Tietoja iPhone-päivityksen 1.1.1 turvallisuussisällöstä
Tässä dokumentissa on tietoja iPhone-päivityksen 1.1.1 turvallisuussisällöstä.
Apple haluaa suojella asiakkaitaan, eikä siksi paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.
Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.
CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.
iPhone-päivitys 1.1.1
Bluetooth
CVE-ID: CVE-2007-3753
Vaikutus: Bluetooth-kantaman alueella oleva hyökkääjä voi saada aikaan ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: iPhonen Bluetooth-palvelimella on syötteen vahvistusongelma. Hyökkääjä saattoi ongelman käynnistymään lähettämällä haitallisella tavalla muodostettuja SDP (Service Discovery Protocol) -paketteja iPhoneen, jossa Bluetooth-yhteys on käytössä, mikä saattoi aiheuttaa odottamattoman ohjelman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä päivitys korjaa ongelman suorittamalla SDP-pakettien lisävahvistuksen. Kiitokset Kevin Mahaffeylle ja John Haringille (Flexilis Mobile Security) tämän ongelman ilmoittamisesta.
CVE-ID: CVE-2007-3754
Vaikutus: Sähköpostin tarkistaminen muiden kuin luotettujen verkkojen kautta saattaa johtaa tietojen paljastumiseen man-in-the-middle-hyökkäyksellä.
Kuvaus: Kun Mail on määritetty käyttämään SSL:ää saapuvissa ja lähtevissä yhteyksissä, se ei varoita käyttäjää, kun postipalvelimen tunnus on muuttunut tai siihen ei voida luottaa. Hyökkääjä, joka pystyy sieppaamaan yhteyden, saattaa pystyä muokkaamaan käyttäjän sähköpostipalvelinta ja hankkimaan käyttäjän sähköpostitunnistetiedot tai muita arkaluonteisia tietoja. Tämä päivitys korjaa ongelman varoittamalla käyttäjää asianmukaisesti, kun etäpostipalvelimen tunnus on muuttunut.
CVE-ID: CVE-2007-3755
Vaikutus: Puhelinlinkin (”tel:”) seuraaminen Mailissa valitsee puhelinnumeron ilman vahvistusta.
Kuvaus: Mail tukee puhelinlinkkejä (”tel:”) puhelinnumeroihin. Hyökkääjä voi houkutella käyttäjän seuraamaan sähköpostiviestissä olevaa puhelinlinkkiä ja saada iPhonen soittamaan puhelun ilman käyttäjän vahvistusta. Tämä päivitys korjaa ongelman vahvistusikkunalla ennen puhelinnumeroon soittamista Mailissa olevan puhelinlinkin kautta. Kiitokset Andi Baritchille (McAfee) tämän ongelman ilmoittamisesta.
Safari
CVE-ID: CVE-2007-3756
Vaikutus: Haitallisella verkkosivustolla käynti saattaa aiheuttaa URL-sisällön julkaisemiseen.
Kuvaus: Safarin suunnitteluongelman takia verkkosivu pystyi lukemaan URL-osoitteen, jota tarkastellaan sen yläikkunassa. Hyökkääjä voi houkutella käyttäjän käymään haitallisella verkkosivulla ja hankkimaan kyseiseen sivuun liittymättömän sivun URL-osoitteen. Tämä päivitys korjaa ongelman parantamalla domainien välistä suojaustarkistusta. Kiitokset Michal Zalewskille (Google Inc.) ja Secunia Researchille tämän ongelman ilmoittamisesta.
Safari
CVE-ID: CVE-2007-3757
Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa numeron valitsemisen tahattomasti tai muuhun kuin odotettuun numeroon soittamiseen.
Kuvaus: Safari tukee puhelinlinkkejä (”tel:”) puhelinnumeroihin. Kun puhelinlinkki on valittuna, Safari vahvistaa, että numeroon on tarkoitus soittaa. Haitallinen puhelinlinkki voi aiheuttaa sen, että vahvistuksen aikana näytetään eri numero kuin se, johon itse asiassa soitetaan. Safarin sulkeminen vahvistusprosessin aikana voi aiheuttaa tahattoman vahvistuksen. Tämä päivitys korjaa ongelman näyttämällä soitettavan numeron oikein ja edellyttää puhelinlinkkien vahvistuksen. Kiitokset Billy Hoffmanille ja Bryan Sullivanille (HP Security Labs, aiemmin SPI Labs) ja Eduardo Tangille tämän ongelman ilmoittamisesta.
Safari
CVE-ID: CVE-2007-3758
Vaikutus: Haitallisella verkkosivustolla käynti saattaa johtaa sivustojen väliseen skriptaukseen.
Kuvaus: Safarissa on sivustojen välinen skriptaushaavoittuvuus, jonka avulla haitalliset sivustot voivat määrittää eri domainista tarjottujen sivustojen JavaScript-ikkunoiden ominaisuuksia. Hyökkääjä voi houkutella käyttäjän käymään haitallisella verkkosivustolla ja käynnistää ongelman, jolloin hyökkääjä saa tai voi asettaa muilta verkkosivustoilta tarjottujen sivujen tilan ja sijainnin. Tämä päivitys korjaa ongelman parantamalla näiden ominaisuuksien käyttöoikeushallintaa. Kiitokset Michal Zalewskille (Google Inc.) tämän ongelman ilmoittamisesta.
Safari
CVE-ID: CVE-2007-3759
Vaikutus: JavaScriptin poistaminen käytöstä ei tule voimaan ennen kuin Safari käynnistetään uudelleen.
Kuvaus: Safari voidaan määrittää ottamaan JavaScript käyttöön tai poistamaan se käytöstä. Tämä asetus tulee voimaan vasta, kun Safari käynnistetään seuraavan kerran. Tämä tapahtuu yleensä silloin, kun iPhone käynnistetään uudelleen. Tämä voi johtaa käyttäjiä harhaan, sillä he uskovat JavaScriptin olevan poissa käytöstä, vaikka se on edelleen käytössä. Tämä päivitys korjaa ongelman käyttämällä uutta asetusta ennen uusien verkkosivujen lataamista.
Safari
CVE-ID: CVE-2007-3760
Vaikutus: Haitallisella verkkosivustolla käynti saattaa aiheuttaa sivustojen välistä skriptausta.
Kuvaus: Safarin sivustojen välinen skriptausongelma sallii haitallisen verkkosivuston ohittaa saman alkuperän käytännön frame-tunnisteita käyttämällä. Hyökkääjä voi houkutella käyttäjän käymään haitallisella verkkosivulla ja käynnistää ongelman, joka voi johtaa JavaScript-ohjelman suorittamiseen toisen sivuston yhteydessä. Tämä päivitys korjaa ongelman poistamalla JavaScriptin käytöstä iframe-lähteenä ja rajoittamalla frame-tunnisteiden JavaScriptin vain sen sivuston käyttöoikeuteen, jolta se on tarjottu. Kiitokset Michal Zalewskille (Google Inc.) ja Secunia Researchille tämän ongelman ilmoittamisesta.
Safari
CVE-ID: CVE-2007-3761
Vaikutus: Haitallisella verkkosivustolla käynti saattaa aiheuttaa sivustojen välistä skriptausta.
Kuvaus: Safarin sivustojen välinen skriptausongelma sallii JavaScript-tapahtumien yhdistämisen väärään kehykseen. Hyökkääjä voi houkutella käyttäjän käymään haitallisella verkkosivulla ja aiheuttaa JavaScriptin suorittamisen toisen sivuston yhteydessä. Tämä päivitys korjaa ongelman liittämällä JavaScript-tapahtumat oikeaan lähdekehykseen.
Safari
CVE-ID: CVE-2007-4671
Vaikutus: Verkkosivustojen JavaScript voi käyttää tai muokata HTTPS-yhteyden kautta tarjottujen dokumenttien sisältöä.
Kuvaus: Safarin ongelma sallii HTTP-yhteyden kautta tarjotun sisällön muuttaa tai käyttää samassa domainissa olevaa HTTPS-sisältöä. Hyökkääjä voi houkutella käyttäjän käymään haitallisella verkkosivulla ja aiheuttaa JavaScriptin suorittamisen saman domainin HTTPS-verkkosivujen yhteydessä. Tämä päivitys korjaa ongelman rajoittamalla HTTP- ja HTTPS-kehyksissä suoritettavan JavaScriptin käyttöoikeuksia. Kiitokset Keigo Yamazakille (LAC Co., Ltd., Little eArth Corporation Co., Ltd.) tämän ongelman ilmoittamisesta.
Asennusilmoitus:
Tämä päivitys on saatavilla vain iTunesin kautta, eikä se näy tietokoneesi ohjelmistopäivitysohjelmassa tai Applen lataukset -sivustolla. Varmista, että sinulla on internet-yhteys ja että olet asentanut iTunesin uusimman version osoitteesta www.apple.com/itunes.
iTunes tarkistaa automaattisesti Applen päivityspalvelimen viikoittaisen aikataulun mukaisesti. Havaittu päivitys ladataan. Kun iPhone on kiinnitettynä, iTunes tarjoaa käyttäjälle mahdollisuutta päivityksen asentamiseen. Suosittelemme, että päivitys otetaan käyttöön mahdollisimman pian. Jos valitset Älä asenna, vaihtoehto tulee näkyviin seuraavalla kerralla, kun muodostat yhteyden iPhoneen.
Automaattinen päivitysprosessi voi kestää jopa viikon riippuen siitä, minä päivänä iTunes tarkistaa päivitykset. Voit hankkia päivityksen manuaalisesti iTunesin Etsi päivityksiä -painikkeella. Sen jälkeen päivitys voidaan ottaa käyttöön, kun iPhone on kiinnitetty tietokoneeseen.
Voit tarkistaa iPhonen päivitykset:
Siirry kohtaan Asetukset
Klikkaa Yleiset
Klikkaa Tietoja. Tämän päivityksen käyttöönoton jälkeen versio on ”1.1.1 (3A109a)”.