Informationen zum Sicherheitsinhalt des iOS 4.3.2 Softwareupdates
In diesem Dokument wird der Sicherheitsinhalt des iOS 4.3.2 Softwareupdates beschrieben.
In diesem Dokument wird der Sicherheitsinhalt des iOS 4.3.2-Softwareupdates beschrieben, das du über iTunes laden und installieren kannst.
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit findest du auf der Website zur Apple-Produktsicherheit.
Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit findest du unter „Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit“.
Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.
Informationen zu weiteren Sicherheitsupdates findest du unter „Apple-Sicherheitsupdates“.
iOS 4.3.2-Softwareupdate
Certificate Trust Policy
Verfügbar für: iOS 3.0 bis 4.3.1 für iPhone 3GS und neuer, iOS 3.1 bis 4.3.1 für iPod touch (3. Generation) und neuer, iOS 3.2 bis 4.3.1 für iPad
Auswirkung: Ein Angreifer mit einer privilegierten Netzwerkposition kann möglicherweise Anmeldedaten von Benutzern abfangen.
Beschreibung: Beschreibung: Mehrere betrügerische SSL-Zertifikate wurden von einer mit Comodo verbundenen Registrierungsstelle ausgestellt. Dadurch könnte ein Man-in-the-Middle-Angreifer in der Lage sein, Verbindungen umzuleiten und Anmeldedaten von Benutzern oder andere vertrauliche Daten abzufangen. Dieses Problem wird dadurch gelöst, dass die betrügerischen Zertifikate auf eine schwarze Liste gesetzt werden.
Hinweis: Bei Mac OS X-Systemen wird dieses Problem durch das Sicherheitsupdate 2011-002 gelöst. In Windows-Systemen bestimmt Safari anhand des Zertifikatspeichers des Host-Betriebssystems, ob ein SSL-Serverzertifikat vertrauenswürdig ist. Wenn du die im Microsoft Knowledge Base-Artikel 2524375 beschriebene Aktualisierung durchführst, wird Safari diese Zertifikate als „nicht vertrauenswürdig“ einstufen. Der Artikel ist unter http://support.microsoft.com/kb/2524375 verfügbar.
libxslt
Verfügbar für: iOS 3.0 bis 4.3.1 für iPhone 3GS und neuer, iOS 3.1 bis 4.3.1 für iPod touch (3. Generation) und neuer, iOS 3.2 bis 4.3.1 für iPad
Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zur Offenlegung von Adressen auf dem Heap führen.
Beschreibung: Bei der Implementierung der XPath-Funktion generate-id() durch libxslt wurde die Adresse eines Heap-Puffers offengelegt. Der Besuch einer in böswilliger Absicht erstellten Website hätte zur Offenlegung von Adressen im Heap führen können. Dies hätte es erleichtern können, den Schutz der Address Space Layout Randomization (ASLR) zu umgehen. Durch Erzeugung einer ID auf der Grundlage des Unterschieds zwischen den Adressen von zwei Heap-Puffern wurde dieses Problem behoben.
CVE-ID
CVE-2011-0195: Chris Evans vom Google Chrome-Sicherheitsteam
QuickLook
Verfügbar für: iOS 3.0 bis 4.3.1 für iPhone 3GS und neuer, iOS 3.1 bis 4.3.1 für iPod touch (3. Generation) und neuer, iOS 3.2 bis 4.3.1 für iPad
Auswirkung: Das Anzeigen einer in böswilliger Absicht erstellten Microsoft Office-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.
Beschreibung: Bei der Verarbeitung von Microsoft Office-Dateien in QuickLook konnte es zu einem Speicherfehler kommen. Das Anzeigen einer in böswilliger Absicht erstellten Microsoft Office-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen.
CVE-ID
CVE-2011-1417: Charlie Miller und Dion Blazakis in Zusammenarbeit mit der Zero Day Initiative von TippingPoint
WebKit
Verfügbar für: iOS 3.0 bis 4.3.1 für iPhone 3GS und neuer, iOS 3.1 bis 4.3.1 für iPod touch (3. Generation) und neuer, iOS 3.2 bis 4.3.1 für iPad
Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.
Beschreibung: Bei der Bearbeitung von Knotensätzen bestand ein Ganzzahlüberlaufproblem. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.
CVE-ID
CVE-2011-1290: Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp Weinmann und ein anonymer Forscher in Zusammenarbeit mit der Zero Day Initiative von TippingPoint
WebKit
Verfügbar für: iOS 3.0 bis 4.3.1 für iPhone 3GS und neuer, iOS 3.1 bis 4.3.1 für iPod touch (3. Generation) und neuer, iOS 3.2 bis 4.3.1 für iPad
Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.
Beschreibung: Beim Bearbeiten von Textknoten trat ein Use-after-free-Problem auf. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.
CVE-ID
CVE-2011-1344: Vupen Security in Zusammenarbeit mit der Zero Day Initiative von TippingPoint und Martin Barbella
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.