Cooley von Symantec
WebKit
Verfügbar für: iPhone 3GS und neuer, iPod touch (4. Generation und neuer), iPad 2 und neuer
Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu Cross-Site-Scripting-Angriffen führen
Beschreibung: Es bestand ein Problem mit der Umwandlung von URLs in kanonische Formate bei der Verarbeitung von URLs. Dies konnte zu Cross-Site-Scripting auf Websites führen, die die Eigenschaft location.href verwenden. Dieses Problem wurde durch eine verbesserte Umwandlung von URLs in kanonische Formate behoben.
CVE-ID
CVE-2012-3695: Masato Kinugawa
WebKit
Verfügbar für: iPhone 3GS und neuer, iPod touch (4. Generation und neuer), iPad 2 und neuer
Auswirkung: Das Aufrufen einer in böswilliger Absicht erstellten Website könnte zur Aufteilung von HTTP-Anforderungen führen
Beschreibung: Bei der Verarbeitung von WebSockets lag ein Problem mit der Injektion von HTTP-Headern vor. Dieses Problem wurde durch eine verbesserte WebSockets-URI-Säuberung gelöst.
CVE-ID
CVE-2012-3696: David Belcher vom BlackBerry Security Incident Response Team
WebKit
Verfügbar für: iPhone 3GS und neuer, iPod touch (4. Generation und neuer), iPad 2 und neuer
Auswirkung: Eine in böser Absicht erstellte Website könnte den Wert in der URL-Leiste vortäuschen
Beschreibung: Bei der Verarbeitung des Sitzungsverlaufs lag ein Problem mit der Statusverwaltung vor. Die Navigation zu einem Fragment auf der aktuellen Seite konnte dazu führen, dass in Safari falsche Informationen in der URL-Leiste angezeigt werden. Das Problem wurde durch ein verbessertes Origin-Tracking behoben.
CVE-ID
CVE-2011-2845: Jordi Chancel
WebKit
Verfügbar für: iPhone 3GS und neuer, iPod touch (4. Generation und neuer), iPad 2 und neuer
Auswirkung: Das Aufrufen einer in böswilliger Absicht erstellten Website könnte zur Offenlegung von Speicherinhalten führen
Beschreibung: Bei der Verarbeitung von SVG-Bildern bestand ein Problem mit dem Zugriff auf nicht initialisierten Speicher. Dieses Problem wurde durch eine verbesserte Speicherinitialisierung behoben.
CVE-ID
CVE-2012-3650: Apple
FaceTime ist nicht in allen Ländern und Regionen verfügbar.
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.