Informationen zum Sicherheitsinhalt des iOS 5-Softwareupdates

Dieses Dokument beschreibt den Sicherheitsinhalt des iOS 5-Softwareupdates.

In diesem Dokument wird der Sicherheitsinhalt des iOS 5-Softwareupdates beschrieben, das du über iTunes laden und installieren kannst.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit findest du auf der Website "Apple-Produktsicherheit".

Informationen zum Apple PGP-Schlüssel für die Produktsicherheit findest du unter "Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit".

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates findest du unter Apple-Sicherheitsupdates.

iOS 5-Softwareupdate

  • CalDAV

    Verfügbar für: iOS 3.0 bis 4.3.5 für iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.3.5 für iPad

    Auswirkung: Ein Angreifer mit einer privilegierten Netzwerkposition kann Berechtigungsnachweise eines Benutzers oder andere sensible Daten von einem CalDAV-Kalenderserver abfangen

    Beschreibung: CalDAV überprüfte nicht, ob das vom Server bereitgestellte SSL-Zertifikat vertrauenswürdig war.

    CVE-ID

    CVE-2011-3253: Leszek Tasiemski von nSense

  • Kalender

    Verfügbar für: iOS 4.2.0 bis 4.3.5 für iPhone 3GS und iPhone 4, iOS 4.2.0 bis 4.3.5 für iPod touch (3. Generation und neuer), iOS 4.2.0 bis 4.3.5 für iPad

    Auswirkung: Beim Anzeigen einer in böswilliger Absicht erstellten Kalendereinladung kann ein Skript in der lokalen Domain eingefügt werden

    Beschreibung: Beim Verarbeiten von Einladungsnotizen gab es ein Skripteinfügungsproblem. Das Problem wurde durch ein verbessertes Escaping von Sonderzeichen in den Einladungsnotizen behoben. Geräte vor iOS 4.2.0 sind von diesem Problem nicht betroffen.

    CVE-ID

    CVE-2011-3254: Rick Deacon

  • CFNetwork

    Verfügbar für: iOS 3.0 bis 4.3.5 für iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.3.5 für iPad

    Auswirkung: Das Apple-ID-Passwort eines Benutzers kann in einer lokalen Datei protokolliert werden

    Beschreibung: Apple-ID-Benutzername und Passwort wurden in einer lokalen Datei protokolliert, die von Programmen auf dem System gelesen werden konnte. Dies wurde behoben, indem diese Anmeldedaten nicht mehr protokolliert werden.

    CVE-ID

    CVE-2011-3255: Peter Quade von qdevelop

  • CFNetwork

    Verfügbar für: iOS 3.0 bis 4.3.5 für iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.3.5 für iPad

    Auswirkung: Das Aufrufen einer in böswilliger Absicht erstellten Website kann zur Preisgabe sensibler Daten führen

    Beschreibung: Es bestand ein Problem beim Verarbeiten von HTTP-Cookies in CFNetwork. Beim Zugriff auf eine in böswilliger Absicht erstellte HTTP- oder HTTPS-URL hätte CFNetwork fälschlicherweise Cookies für eine Domain an einen Server außerhalb dieser Domain senden können.

    CVE-ID

    CVE-2011-3246: Erling Ellingsen von Facebook

  • CoreFoundation

    Verfügbar für: iOS 3.0 bis 4.3.5 für iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.3.5 für iPad

    Auswirkung: Die Anzeige einer in böswilliger Absicht erstellten Website oder E-Mail-Nachricht kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von String-Tokenisierungen in CoreFoundation gab es Speicherfehler.

    CVE-ID

    CVE-2011-0259: Apple

  • CoreGraphics

    Verfügbar für: iOS 3.0 bis 4.3.5 für iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.3.5 für iPad

    Auswirkung: Das Anzeigen eines Dokuments, das einen in böswilliger Absicht erstellten Zeichensatz enthält, kann zur Ausführung willkürlichen Codes führen

    Beschreibung: In FreeType traten Speicherfehler auf, die im schlimmsten Fall zur Ausführung willkürlichen Codes bei der Verarbeitung eines in böswilliger Absicht erstellten Zeichensatzes hätten führen können.

    CVE-ID

    CVE-2011-3256: Apple

  • CoreMedia

    Verfügbar für: iOS 3.0 bis 4.3.5 für iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.3.5 für iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zur ungewollten Offenlegung von Videodaten einer anderen Site führen

    Beschreibung: Bei der Verarbeitung von Cross-Site-Umleitungen in CoreMedia bestand ein Cross-Origin-Problem. Das Problem wurde durch ein verbessertes Origin-Tracking behoben.

    CVE-ID

    CVE-2011-0187: Nirankush Panchbhai und Microsoft Vulnerability Research (MSVR)

  • Datenzugriff

    Verfügbar für: iOS 3.0 bis 4.3.5 für iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.3.5 für iPad

    Auswirkung: Ein Problem mit der Cookieverwaltung in Exchange-Mail kann fälschlicherweise zu einer Datensynchronisation zwischen verschiedenen Accounts führen

    Beschreibung: Wenn mehrere Exchange-Mail-Accounts konfiguriert werden, die mit demselben Server verbunden sind, könnte eine Sitzung möglicherweise einen gültigen Cookie erhalten, der sich auf einen anderen Account bezieht. Dieses Problem wurde dadurch behoben, dass Cookies zwischen verschiedenen Accounts getrennt werden.

    CVE-ID

    CVE-2011-3257: Bob Sielken von IBM

  • Datensicherheit

    Verfügbar für: iOS 3.0 bis 4.3.5 für iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.3.5 für iPad

    Auswirkung: Ein Angreifer mit einer privilegierten Netzwerkposition kann Berechtigungsnachweise eines Benutzers oder andere sensible Daten abfangen

    Beschreibung: Mehrere von DigiNotar betriebene Zertifizierungsinstanzen gaben gefälschte Zertifikate aus. Dieses Problem wurde behoben, indem DigiNotar aus der Liste der vertrauenswürdigen Root-Zertifikate und der Liste der EV-Zertifizierungsinstanzen (Extended Validation) entfernt wurde und indem die Standard-Systemeinstellung für die Vertrauenswürdigkeit so konfiguriert wurde, dass Zertifikate von DigiNotar, einschließlich der von anderen Instanzen ausgegebenen Zertifikate, abgelehnt werden.

  • Datensicherheit

    Verfügbar für: iOS 3.0 bis 4.3.5 für iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.3.5 für iPad

    Auswirkung: Die Unterstützung von X.509-Zertifikaten mit MD5-Hashes kann Benutzer im Zuge der Weiterentwicklung von Angriffen der Gefahr von Spoofing und Datenfreigabe aussetzen

    Beschreibung: Zertifikate, die mit dem MD5-Hash-Algorithmus signiert sind, wurden von iOS akzeptiert. Dieser Algorithmus verfügt über bekannte kryptografische Schwachstellen. Ausgedehnte Untersuchungen dieser Schwachstelle oder eine falsch konfigurierte Zertifikatstelle hätten die Erstellung eines X.509-Zertifikats mit vom Angreifer gesteuerten Werten ermöglichen können, die vom System als vertrauenswürdig eingestuft worden wären. Dies hätte auf X.509 basierende Protokolle der Gefahr von Spoofing, Man-in-the-Middle-Angriffen und Datenoffenlegung ausgesetzt. Mit diesem Update wird die Unterstützung für ein X.509-Zertifikat mit einem MD5-Hash für jede Verwendung bis auf die Verwendung als vertrauenswürdiges Root-Zertifikat deaktiviert.

    CVE-ID

    CVE-2011-3427

  • Datensicherheit

    Verfügbar für: iOS 3.0 bis 4.3.5 für iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.3.5 für iPad

    Auswirkung: Ein Angreifer könnte einen Teil einer SSL-Verbindung entschlüsseln

    Beschreibung: Nur die SSL-Versionen SSLv3 und TLS 1.0 wurden bislang unterstützt. Diese Versionen unterliegen bei der Nutzung von Blockverschlüsselungen einer Protokollschwachstelle. Ein Man-in-the-Middle-Angreifer hätte ungültige Daten einspeisen können, die ein Schließen der Verbindung, aber auch das Offenlegen von Informationen über frühere Daten verursacht hätten. Wenn mehrmals versucht wurde, dieselbe Verbindung herzustellen, war der Angreifer möglicherweise in der Lage, die gesendeten Daten, wie z. B. ein Passwort, zu entschlüsseln. Das Problem wurde behoben, indem eine Unterstützung für TLS 1.2 hinzugefügt wurde.

    CVE-ID

    CVE-2011-3389

  • Home-Bildschirm

    Verfügbar für: iOS 3.0 bis 4.3.5 für iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.3.5 für iPad

    Auswirkung: Das Wechseln zwischen verschiedenen Programmen kann zur Offenlegung sensibler Programmdaten führen

    Beschreibung: Beim Wechsel zwischen Programmen mithilfe der Vier-Finger-Geste hätte das Display den vorherigen Status des Programms preisgeben können. Dieses Problem wurde behoben, indem sichergestellt wurde, dass das System die Methode applicationWillResignActive: beim Übergang zwischen den Programmen richtig aufruft.

    CVE-ID

    CVE-2011-3431: Abe White von Hedonic Software Inc.

  • ImageIO

    Verfügbar für: iOS 3.0 bis 4.3.5 für iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.3.5 für iPad

    Auswirkung: Das Anzeigen eines in böswilliger Absicht erstellten TIFF-Bildes kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Die Verarbeitung von CCITT Group 4-codierten TIFF-Bildern durch libTIFF konnte zu einem Pufferüberlauf führen.

    CVE-ID

    CVE-2011-0192: Apple

  • ImageIO

    Verfügbar für: iOS 3.0 bis 4.3.5 für iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.3.5 für iPad

    Auswirkung: Das Anzeigen eines in böswilliger Absicht erstellten TIFF-Bildes kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Die Verarbeitung von CCITT Group 4-codierten TIFF-Bildern durch ImageIO konnte zu einem Heap-Pufferüberlauf führen.

    CVE-ID

    CVE-2011-0241: Cyril CATTIAUX von Tessi Technologies

  • Internationale Komponenten für Unicode

    Verfügbar für: iOS 3.0 bis 4.3.5 für iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.3.5 für iPad

    Auswirkung: Programme, die ICU verwenden, können anfällig für die Ausführung willkürlichen Codes oder einen unerwarteten Programmabbruch sein

    Beschreibung: Beim Erstellen von Sortierungsschlüsseln in ICU für lange Zeichenfolgen, die hauptsächlich aus Großbuchstaben bestehen, bestand ein Pufferüberlaufproblem.

    CVE-ID

    CVE-2011-0206: David Bienvenu von Mozilla

  • Kernel

    Verfügbar für: iOS 3.0 bis 4.3.5 für iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.3.5 für iPad

    Auswirkung: Ein Remote-Angreifer kann ein Zurücksetzen des Geräts verursachen

    Beschreibung: Der Kernel konnte den Speicher von fehlerhaften TCP-Verbindungen nicht unverzüglich zurückgewinnen. Ein Angreifer mit der Fähigkeit, eine Verbindung zu einem Listening-Dienst auf einem iOS-Gerät herzustellen, hätte Systemressourcen erschöpfen können.

    CVE-ID

    CVE-2011-3259: Wouter van der Veer von Topicus I&I und Josh Enders

  • Kernel

    Verfügbar für: iOS 3.0 bis 4.3.5 für iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.3.5 für iPad

    Auswirkung: Ein lokaler Benutzer könnte das System unerwartet zurücksetzen

    Beschreibung: Bei der Verarbeitung von IPv6-Socket-Optionen gab es ein Problem mit einem Nullverweis.

    CVE-ID

    CVE-2011-1132: Thomas Clement von Intego

  • Tastaturen

    Verfügbar für: iOS 3.0 bis 4.3.5 für iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.3.5 für iPad

    Auswirkung: Ein Benutzer könnte Informationen über das letzte Zeichen eines Passworts ermitteln

    Beschreibung: Die Tastatur, mit der das letzte Zeichen eines Passworts eingegeben wurde, wurde kurz angezeigt, als die Tastatur das nächste Mal verwendet wurde.

    CVE-ID

    CVE-2011-3245: Paul Mousdicas

  • libxml

    Verfügbar für: iOS 3.0 bis 4.3.5 für iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.3.5 für iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Die Verarbeitung von XML-Daten in libxml führte zu einem Ein-Byte-Heap-Pufferüberlauf.

    CVE-ID

    CVE-2011-0216: Billy Rios vom Google-Sicherheitsteam

  • OfficeImport

    Verfügbar für: iOS 3.0 bis 4.3.5 für iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.3.5 für iPad

    Auswirkung: Das Öffnen einer in böswilliger Absicht erstellten Word-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von Microsoft Word-Dokumenten in OfficeImport konnte es zu einem Pufferüberlauf kommen.

    CVE-ID

    CVE-2011-3260: Tobias Klein in Zusammenarbeit mit VeriSign iDefense Labs

  • OfficeImport

    Verfügbar für: iOS 3.0 bis 4.3.5 für iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.3.5 für iPad

    Auswirkung: Das Anzeigen einer in böswilliger Absicht erstellten Excel-Datei kann zu einem unerwarteten Programmabbruch oder der Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von Excel-Dateien in OfficeImport konnte es zu einem Double-Free-Problem kommen.

    CVE-ID

    CVE-2011-3261: Tobias Klein von www.trapkit.de

  • OfficeImport

    Verfügbar für: iOS 3.0 bis 4.3.5 für iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.3.5 für iPad

    Auswirkung: Das Laden einer in böswilliger Absicht erstellten Microsoft Office-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von Microsoft Office-Dateien in OfficeImport kam es zu Speicherfehlern.

    CVE-ID

    CVE-2011-0208: Tobias Klein in Zusammenarbeit mit iDefense VCP

  • OfficeImport

    Verfügbar für: iOS 3.0 bis 4.3.5 für iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.3.5 für iPad

    Auswirkung: Das Laden einer in böswilliger Absicht erstellten Excel-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von Excel-Dateien in OfficeImport kam es zu Speicherfehlern.

    CVE-ID

    CVE-2011-0184: Tobias Klein in Zusammenarbeit mit iDefense VCP

  • Safari

    Verfügbar für: iOS 3.0 bis 4.3.5 für iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.3.5 für iPad

    Auswirkung: Das Öffnen von in böswilliger Absicht erstellten Dateien auf bestimmten Websites kann zu Cross-Site-Scripting-Angriffen führen

    Beschreibung: iOS unterstützte den Wert "attachment" für den HTTP-Content-Disposition-Header nicht. Dieser Header wird von vielen Websites verwendet, um Dateien bereitzustellen, die von Dritten auf die Website hochgeladen wurden, beispielsweise Anhänge aus webbasierten E-Mail-Programmen. Jedes Skript in einer Datei, die mit diesem Headerwert bereitgestellt wurde, wurde so ausgeführt, als ob die Datei inline bereitgestellt worden wäre, mit vollständigem Zugriff auf andere Ressourcen auf dem Ursprungsserver. Dieses Problem wird behoben, indem die Anhänge in einen isolierten Sicherheitsursprung ohne Zugriff auf Ressourcen anderer Websites geladen werden.

    CVE-ID

    CVE-2011-3426: Christian Matthies in Zusammenarbeit mit iDefense VCP, Yoshinori Oota von Business Architects Inc. in Zusammenarbeit mit JP/CERT

  • Einstellungen

    Verfügbar für: iOS 3.0 bis 4.3.5 für iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.3.5 für iPad

    Auswirkung: Ein Angreifer mit physischem Zugang zu einem Gerät könnte den Einschränkungs-Code wiederherstellen

    Beschreibung: Die Kindersicherungsfunktion bewirkt Einschränkungen der Benutzeroberfläche (UI). Die Konfiguration der Kindersicherung ist durch ein Passwort geschützt, das zuvor in Klartext auf der Festplatte gesichert wurde. Das Problem wird behoben, indem das Passwort für die Kindersicherung sicher im Systemschlüsselbund gespeichert wird.

    CVE-ID

    CVE-2011-3429: Anonymer Benutzer

  • Einstellungen

    Verfügbar für: iOS 3.0 bis 4.3.5 für iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.3.5 für iPad

    Auswirkung: Irreführende UI

    Beschreibung: Konfigurationen und Einstellungen, die über Konfigurationsprofile angewandt wurden, schienen unter anderen Sprachen als Englisch nicht richtig zu funktionieren. Die Einstellungen wurden in der Folge nicht richtig angezeigt. Das Problem wird gelöst, indem ein Lokalisierungsfehler behoben wird.

    CVE-ID

    CVE-2011-3430: Florian Kreitmaier von Siemens CERT

  • UIKit Alerts

    Verfügbar für: iOS 3.0 bis 4.3.5 für iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.3.5 für iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zum Stillstand des Geräts führen

    Beschreibung: Eine übermäßig lange maximale Textlayoutlänge ermöglichte es in böswilliger Absicht erstellten Websites, iOS zum Stillstand zu bringen, wenn Annahmedialoge für sehr lange tel:-URIs abgerufen wurden. Dieses Problem wird behoben, indem eine vernünftigere maximale URI-Größe verwendet wird.

    CVE-ID

    CVE-2011-3432: Simon Young von der Anglia Ruskin University

  • WebKit

    Verfügbar für: iOS 3.0 bis 4.3.5 für iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.3.5 für iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: In WebKit gab es mehrere Speicherfehler.

    CVE-ID

    CVE-2011-0218: SkyLined vom Google Chrome-Sicherheitsteam

    CVE-2011-0221: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam

    CVE-2011-0222: Nikita Tarakanov und Alex Bazhanyuk vom CISS Research Team und Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam

    CVE-2011-0225: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam

    CVE-2011-0232: J23 in Zusammenarbeit mit der Zero Day Initiative von TippingPoint

    CVE-2011-0233: wushi von team509 in Zusammenarbeit mit der Zero Day Initiative von TippingPoint

    CVE-2011-0234: Rob King in Zusammenarbeit mit der Zero Day Initiative von TippingPoint, wushi von team509 in Zusammenarbeit mit der Zero Day Initiative von TippingPoint

    CVE-2011-0235: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam

    CVE-2011-0238: Adam Barth vom Google Chrome-Sicherheitsteam

    CVE-2011-0254: Anonymer Mitarbeiter der Zero Day Initiative von TippingPoint

    CVE-2011-0225: Anonymer Benutzer in Zusammenarbeit mit der Zero Day Initiative von TippingPoint

    CVE-2011-0981: Rik Cabanier von Adobe Systems, Inc

    CVE-2011-0983: Martin Barbella

    CVE-2011-1109: Sergey Glazunov

    CVE-2011-1114: Martin Barbella

    CVE-2011-1115: Martin Barbella

    CVE-2011-1117: wushi von team509

    CVE-2011-1121: miaubiz

    CVE-2011-1188: Martin Barbella

    CVE-2011-1203: Sergey Glazunov

    CVE-2011-1204: Sergey Glazunov

    CVE-2011-1288: Andreas Kling von Nokia

    CVE-2011-1293: Sergey Glazunov

    CVE-2011-1296: Sergey Glazunov

    CVE-2011-1449: Marek Majkowski

    CVE-2011-1451: Sergey Glazunov

    CVE-2011-1453: wushi von team509 in Zusammenarbeit mit der TippingPoint Zero Day Initiative

    CVE-2011-1457: John Knottenbelt von Google

    CVE-2011-1462: wushi von team509

    CVE-2011-1797: wushi von team509

    CVE-2011-2338: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

    CVE-2011-2339: Cris Neckar vom Google Chrome-Sicherheitsteam

    CVE-2011-2341: wushi von team509 in Zusammenarbeit mit Verisign iDefense Labs

    CVE-2011-2351: miaubiz

    CVE-2011-2352: Apple

    CVE-2011-2354: Apple

    CVE-2011-2356: Adam Barth und Abhishek Arya vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

    CVE-2011-2359: miaubiz

    CVE-2011-2788: Mikolaj Malecki von Samsung

    CVE-2011-2790: miaubiz

    CVE-2011-2792: miaubiz

    CVE-2011-2797: miaubiz

    CVE-2011-2799: miaubiz

    CVE-2011-2809: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam

    CVE-2011-2813: Cris Neckar vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

    CVE-2011-2814: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

    CVE-2011-2816: Apple

    CVE-2011-2817: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

    CVE-2011-2818: Martin Barbella

    CVE-2011-2820: Raman Tenneti und Philip Rogers von Google

    CVE-2011-2823: SkyLined vom Google Chrome-Sicherheitsteam

    CVE-2011-2827: miaubiz

    CVE-2011-2831: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

    CVE-2011-3232: Aki Helin von OUSPG

    CVE-2011-3234: miaubiz

    CVE-2011-3235: Dimitri Glazkov, Kent Tamura, Dominic Cooney von der Chromium-Entwicklergemeinde und Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam

    CVE-2011-3236: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

    CVE-2011-3237: Dimitri Glazkov, Kent Tamura, Dominic Cooney von der Chromium-Entwicklergemeinde und Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam

    CVE-2011-3244: vkouchna

  • WebKit

    Verfügbar für: iOS 3.0 bis 4.3.5 für iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.3.5 für iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu Cross-Site-Scripting-Angriffen führen

    Beschreibung: Bei der Verarbeitung von URLs mit einem eingebetteten Benutzernamen kam es zu einem Cross-Origin-Problem. Dieses Problem wurde durch eine verbesserte Verarbeitung von URLs mit einem eingebetteten Benutzernamen behoben.

    CVE-ID

    CVE-2011-0242: Jobert Abma von Online24

  • WebKit

    Verfügbar für: iOS 3.0 bis 4.3.5 für iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.3.5 für iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu Cross-Site-Scripting-Angriffen führen

    Beschreibung: Bei der Verarbeitung von DOM-Knoten kam es zu einem Cross-Origin-Problem.

    CVE-ID

    CVE-2011-1295: Sergey Glazunov

  • WebKit

    Verfügbar für: iOS 3.0 bis 4.3.5 für iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.3.5 für iPad

    Auswirkung: Eine in böswilliger Absicht erstellte Website kann verursachen, dass in der Adresszeile eine andere URL angezeigt wird.

    Beschreibung: Bei der Verarbeitung des DOM-Verlaufsobjekts gab es ein URL-Spoofing-Problem.

    CVE-ID

    CVE-2011-1107: Jordi Chancel

  • WebKit

    Verfügbar für: iOS 3.0 bis 4.3.5 für iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.3.5 für iPad

    Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zur Ausführung willkürlichen Codes führen.

    Beschreibung: Bei der Verwendung von libxslt in WebKit gab es ein Konfigurationsproblem. Der Besuch einer in böswilliger Absicht erstellten Website konnte dazu führen, dass beliebige Dateien mit den Rechten des Benutzers erstellt wurden, was wiederum zur Ausführung willkürlichen Codes führen konnte. Das Problem wurde durch verbesserte libxslt-Sicherheitseinstellungen behoben.

    CVE-ID

    CVE-2011-1774: Nicolas Gregoire von Agarri

  • WebKit

    Verfügbar für: iOS 3.0 bis 4.3.5 für iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.3.5 für iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website und das Ziehen von Inhalten auf dieser Seite können zur ungewollten Offenlegung von Daten führen

    Beschreibung: Bei der Verarbeitung der Drag-and-Drop-Funktion von HTML5 in WebKit gab es ein Cross-Origin-Problem. Dieses Problem wird behoben, indem das Ziehen und Ablegen zwischen verschiedenen Origins nicht mehr zugelassen wird.

    CVE-ID

    CVE-2011-0166: Michal Zalewski von Google, Inc.

  • WebKit

    Verfügbar für: iOS 3.0 bis 4.3.5 für iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.3.5 für iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zur ungewollten Offenlegung von Daten führen

    Beschreibung: Bei der Verarbeitung von Web Workers gab es ein Cross-Origin-Problem.

    CVE-ID

    CVE-2011-1190: Daniel Divricean von divricean.ro

  • WebKit

    Verfügbar für: iOS 3.0 bis 4.3.5 für iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.3.5 für iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu Cross-Site-Scripting-Angriffen führen

    Beschreibung: Bei der Verarbeitung der Window.open-Methode gab es ein Cross-Origin-Problem.

    CVE-ID

    CVE-2011-2805: Sergey Glazunov

  • WebKit

    Verfügbar für: iOS 3.0 bis 4.3.5 für iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.3.5 für iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu Cross-Site-Scripting-Angriffen führen

    Beschreibung: Bei der Verarbeitung inaktiver DOM-Fenster gab es ein Cross-Origin-Problem.

    CVE-ID

    CVE-2011-3243: Sergey Glazunov

  • WebKit

    Verfügbar für: iOS 3.0 bis 4.3.5 für iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.3.5 für iPad

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu Cross-Site-Scripting-Angriffen führen

    Beschreibung: Bei der Verarbeitung der document.documentURI-Eigenschaft gab es ein Cross-Origin-Problem.

    CVE-ID

    CVE-2011-2819: Sergey Glazunov

  • WebKit

    Verfügbar für: iOS 3.0 bis 4.3.5 für iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.3.5 für iPad

    Auswirkung: Eine in böswilliger Absicht erstellte Website kann die URLs mitverfolgen, die ein Benutzer innerhalb eines Frames besucht

    Beschreibung: Bei der Verarbeitung des Beforeload-Ereignisses gab es ein Cross-Origin-Problem.

    CVE-ID

    CVE-2011-2800: Juho Nurminen

  • WLAN

    Verfügbar für: iOS 3.0 bis 4.3.5 für iPhone 3GS und iPhone 4, iOS 3.1 bis 4.3.5 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.3.5 für iPad

    Auswirkung: WLAN-Anmeldedaten werden womöglich in einer lokalen Datei protokolliert.

    Beschreibung: Die WLAN-Anmeldedaten, inklusive Passwort und Verschlüsselungsschlüssel, wurden in einer Datei protokolliert, die von Programmen auf dem System gelesen werden konnte. Dies wurde behoben, indem diese Anmeldedaten nicht mehr protokolliert werden.

    CVE-ID

    CVE-2011-3434: Laurent OUDOT von TEHTRI Security

Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.

Veröffentlichungsdatum: