iPhone 1.1.1 Aktualisierung
-
Bluetooth
CVE-ID: CVE-2007-3753
Auswirkung: Entfernte Angreifer innerhalb des Bluetooth-Bereichs können eine unerwartete Programmbeendigung oder die Ausführung willkürlichen Codes verursachen.
Beschreibung: Beim Bluetooth-Server des iPhone tritt ein Problem mit der Eingabevalidierung auf. Dieses Problem kann von einem Angreifer ausgelöst werden, indem in böser Absicht erstellte Service Discovery Protocol (SDP)-Pakete an ein iPhone mit aktivierter Bluetooth-Funktion gesendet werden, was zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen kann. Diese Aktualisierung behebt das Problem, indem eine zusätzliche Validierung von SDP-Paketen erfolgt. Wir danken Kevin Mahaffey und John Hering von Flexilis Mobile Security für die Meldung dieses Problems.
-
Mail
CVE-ID: CVE-2007-3754
Auswirkung: Das Abrufen von E-Mails über nicht vertrauenswürdige Netzwerke kann über einen Man-in-the-middle-Angriff zur Preisgabe von Informationen führen.
Beschreibung: Wenn Mail so konfiguriert ist, dass für eingehende und ausgehende Nachrichten SSL verwendet wird, wird der Benutzer nicht eigens darauf hingewiesen, dass sich die Identität des Mail-Servers geändert hat oder nicht vertrauenswürdig ist. Ein Angreifer, der die Verbindung abfangen kann, könnte sich über den Mail-Server des Benutzers Zugang zu dessen Identifikationsdaten oder anderen vertraulichen Daten verschaffen. Mit dieser Aktualisierung wird das Problem behoben, indem explizit auf eine Identitätsänderung des entfernten Mail-Servers hingewiesen wird.
-
Mail
CVE-ID: CVE-2007-3755
Auswirkung: Durch das Aufrufen eines Links mit einer Telefonnummer ("tel:") in Mail wird eine Telefonnummer ohne Bestätigung des Benutzers gewählt.
Beschreibung: Mail unterstützt Links, die Telefonnummern enthalten, ("tel:) zum Wählen von Telefonnummern. Indem ein Benutzer dazu verleitet wird, einen solchen Link in einer E-Mail aufzurufen, kann ein Angreifer ohne die Bestätigung des Benutzers mit dem iPhone einen Anruf tätigen. Mit dieser Aktualisierung wird das Problem dadurch behoben, dass der Benutzer zunächst bestätigen muss, dass er die entsprechende Telefonnummer wählen möchte. Wir danken Andi Baritchi von McAfee für die Meldung dieses Problems.
-
Safari
CVE-ID: CVE-2007-3756
Auswirkung: Das Aufrufen einer in böser Absicht erstellten Website kann zur Preisgabe von URL-Inhalten führen.
Beschreibung: Ein Designproblem in Safari ermöglicht es einer Webseite, die URL zu lesen, die gerade im übergeordneten Fenster angezeigt wird. Indem ein Benutzer dazu verleitet wird, eine in böser Absicht erstellte Website zu besuchen, erhält ein Angreifer unter Umständen die URL einer anderen Webseite. Mit diesem Update wird das Problem durch verbesserte domänenübergreifende Sicherheitsüberprüfungen behoben. Wir danken Michal Zalewski von Google Inc. und Secunia Research für die Meldung dieses Problems.
-
Safari
CVE-ID: CVE-2007-3757
Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann dazu führen, dass unbeabsichtigt eine Telefonnummer gewählt wird bzw. dass eine andere Telefonnummer als erwartet gewählt wird.
Beschreibung: Safari unterstützt Telefon-Links ("tel:") zum Wählen von Telefonnummern. Wenn ein Link aufgerufen wird,der eine Telefonnummer enthält, bestätigt Safari, dass die Telefonnummer gewählt werden soll. Ein solcher in böser Absicht erstellter Link kann dazu führen, dass während des Bestätigungsvorgangs eine andere Telefonnummer angezeigt wird als die eigentlich gewählte. Das Beenden von Safari während des Bestätigungsvorgangs kann eine unbeabsichtigte Bestätigung zur Folge haben. Mit dieser Aktualisierung wird das Problem behoben, indem die Nummer, die gewählt werden soll, korrekt angezeigt wird und der Benutzer bei Links, die eine Telefonnummer enthalten, zur Bestätigung aufgefordert wird. Wir danken Billy Hoffman und Bryan Sullivan von HP Security Labs (ehemals SPI Labs) und Eduardo Tang für die Meldung dieses Problems.
-
Safari
CVE-ID: CVE-2007-3758
Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann siteübergreifendes Skripting ermöglichen.
Beschreibung: In Safari existiert eine siteübergreifende Skripting-Schwachstelle, welche es in böser Absicht erstellten Websites ermöglicht, JavaScript-Fenstereigenschaften von Websites festzulegen, die von einer anderen Domain bereitgestellt werden. Indem ein Benutzer zum Besuch einer in böser Absicht erstellten Website verleitet wird, kann ein Angreifer dieses Problem auslösen, was dazu führt, dass der Fensterstatus und der Ort von Seiten, die von anderen Websites bereitgestellt werden, angezeigt oder eingestellt werden. Mit dieser Aktualisierung wird das Problem durch verbesserte Zugriffskontrollen auf diese Eigenschaften behoben. Wir danken Michal Zalewski von Google Inc. für die Meldung dieses Problems.
-
Safari
CVE-ID: CVE-2007-3759
Auswirkung: Das Deaktivieren von JavaScript wird erst wirksam, nachdem Safari neu gestartet wurde.
Beschreibung: Safari kann so konfiguriert werden, dass JavaScript entweder aktiviert oder deaktiviert ist. Diese Einstellung hat bis zu einem Neustart von Safari keine Auswirkungen. Dies tritt meist dann auf, wenn das iPhone neu gestartet wird. Dadurch könnten Benutzer fälschlicherweise annehmen, dass JavaScript deaktiviert wurde, wenn dies in Wirklichkeit gar nicht der Fall ist. Mit dieser Aktualisierung wird das Problem behoben, indem die jeweils aktuelle Einstellung vor dem Laden neuer Websites angewandt wird.
-
Safari
CVE-ID: CVE-2007-3760
Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zu siteübergreifendem Skripting führen.
Beschreibung: Siteübergreifendes Skripting in Safari ermöglicht es einer in böser Absicht erstellten Website, die Richtlinien zum gleichen Ursprung mithilfe von "Frame"-Tags zu umgehen. Indem ein Benutzer dazu verleitet wird, eine in böser Absicht erstellte Website zu besuchen, kann das Problem ausgelöst werden, was zur Ausführung von JavaScript im Kontext einer anderen Website führt. Mit dieser Aktualisierung wird das Problem behoben, indem JavaScript als "iframe"-Quelle deaktiviert wird und JavaScript in Frame-Tags auf denselben Zugriff beschränkt wird wie die Website, von der es bereit gestellt wurde. Wir danken Michal Zalewski von Google Inc. und Secunia Research für die Meldung dieses Problems.
-
Safari
CVE-ID: CVE-2007-3761
Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zu siteübergreifendem Skripting führen.
Beschreibung: Siteübergreifendes Skripting in Safari ermöglicht, dass JavaScript-Ereignisse mit dem falschen Frame verbunden werden. Indem ein Benutzer dazu verleitet wird, eine in böser Absicht erstellte Website zu besuchen, kann ein Angreifer die Ausführung von JavaScript im Kontext einer anderen Website verursachen. Mit dieser Aktualisierung wird das Problem behoben, indem JavaScript-Ereignisse mit dem korrekten Quell-Frame verbunden werden.
-
Safari
CVE-ID: CVE-2007-4671
Auswirkung: JavaScript auf Websites könnte auf Inhalte von Dokumenten, die über HTTPS bereitgestellt werden, zugreifen oder sie manipulieren.
Beschreibung: Ein Problem in Safari ermöglicht, dass Inhalte, die über HTTP bereitgestellt werden werden, auf Inhalte, die über dieselbe Domain per HTTPS bereitgestellt werden, zugreifen und diese ändern können. Indem ein Benutzer dazu verleitet wird, eine in böser Absicht erstellte Webseite zu besuchen, kann ein Angreifer die Ausführung von JavaScript im Kontext von HTTPS-Webseiten bei dieser Domain verursachen. Mit dieser Aktualisierung wird das Problem behoben, indem der Zugriff zwischen JavaScript, das in HTTP- und HTTPS-Frames ausgeführt wird, beschränkt wird. Wir danken Keigo Yamazaki von LAC Co., Ltd. (Little eArth Corporation Co., Ltd.) für die Meldung dieses Problems.
Installationshinweis:
Auf diese Aktualisierung kann nur über iTunes zugegriffen werden. Sie wird nicht im Abschnitt "Software-Aktualisierung" Ihres Computers und nicht im Abschnitt "Downloads" der Apple Website angezeigt. Vergewissern Sie sich, dass Sie über eine Internet-Verbindung verfügen und die neueste iTunes Version von www.apple.com/de/itunes geladen haben.
iTunes sucht wöchentlich automatisch auf dem Update Server von Apple nach Aktualisierungen. Wenn eine Aktualisierung verfügbar ist, wird sie geladen. Wenn das iPhone mit dem Dock verbunden ist, erhält der Benutzer die Möglichkeit, die Aktualisierung zu installieren. Apple empfiehlt, die Aktualisierung wenn möglich immer sofort zu installieren. Wenn Sie "Nicht installieren (Don't Install)" wählen, wird die Option erneut angezeigt, wenn Sie das iPhone das nächste Mal anschließen.
Der automatische Aktualisierungsvorgang kann u. U. erst nach einer Woche erfolgen, je nachdem, an welchem Tag iTunes nach Aktualisierungen sucht. Sie können die Aktualisierung in iTunes manuell über die Option "Nach Aktualisierungen suchen (Check for Update)" installieren. Danach kann die Aktualisierung installiert werden, wenn das iPhone am Dock des Computers angeschlossen ist.
So überprüfen Sie, ob das iPhone aktualisiert wurde:
- Rufen Sie die Option "Einstellungen (Settings)" auf.
- Klicken Sie in "Allgemein (General)".
- Klicken Sie in "Über (About)". Nach der Aktualisierung lautet die Version "1.1.1 (3A109a)".