Informationen zum Sicherheitsinhalt des iPhone-Updates 1.0.1
Dieses Dokument beschreibt den Sicherheitsinhalt des iPhone-Updates 1.0.1, das über iTunes geladen und installiert werden kann.
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit findest du auf der Website zur Apple-Produktsicherheit.
Informationen zum PGP-Schlüssel für die Apple-Produktsicherheit findest du unter „Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit“.
Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.
Informationen zu weiteren Sicherheitsupdates findest du unter „Apple-Sicherheitsupdates“.
iPhone-Update 1.0.1
Safari
CVE-ID: CVE-2007-2400
Verfügbar für: iPhone 1.0
Auswirkung: Das Öffnen einer in böser Absicht erstellten Website kann Cross-Site-Scripting ermöglichen.
Beschreibung: Das Sicherheitsmodell von Safari verhindert, dass JavaScript auf entfernten Webseiten Seiten außerhalb ihrer Domain ändert. Eine Race-Bedingung bei der Seitenaktualisierung in Kombination mit einer HTTP-Umleitung kann es JavaScript von einer Seite aus ermöglichen, eine umgeleitete Seite zu ändern. Dies könnte es ermöglichen, Cookies und Seiten zu lesen oder willkürlich zu ändern. Dieses Update behebt das Problem, indem der Zugriff auf Fenstereigenschaften korrigiert wird. Danke an Lawrence Lai, Stan Switzer und Ed Rowe von Adobe Systems, Inc. für das Melden dieses Problems.
Safari
CVE-ID: CVE-2007-3944
Verfügbar für: iPhone 1.0
Auswirkung: Das Anzeigen einer in böser Absicht erstellten Webseite kann zur Ausführung willkürlichen Codes führen.
Beschreibung: In der Perl Compatible Regular Expressions (PCRE)-Bibliothek, die von der JavaScript-Engine in Safari verwendet wird, kommt es zu Heap-Pufferüberläufen. Indem ein Benutzer dazu verleitet wird, eine in böser Absicht erstellte Webseite zu besuchen, kann ein Angreifer das Problem auslösen, was zur Ausführung willkürlichen Codes führen kann. Dieses Update behebt das Problem, indem es eine zusätzliche Überprüfung von regulären JavaScript-Ausdrücken durchführt. Danke an Charlie Miller und Jake Honoroff von Independent Security Evaluators für das Melden dieser Probleme.
WebCore
CVE-ID: CVE-2007-2401
Verfügbar für: iPhone 1.0
Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann Cross-Site-Anfragen zulassen.
Beschreibung: Ein HTTP-Eingabeproblem besteht in XMLHttpRequest beim Serialisieren von Headern in eine HTTP-Anforderung. Indem ein Benutzer dazu verleitet wird, eine in böser Absicht erstellte Webseite zu besuchen, kann ein Angreifer ein Cross-Site-Scripting-Problem auslösen. Dieses Update behebt das Problem, indem es eine zusätzliche Überprüfung von Header-Parametern durchführt. Danke an Richard Moore von Westpoint Ltd. für das Melden dieses Problems.
WebKit
CVE-ID: CVE-2007-3742
Verfügbar für: iPhone 1.0
Auswirkung: Ähnlich aussehende Zeichen in einer URL können verwendet werden, um eine Website zu tarnen.
Beschreibung: Die Unterstützung von internationalisierten Domainnamen (IDN) und die in Safari eingebetteten Unicode-Schriftarten könnten verwendet werden, um eine URL zu erstellen, die ähnlich aussehende Zeichen enthält. Diese könnten in einer in böser Absicht erstellten Website verwendet werden, um den Benutzer zu einer gefälschten Website zu leiten, die visuell eine legitime Domain zu sein scheint. Dieses Update behebt das Problem durch eine verbesserte Überprüfung der Gültigkeit des Domainnamens. Danke an Tomohito Yoshino von Business Architects Inc. für das Melden dieses Problems.
WebKit
CVE-ID: CVE-2007-2399
Verfügbar für: iPhone 1.0
Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.
Beschreibung: Eine ungültige Typumwandlung beim Rendern von Framesets könnte zu Speicherfehlern führen. Der Besuch einer in böser Absicht erstellten Webseite kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Danke an Rhys Kidd von Westnet für das Melden dieses Problems.
Installationshinweis
Dieses Update ist nur über iTunes verfügbar und wird nicht in der Softwareupdate-Anwendung deines Computers oder auf der Website Apple Support-Downloads angezeigt. Stelle sicher, dass du über eine Internetverbindung verfügst und die neueste Version von iTunes installiert hast (www.apple.com/de/itunes).
iTunes überprüft in seinem Wochenplan automatisch den Update-Server von Apple. Wenn ein Update erkannt wird, wird es geladen. Wenn das iPhone im Dock sitzt, bietet iTunes dem Benutzer die Option, das Update zu installieren. Wir empfehlen, das Update nach Möglichkeit sofort anzuwenden. Wenn du „nicht installieren“ auswählst, wird die Option angezeigt, wenn du dein iPhone das nächste Mal verbindest. Der automatische Aktualisierungsvorgang kann bis zu einer Woche dauern, abhängig von dem Tag, an dem iTunes nach Updates sucht.
Du kannst das Update manuell über die Taste „Nach Updates suchen“ oder die Menüauswahl in iTunes abrufen. Danach kann das Update angewendet werden, wenn dein iPhone an deinen Computer angedockt ist.
So überprüfst du, ob das iPhone aktualisiert wurde:
Navigiere zu „Einstellungen “auf dem iPhone.
Wähle „Allgemein“.
Wähle „Info“. Die Version nach dem Anwenden dieses Updates ist „1.0.1 (1C25)“.