Informationen zum Sicherheitsinhalt des iPhone 1.1.1-Updates

In diesem Dokument wird der Sicherheitsinhalt des iPhone v1.1.1-Updates beschrieben.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit findest du auf der Website zur Apple-Produktsicherheit.

Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit findest du unter "Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit."

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates findest du unter "Apple-Sicherheitsupdates."

iPhone v1.1.1-Update

Bluetooth

CVE-ID: CVE-2007-3753

Auswirkung: Ein Angreifer innerhalb des Bluetooth-Bereichs kann möglicherweise eine unerwartete Beendigung der Anwendung oder die Ausführung von willkürlichem Code verursachen.

Beschreibung: Beim Bluetooth-Server des iPhone liegt ein Problem mit der Eingabevalidierung vor. Dieses Problem kann von einem Angreifer ausgelöst werden, indem in böser Absicht erstellte Service Discovery Protocol (SDP)-Pakete an ein iPhone mit aktivierter Bluetooth-Funktion gesendet werden, was zu einer unerwarteten Beendigung der Anwendung oder zur Ausführung von willkürlichem Code führen kann. Durch dieses Update wird das Problem behoben, indem eine zusätzliche Validierung von SDP-Paketen erfolgt. Wir danken Kevin Mahaffey und John Hering von Flexilis Mobile Security für die Meldung dieses Problems.

Mail

CVE-ID: CVE-2007-3754

Auswirkung: Das Abrufen von E-Mails über nicht vertrauenswürdige Netzwerke kann über einen Man-in-the-Middle-Angriff zur Preisgabe von Informationen führen.

Beschreibung: Wenn Mail so konfiguriert ist, dass SSL für eingehende und ausgehende Verbindungen verwendet wird, wird der Benutzer nicht gewarnt, wenn sich die Identität des Mail-Servers geändert hat oder nicht vertrauenswürdig ist. Ein Angreifer, der die Verbindung abfangen kann, kann möglicherweise den Mail-Server des Benutzers imitieren und sich Zugang zu den E-Mail-Anmeldedaten des Benutzers oder anderen vertraulichen Daten verschaffen. Mit diesem Update wird das Problem behoben, indem explizit auf eine Identitätsänderung des Remote-Mail-Servers hingewiesen wird.

Mail

CVE-ID: CVE-2007-3755

Auswirkung: Durch das Aufrufen eines Links mit einer Telefonnummer ("tel:") in Mail wird eine Telefonnummer ohne Bestätigung des Benutzers gewählt.

Beschreibung: Mail unterstützt Links mit Telefonnummern ("tel:") zum Wählen von Telefonnummern. Indem ein Benutzer dazu verleitet wird, einen solchen Link in einer E-Mail aufzurufen, kann ein Angreifer ohne die Bestätigung des Benutzers mit dem iPhone einen Anruf tätigen. Mit diesem Update wird das Problem dadurch behoben, dass der Benutzer in einem entsprechenden Fenster zunächst bestätigen muss, dass er die entsprechende Telefonnummer wählen möchte. Wir danken Andi Baritchi von McAfee für die Meldung dieses Problems.

Safari

CVE-ID: CVE-2007-3756

Auswirkung: Das Aufrufen einer schädlichen Website kann zur Preisgabe von URL-Inhalten führen.

Beschreibung: Ein Designproblem in Safari ermöglicht es einer Webseite, die URL zu lesen, die gerade im übergeordneten Fenster angezeigt wird. Indem ein Benutzer dazu verleitet wird, eine in böser Absicht erstellte Website zu besuchen, erhält ein Angreifer unter Umständen die URL einer anderen Webseite. Mit diesem Update wird das Problem durch verbesserte domänenübergreifende Sicherheitsüberprüfungen behoben. Wir danken Michal Zalewski von Google Inc. und Secunia Research für die Meldung dieses Problems.

Safari

CVE-ID: CVE-2007-3757

Auswirkung: Der Besuch einer schädlichen Website kann dazu führen, dass unbeabsichtigt eine Telefonnummer gewählt wird bzw. dass eine andere Telefonnummer als erwartet gewählt wird.

Beschreibung: Safari unterstützt Telefonlinks ("tel:") zum Wählen von Telefonnummern. Wenn ein Telefonlink ausgewählt wird, bestätigt Safari, dass die Nummer gewählt werden soll. Ein solcher in böser Absicht erstellter Link kann dazu führen, dass während des Bestätigungsvorgangs eine andere Telefonnummer angezeigt wird als die eigentlich gewählte. Das Beenden von Safari während des Bestätigungsvorgangs kann eine unbeabsichtigte Bestätigung zur Folge haben. Mit diesem Update wird das Problem behoben, indem die zu wählende Nummer korrekt angezeigt wird und Benutzer bei Links, die eine Telefonnummer enthalten, zur Bestätigung aufgefordert werden. Wir danken Billy Hoffman und Bryan Sullivan von HP Security Labs (ehemals SPI Labs) und Eduardo Tang für die Meldung dieses Problems.

Safari

CVE-ID: CVE-2007-3758

Auswirkung: Der Besuch einer schädlichen Website kann zu siteübergreifendem Skripting führen.

Beschreibung: In Safari existiert eine Schwachstelle für siteübergreifendes Skripting, die es schädlichen Websites ermöglicht, JavaScript-Fenstereigenschaften von Websites festzulegen, die von einer anderen Domain bereitgestellt werden. Indem ein Benutzer zum Besuch einer in böser Absicht erstellten Website verleitet wird, kann ein Angreifer dieses Problem auslösen, was dazu führt, dass der Fensterstatus und der Ort von Seiten, die von anderen Websites bereitgestellt werden, abgerufen oder festgelegt wird. Mit diesem Update wird das Problem behoben, indem verbesserte Zugriffskontrollen für diese Eigenschaften bereitgestellt werden. Wir danken Michal Zalewski von Google Inc. für die Meldung dieses Problems.

Safari

CVE-ID: CVE-2007-3759

Auswirkung: Die Deaktivierung von JavaScript wird erst wirksam, nachdem Safari neu gestartet wurde.

Beschreibung: Safari kann so konfiguriert werden, dass JavaScript entweder aktiviert oder deaktiviert ist. Die entsprechende Einstellung wird erst beim nächsten Neustart von Safari wirksam. Dies ist in der Regel bei einem Neustart des iPhone der Fall. Dadurch könnten Benutzer fälschlicherweise annehmen, dass JavaScript deaktiviert ist, wenn dies in Wirklichkeit gar nicht der Fall ist. Mit diesem Update wird das Problem behoben, indem die jeweils aktuelle Einstellung vor dem Laden neuer Websites angewendet wird.

Safari

CVE-ID: CVE-2007-3760

Auswirkung: Der Besuch einer schädlichen Website kann zu siteübergreifendem Skripting führen.

Beschreibung: Siteübergreifendes Skripting in Safari ermöglicht es einer in böser Absicht erstellten Website, die Richtlinien zum gleichen Ursprung mithilfe von "Frame"-Tags zu umgehen. Indem ein Benutzer dazu verleitet wird, eine in böser Absicht erstellte Webseite zu besuchen, kann ein Angreifer das Problem auslösen, was zur Ausführung von JavaScript im Kontext einer anderen Website führen kann. Mit dieser Aktualisierung wird das Problem behoben, indem JavaScript als "iframe"-Quelle deaktiviert wird und JavaScript in "Frame"-Tags auf denselben Zugriff beschränkt wird wie die Website, von der es bereit gestellt wurde. Wir danken Michal Zalewski von Google Inc. und Secunia Research für die Meldung dieses Problems.

Safari

CVE-ID: CVE-2007-3761

Auswirkung: Der Besuch einer schädlichen Website kann zu siteübergreifendem Skripting führen.

Beschreibung: Siteübergreifendes Skripting in Safari ermöglicht es, dass JavaScript-Ereignisse mit dem falschen Frame verbunden werden. Indem ein Benutzer dazu verleitet wird, eine in böser Absicht erstellte Website zu besuchen, kann ein Angreifer die Ausführung von JavaScript im Kontext einer anderen Website verursachen. Mit diesem Update wird das Problem behoben, indem JavaScript-Ereignisse mit dem korrekten Quell-Frame verbunden werden.

Safari

CVE-ID: CVE-2007-4671

Auswirkung: JavaScript auf Websites könnte auf Inhalte von Dokumenten, die über HTTPS bereitgestellt werden, zugreifen oder sie manipulieren.

Beschreibung: Ein Problem in Safari ermöglicht, dass Inhalte, die über HTTP bereitgestellt werden werden, auf Inhalte, die über dieselbe Domain per HTTPS bereitgestellt werden, zugreifen und diese ändern können. Indem ein Benutzer dazu verleitet wird, eine in böser Absicht erstellte Webseite zu besuchen, kann ein Angreifer die Ausführung von JavaScript im Kontext von HTTPS-Webseiten bei dieser Domain verursachen. Mit diesem Update wird das Problem behoben, indem der Zugriff zwischen JavaScript, das in HTTP- und HTTPS-Frames ausgeführt wird, beschränkt wird. Wir danken Keigo Yamazaki von LAC Co., Ltd. (Little Earth Corporation Co., Ltd.) für die Meldung dieses Problems.

Installationshinweis:

Dieses Update ist nur über iTunes verfügbar und wird nicht als Softwareupdate für deinen Computer oder auf der Downloads-Website von Apple angezeigt. Stelle sicher, dass du über eine Internetverbindung verfügst und die neueste Version von iTunes von geladen hast.

iTunes sucht wöchentlich automatisch auf dem Update-Server von Apple nach Updates. Wenn ein Update erkannt wird, wird es heruntergeladen. Wenn das iPhone mit dem Dock verbunden ist, erhält der Benutzer die Möglichkeit, das Update zu installieren. Wir empfehlen, das Update nach Möglichkeit immer sofort zu installieren. Wenn du "Don't Install" (Nicht installieren) wählst, wird die Option erneut angezeigt, wenn du dein iPhone das nächste Mal anschließt.

Der automatische Updatevorgang kann unter Umständen erst nach einer Woche erfolgen, je nachdem, an welchem Tag iTunes nach Updates sucht. Du kannst das Update manuell über die Option "Nach Update suchen" in iTunes abrufen. Danach kann das Update angewendet werden, wenn dein iPhone an deinen Computer angeschlossen ist.

So überprüfst du, ob das iPhone aktualisiert wurde:

  1. Navigiere zu "Einstellungen".

  2. Klicke auf "Allgemein".

  3. Klicke auf "Info". Nach der Installation dieses Updates lautet die Version "1.1.1 (3A109a)".

Veröffentlichungsdatum: