Tietoja iPhone-päivityksen 1.1.1 turvallisuussisällöstä

Tässä asiakirjassa kuvataan iPhone-päivityksen v1.1.1 turvallisuussisältö.

Asiakkaiden suojelemiseksi Apple ei paljasta tai vahvista turvallisuusongelmia tai keskustele niistä ennen kuin ne on täysin tutkittu ja tarvittavat korjauspäivitykset ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuus -sivustolla.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on sivulla Kuinka käyttää Applen tuoteturvallisuuden PGP-avainta.

Aina kun se on mahdollista, CVE ID -tunnuksia käytetään viittaamaan haavoittuvuuksiin.

Lisätietoja turvallisuuspäivityksistä on sivulla Applen turvallisuuspäivitykset.

iPhone-päivitys v1.1.1

  • Bluetooth

    CVE-ID: CVE-2007-3753

    Vaikutus: Bluetooth-etäisyydellä oleva hyökkääjä voi pystyä aiheuttamaan odottamattoman sovelluksen sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: iPhonen Bluetooth-palvelimessa on syöttötietojen tarkistusongelma. Lähettämällä vihamielisiä Service Discovery Protocol (SDP) -paketteja iPhoneen, jossa on käytössä Bluetooth, hyökkääjä saattaa laukaista ongelman, mikä voi aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorituksen. Tämä päivitys korjaa ongelman suorittamalla ylimääräisen SDP-pakettien tarkistuksen. Kiitos Flexilis Mobile Securityn Kevin Mahaffeylle ja John Heringelle tästä ongelmasta ilmoittamisesta.

  • Mail

    CVE-ID: CVE-2007-3754

    Vaikutus: Sähköpostin tarkistaminen epäluotettujen verkkojen kautta voi johtaa tietojen paljastumiseen man-in-the-middle-hyökkäyksen avulla

    Kuvaus: Kun sähköposti on asetettu käyttämään SSL-yhteyskäytäntöä saapuville ja lähteville yhteyksille, se ei varoita käyttäjää, kun postipalvelin on vaihtunut tai epäluotettava. Hyökkääjä, joka kykenee sieppaamaan yhteyden, voi kyetä tekeytymään käyttäjän postipalvelimeksi ja saamaan käyttäjän sähköpostitunnukset tai muita luottamuksellisia tietoja. Tämä päivitys korjaa ongelman varoittamalla, kun etäpostipalvelin on vaihtunut.

  • Mail

    CVE-ID: CVE-2007-3755

    Vaikutus: Puhelinlinkin ("tel:") jälkeen Mail soittaa puhelinnumeroon ilman vahvistusta

    Kuvaus: Mail tukee puhelinlinkkejä ("tel:") puhelinnumeroiden soittamiseen. Houkuttelemalla käyttäjän seuraamaan puhelinlinkkiä sähköpostiviestissä, hyökkääjä voi saada iPhonen soittamaan ilman käyttäjän vahvistusta. Tämä päivitys korjaa ongelman tarjoamalla vahvistusikkunan ennen puhelinnumeroon soittamista Mailin puhelinlinkistä. Kiitos McAfeen Andi Baritchille tästä ongelmasta ilmoittamisesta.

  • Safari

    CVE-ID: CVE-2007-3756

    Vaikutus: Vihamielisellä sivustolla käynti voi johtaa URL-sisällön paljastumiseen

    Kuvaus: Safarin suunnitteluongelma sallii web-sivun lukea URL:n jota katsellaan pääikkunassa. Houkuttelemalla käyttäjän vihamieliselle web-sivulle, hyökkääjä voi kyetä saamaan selville ulkopuolisen sivun URL-osoitteen. Tämä päivitys korjaa ongelman parannetulla toimialueiden välisellä turvallisuustarkistuksella. Kiitos Google Inc. -yhtiön Michal Zalewskille ja Secunia Researchille tästä ongelmasta ilmoittamisesta.

  • Safari

    CVE-ID: CVE-2007-3757

    Vaikutus: Vihamielisellä web-sivustolla käynti voi johtaa tahattomaan puhelun soittamiseen tai soittamiseen eri numeroon kuin oli tarkoitus

    Kuvaus: Safari tukee puhelinlinkkejä ("tel:") puhelinnumeroiden soittamiseen. Kun on valittu puhelinlinkki, Safari vahvistaa, että numeroon pitää soittaa. Vihamielisesti laadittu puhelinlinkki voi saada vahvistuksen aikana näytöllä näkymään eri numeron kuin sen, johon todella soitetaan. Safarin lopettaminen vahvistusprosessin aikana voi aiheuttaa tahattoman vahvistuksen. Tämä päivitys korjaa ongelman näyttämällä oikein numeron, johon soitetaan, ja vaatimalla vahvistusta puhelinlinkeille. Kiitokset HP Security Labs (aiemmin SPI Labs) -laitoksen Billy Hoffmanille ja Bryan Sullivanille sekä Eduardo Tangille tästä ongelmasta ilmoittamisesta.

  • Safari

    CVE-ID: CVE-2007-3758

    Vaikutus: Vihamielisellä web-sivustolla käynti voi johtaa sivustojenväliseen komentosarjaan.

    Kuvaus: Safarissa on sivustojenväliseen komentosarjaan liittyvä haavoittuvuus, jonka avulla vihamieliset web-sivustot voivat asettaa JavaScript-ikkunan ominaisuuksia eri toimialueen sivustolle. Houkuttelemalla käyttäjän vierailemaan vihamielisellä web-sivulla, hyökkääjä voi laukaista ongelman, joka voi johtaa toisten sivustojen sivujen tilan ja sijainnin asettamiseen. Tämä päivitys korjaa ongelman tarjoamalla tarkemman näiden ominaisuuksien käyttöoikeuksien tarkistuksen. Kiitos Google Inc. -yhtiön Michal Zalewskille tästä ongelmasta ilmoittamisesta.

  • Safari

    CVE-ID: CVE-2007-3759

    Vaikutus: JavaScriptin poistaminen käytöstä tulee voimaan vasta, kun Safari käynnistetään uudelleen

    Kuvaus: Safarissa voidaan ottaa käyttöön ja poistaa käytöstä JavaScript. Tämä asetus tulee voimaan vasta, kun Safari seuraavan kerran käynnistetään uudelleen Tämä tapahtuu yleensä, kun iPhone käynnistetään uudelleen. Käyttäjät voivat tämän takia luulla, että JavaScript on pois käytöstä, vaikka se on käytössä. Tämä päivitys korjaa ongelman soveltamalla uutta asetusta ennen uusien web-sivustojen lataamista.

  • Safari

    CVE-ID: CVE-2007-3760

    Vaikutus: Vihamielisellä sivustolla käynti voi mahdollistaa sivustojenvälisen komentosarjan

    Kuvaus: Safarissa on sivustojenväliseen komentosarjaan liittyvä ongelma, jonka avulla vihamielinen web-sivusto voi ohittaa saman alkuperän periaatteen käytettäessä frame-koodia. Houkuttelemalla käyttäjän vierailemaan vihamielisellä web-sivulla, hyökkääjä voi laukaista ongelman, joka voi johtaa JavaScriptin suorittamiseen toisessa sivustossa. Tämä päivitys korjaa ongelman estämällä JavaScriptin iframe-lähteenä ja rajoittamalla JavaScriptin frame-koodeissa samoihin oikeuksiin kuin sivusto, josta se on ladattu. Kiitos Google Inc. -yhtiön Michal Zalewskille ja Secunia Researchille tästä ongelmasta ilmoittamisesta.

  • Safari

    CVE-ID: CVE-2007-3761

    Vaikutus: Vihamielisellä sivustolla käynti voi mahdollistaa sivustojenvälisen komentosarjan

    Kuvaus: Safarissa on sivustojenväliseen komentosarjaan liittyvä ongelma, joka mahdollistaa JavaScript-tapahtumien liittämisen väärään kehykseen. Houkuttelemalla käyttäjän vierailemaan vihamielisellä web-sivulla, hyökkääjä voi aiheuttaa JavaScriptin suorittamisen toisessa sivustossa. Tämä päivitys korjaa ongelman liittämällä JavaScript-tapahtumat oikeaan lähdekehykseen.

  • Safari

    CVE-ID: CVE-2007-4671

    Vaikutus: Web-sivustojen JavaScript voi lukea tai käsitellä HTTPS:n kautta ladattujen asiakirjojen sisältöä

    Kuvaus: Safarissa on ongelma, jonka avulla HTTP:n kautta ladattu sisältö voi muuttaa tai lukea HTTPS:n kautta samalta toimialueelta ladattua sisältöä. Houkuttelemalla käyttäjän vierailemaan vihamielisellä web-sivulla, hyökkääjä voi aiheuttaa JavaScriptin suorittamisen saman toimialueen HTTPS-sivujen puitteissa. Tämä päivitys korjaa ongelman rajoittamalla HTTP- ja HTTPS-kehyksissä suoritettujen JavaScript-komentosarjojen välisiä oikeuksia. Kiitos LAC Co., Ltd. (Little eArth Corporation Co., Ltd.) -yhtiön Keigo Yamazakille tästä ongelmasta ilmoittamisesta.

Asennushuomautus:

Tämä päivitys on saatavilla vain iTunesin kautta eikä näy tietokoneen Ohjelmiston päivitys -sovelluksessa tai Applen Lataukset -sivustolla. Varmista, että sinulla on Internet-yhteys ja että olet asentanut uusimman iTunes-version osoitteesta www.apple.com/fi/itunes

iTunes tarkistaa viikoittain automaattisesti Applen päivityspalvelimen. Havaittu päivitys ladataan. Kun iPhone kytketään tietokoneeseen, iTunes näyttää käyttäjälle mahdollisuuden asentaa päivitys. Suosittelemme päivityksen asentamista välittömästi, mikäli mahdollista. Jos valitset "Älä asenna", päivitystä tarjotaan uudelleen, kun seuraavan kerran kytket iPhonen.

Automaattinen päivitysprosessi voi kestää enintään viikon sen mukaan, minä päivänä iTunes tarkistaa päivitykset. Voi hakea päivityksen manuaalisesti käyttämällä iTunesin Tarkista päivitykset -painiketta. Tämän jälkeen päivitys voidaan asentaa, kun iPhone kytketään tietokoneeseen.

Voit tarkistaa, että iPhone on päivitetty seuraavasti:

  1. Selaa esille Asetukset (Settings)
  2. Valitse Yleiset (General)
  3. Valitse Tietoja (About). Päivityksen jälkeen versio on "1.1.1 (3A109a)"
Julkaisupäivämäärä: