Informationen zum Sicherheitsinhalt des iOS 5.0.1-Softwareupdates

In diesem Dokument wird der Sicherheitsinhalt von iOS 5.0.1 beschrieben.

In diesem Dokument finden Sie Informationen zum Sicherheitsinhalt von iOS 5.0.1, das Sie über iTunes laden und installieren können.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.

Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit finden Sie unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates finden Sie unter Apple-Sicherheitsupdates.

iOS 5.0.1-Softwareupdate

  • CFNetwork

    Verfügbar für: iOS 3.0 bis 5.0 für iPhone 3GS, iPhone 4 und iPhone 4s, iOS 3.1 bis 5.0 für iPod touch (3. Generation und neuer), iOS 3.2 bis 5.0 für iPad, iOS 4.3 bis 5.0 für iPad 2

    Auswirkung: Das Aufrufen einer in böswilliger Absicht erstellten Website kann zur Offenlegung vertraulicher Daten führen

    Beschreibung: Es bestand ein Problem beim Verarbeiten von in böswilliger Absicht erstellten URLs in CFNetwork. Beim Zugriff auf eine in böswilliger Absicht erstellte URL mit HTTP oder HTTPS hätte CFNetwork einen falschen Server ansteuern können.

    CVE-ID

    CVE-2011-3246: Erling Ellingsen von Facebook

  • CoreGraphics

    Verfügbar für: iOS 3.0 bis 5.0 für iPhone 3GS, iPhone 4 und iPhone 4s, iOS 3.1 bis 5.0 für iPod touch (3. Generation und neuer), iOS 3.2 bis 5.0 für iPad, iOS 4.3 bis 5.0 für iPad 2

    Auswirkung: Das Anzeigen eines Dokuments, das einen in böswilliger Absicht erstellten Zeichensatz enthält, kann zur Ausführung willkürlichen Codes führen

    Beschreibung: In FreeType traten Speicherfehler auf, die im schlimmsten Fall bei der Verarbeitung von in böswilliger Absicht erstellten Schriftartdaten zur Ausführung von willkürlichem Code hätten führen können.

    CVE-ID

    CVE-2011-3439: Apple

  • Datensicherheit

    Verfügbar für: iOS 3.0 bis 5.0 für iPhone 3GS, iPhone 4 und iPhone 4s, iOS 3.1 bis 5.0 für iPod touch (3. Generation und neuer), iOS 3.2 bis 5.0 für iPad, iOS 4.3 bis 5.0 für iPad 2

    Auswirkung: Ein Angreifer mit höheren Netzwerkrechten kann Berechtigungsnachweise eines Benutzers oder andere sensible Daten abfangen

    Beschreibung: Zwei Zertifizierungsstellen in der Liste der vertrauenswürdigen Root-Zertifikate haben eigenständig Zwischenzertifikate für DigiCert Malaysia ausgestellt. DigiCert Malaysia hat Zertifikate mit schwachen Schlüsseln ausgestellt, die sie nicht zurückrufen können. Ein Angreifer mit einer privilegierten Netzwerkposition könnte Berechtigungsnachweise eines Benutzers oder andere sensible Daten abfangen, die für eine Seite mit einem von DigiCert Malaysia ausgegebenen Zertifikat bestimmt sind. Diese Schwachstelle wird durch eine Konfigurationsänderung der Standardsystemeinstellungen behoben, sodass Zertifikate von DigiCert Malaysia als nicht vertrauenswürdig eingestuft werden. Wir danken Bruce Morton von Entrust, Inc. für die Meldung dieses Problems.

  • Kernel

    Verfügbar für: iOS 3.0 bis 5.0 für iPhone 3GS, iPhone 4 und iPhone 4s, iOS 3.1 bis 5.0 für iPod touch (3. Generation und neuer), iOS 3.2 bis 5.0 für iPad, iOS 4.3 bis 5.0 für iPad 2

    Auswirkung: Ein Programm kann nicht-signierten Code ausführen

    Beschreibung: Bei der Überprüfung der gültigen Flag-Kombinationen des mmap-Systemaufrufs gab es einen Logikfehler. Dieses Problem hätte zu einem Passieren der Überprüfung von Code-Signierungen führen können. Dieses Problem wirkt sich nicht auf Geräte mit iOS-Versionen vor Version 4.3 aus.

    CVE-ID

    CVE-2011-3442: Charlie Miller von Accuvant Labs

  • libinfo

    Verfügbar für: iOS 3.0 bis 5.0 für iPhone 3GS, iPhone 4 und iPhone 4s, iOS 3.1 bis 5.0 für iPod touch (3. Generation und neuer), iOS 3.2 bis 5.0 für iPad, iOS 4.3 bis 5.0 für iPad 2

    Auswirkung: Das Aufrufen einer in böswilliger Absicht erstellten Website kann zur Offenlegung vertraulicher Daten führen

    Beschreibung: Es bestand ein Problem beim Verarbeiten von DNS-Namenssuchen in libinfo. Bei der Auflösung eines in böswilliger Absicht erstellten Hostnamens hätte libinfo ein falsches Ergebnis liefern können.

    CVE-ID

    CVE-2011-3441: Erling Ellingsen von Facebook, Per Johansson von Blocket AB

  • Codesperre

    Verfügbar für: iOS 4.3 bis 5.0 für iPad 2

    Auswirkung: Eine Person mit physischem Zugang zu einem gesperrten iPad 2 kann Zugriff auf einige Daten des Benutzers erlangen

    Beschreibung: Wenn ein Smart Cover geöffnet wird, während das iPad 2 den Ausschaltvorgang im gesperrten Zustand bestätigt, wird kein Code abgefragt. Dadurch wird ein begrenzter Zugriff auf das iPad möglich, doch es kann nicht auf die mit dem Datenschutz geschützten Daten zugegriffen und Apps können nicht gestartet werden.

    CVE-ID

    CVE-2011-3440

 

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: