Informationen zum Sicherheitsinhalt des iPhone v2.1

In diesem Dokument wird der Sicherheitsinhalt des iPhone v2.1 beschrieben.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit findest du auf der Website zur Apple-Produktsicherheit.

Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit findest du unter “Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.“

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates findest du unter „Apple-Sicherheitsupdates.“

iPhone v2.1

  • Application Sandbox

    CVE-ID: CVE-2008-3631

    Verfügbar für: iPhone v2.0 bis 2.0.2

    Auswirkung: Eine Anwendung kann möglicherweise die Dateien einer anderen Anwendung lesen.

    Beschreibung: Die Application Sandbox setzt die Zugriffsbeschränkungen von Drittanbieteranwendungen nicht ordnungsgemäß durch. Dadurch kann eine Drittanbieteranwendung möglicherweise Dateien in der Sandbox einer anderen Drittanbieteranwendung lesen, was zur Offenlegung vertraulicher Informationen führen kann. Dieses Update behebt das Problem, indem die richtigen Zugriffsbeschränkungen für Anwendungs-Sandboxes durchgesetzt werden. Danke an Nicolas Seriot von Sen:te und Bryce Cogswell für die Meldung dieses Problems. Ältere iPhone-Versionen als 2.0 sind nicht von diesem Problem betroffen.

  • CoreGraphics

    CVE-ID: CVE-2008-1806, CVE-2008-1807, CVE-2008-1808

    Verfügbar für: iPhone 1.0 bis 2.0.2

    Auswirkung: Mehrere Schwachstellen in FreeType 2.3.5

    Beschreibung: FreeType 2.3.5 hat mehrere Schwachstellen, von denen die schwerwiegendste zur Ausführung willkürlichen Codes führen kann, wenn auf in böser Absicht erstellte Schriftartdaten zugegriffen wird. Dieses Update behebt das Problem, indem die Sicherheitskorrekturen von Version 2.3.6 von FreeType integriert werden. Weitere Informationen findest du auf der FreeType-Website unter http://www.freetype.org/

  • mDNSResponder

    CVE-ID: CVE-2008-1447

    Verfügbar für: iPhone 1.0 bis 2.0.2

    Auswirkung: mDNSResponder ist für DNS-Cache-Poisoning anfällig und gibt möglicherweise gefälschte Informationen zurück.

    Beschreibung: mDNSResponder stellt Übersetzungen zwischen Hostnamen und IP-Adressen für Anwendungen bereit, die die Unicast-DNS-Auflösungs-API verwenden. Aufgrund einer Schwäche im DNS-Protokoll kann ein entfernter Angreifer möglicherweise DNS-Cache-Poisoning-Angriffe ausführen. Das kann dazu führen, dass Anwendungen, die mDNSResponder für DNS benötigen, gefälschte Informationen erhalten. Dieses Update behebt das Problem, indem die Randomisierung von Quellports und Transaktions-IDs implementiert wird, um die Widerstandsfähigkeit gegen Cache-Poisoning-Angriffe zu verbessern. Danke an Dan Kaminsky von IOActive für die Meldung dieses Problems.

  • Networking

    CVE-ID: CVE-2008-3612

    Verfügbar für: iPhone 1.0 bis 2.0.2

    Auswirkung: Die Generierung von vorhersagbaren TCP-Startsequenznummern kann zu TCP-Spoofing oder zum Sitzungs-Hijacking führen.

    Beschreibung: TCP-Startsequenznummern werden sequentiell erzeugt. Vorhersagbare Startsequenznummern können es einem entfernten Angreifer ermöglichen, eine gefälschte TCP-Verbindung herzustellen oder Daten in eine bestehende TCP-Verbindung einzuschleusen. Dieses Update behebt das Problem, indem zufällige TCP-Startsequenznummern generiert werden.

  • Passcode Lock

    CVE-ID: CVE-2008-3633

    Verfügbar für: iPhone v2.0 bis v2.0.2

    Auswirkung: Ein nicht autorisierter Benutzer kann möglicherweise die Passcode-Sperre umgehen und iPhone-Anwendungen starten.

    Beschreibung: Die Funktion der Passcode-Sperre wurde entwickelt, um zu verhindern, dass Anwendungen ohne Eingabe des korrekten Passcodes gestartet werden können. Aufgrund eines Implementierungsproblem bei der Verarbeitung von Notrufen konnten Benutzer:innen mit physischem Zugriff auf ein iPhone eine Anwendung ohne Passcode starten, indem sie beim Notruf auf die Home-Taste doppelklickten. Dieses Update behebt das Problem durch eine verbesserte Handhabung von Notrufen. Danke an Matthew Yohe von The University of Iowa's Department of Electrical and Computer Engineering für die Meldung dieses Problems. Ältere iPhone-Versionen als 2.0 sind nicht von diesem Problem betroffen.

  • WebKit

    CVE-ID: CVE-2008-3632

    Verfügbar für: iPhone 1.0 bis 2.0.2

    Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

    Beschreibung: Bei der Verarbeitung von CSS-Importanweisungen durch WebKit tritt ein Use-After-Free-Problem auf. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Dieses Update behebt das Problem durch eine verbesserte Verarbeitung von Dokumentenverweisen.

Veröffentlichungsdatum: