Tietoja iPhone 1.0.1 -päivityksen turvallisuussisällöstä
Tässä asiakirjassa kerrotaan iTunesin kautta seuraavassa kuvattavalla tavalla ladattavan ja asennettavan iPhone 1.0.1 -päivityksen turvallisuussisällöstä.
Apple haluaa suojella asiakkaitaan eikä siksi paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.
Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.
CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.
iPhone 1.0.1 -päivitys
Safari
CVE-ID: CVE-2007-2400
Saatavuus: iPhone 1.0
Vaikutus: haitallisessa verkkosivustossa käyminen saattoi mahdollistaa sivustojenvälisen komentosarjojen suorittamisen.
Kuvaus: Safarin suojausmalli estää etäverkkosivuilla olevaa JavaScript-koodia muokkaamasta sivuja, jotka eivät kuulu samaan domainiin. Kilpailutilanne sivun päivityksessä yhdistettynä HTTP-uudelleenohjaukseen saattoi sallia sivulla olevalle JavaScript-koodille uudelleenohjatun sivun muokkaamisen. Tämä saattoi mahdollistaa evästeiden ja sivujen lukemisen tai mielivaltaisen muokkaamisen. Päivitys korjaa ongelman korjaamalla ikkunan ominaisuuksien käytönvalvonnan. Kiitos Adobe Systems Inc:n Lawrence Laille, Stan Switzerille ja Ed Rowelle ongelman ilmoittamisesta.
Safari
CVE-ID: CVE-2007-3944
Saatavuus: iPhone 1.0
Vaikutus: haitallisen verkkosivun avaaminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Safarin JavaScript-moottorin käyttämässä PCRE-kirjastossa (Perl Compatible Regular Expressions) oli kekopuskurin ylivuotoja. Hyökkääjä saattoi aktivoida ongelman houkuttelemalla käyttäjän käymään haitallisella verkkosivulla, mikä saattoi johtaa mielivaltaisen koodin suorittamiseen. Päivitys ratkaisee ongelman suorittamalla JavaScriptin säännöllisten lausekkeiden lisätarkistuksen. Kiitos Independent Security Evaluatorsin Charlie Millerille ja Jake Honoroffille ongelmien ilmoittamisesta.
WebCore
CVE-ID: CVE-2007-2401
Saatavuus: iPhone 1.0
Vaikutus: haitallisessa verkkosivustossa käyminen saattoi sallia sivustojen väliset pyynnöt.
Kuvaus: XMLHttpRequest-pyynnössä oli HTTP-lisäysongelma, kun otsikoita sarjoitettiin HTTP-pyyntöön. Hyökkääjä saattoi aktivoida sivustojenvälisen komentosarjaongelman houkuttelemalla käyttäjän käymään haitallisella verkkosivulla. Päivitys ratkaisee ongelman suorittamalla otsikkoparametrien lisävalidoinnin. Kiitos Westpoint Ltd:n Richard Moorelle ongelman ilmoittamisesta.
WebKit
CVE-ID: CVE-2007-3742
Saatavuus: iPhone 1.0
Vaikutus: URL-osoitteessa olevia samannäköisiä merkkejä voitiin käyttää verkkosivuston naamiointiin.
Kuvaus: International Domain Name (IDN) -tuen ja Safarin upotettujen Unicode-fonttien avulla voitiin luoda URL-osoitteita, jotka sisälsivät samannäköisiä merkkejä kuin alkuperäiset osoitteet. Osoitteita voidaan käyttää haitallisessa verkkosivustossa käyttäjän ohjaamiseksi väärennetylle sivustolle, joka näyttää visuaalisesti aidolta. Päivitys ratkaisee ongelman parantamalla domainin nimen kelvollisuustarkistusta. Kiitos Business Architects Inc:n Tomohito Yoshinolle ongelman ilmoittamisesta.
WebKit
CVE-ID: CVE-2007-2399
Saatavuus: iPhone 1.0
Vaikutus: haitallisessa verkkosivustossa käyminen saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: virheellinen tyyppimuunnos kehysjoukkoja piirrettäessä saattoi johtaa muistin vioittumiseen. Haitallisessa verkkosivustossa käyminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Kiitos Westnetin Rhys Kiddille ongelman ilmoittamisesta.
Asennusta koskeva huomautus
Päivitys on saatavilla vain iTunesin kautta, eikä sitä näy tietokoneen ohjelmistonpäivitysapissa tai Apple-tuen lataussivustossa. Varmista, että käytössäsi on internet-yhteys ja että olet asentanut iTunesin uusimman version osoitteesta www.apple.com/fi/itunes).
iTunes tarkistaa Applen päivityspalvelimen automaattisesti viikoittain. Kun iTunes havaitsee päivityksen, se lataa sen. Kun iPhone telakoidaan, iTunes tarjoaa käyttäjälle mahdollisuuden asentaa päivityksen. Suosittelemme päivityksen ottamista käyttöön heti kun se on mahdollista. Jos valitset Älä asenna, valinta tulee näkyviin, kun liität iPhonen seuraavan kerran. Automaattinen päivitysprosessi voi kestää jopa viikon riippuen päivästä, jona iTunes tarkistaa päivitykset.
Voit hakea päivityksen manuaalisesti painamalla iTunesin Etsi päivityksiä -painiketta tai valikkovalinnalla. Tämän jälkeen päivitys voidaan ottaa käyttöön, kun iPhone on telakoitu tietokoneeseen.
Jos haluat tarkistaa, että iPhone on päivitetty:
Siirry iPhonessa kohtaan Asetukset.
Klikkaa Yleiset.
Klikkaa Tietoja. Päivityksen asentamisen jälkeen versionumero on 1.0.1 (1C25).