Informationen zum Sicherheitsinhalt von iOS 4.3
In diesem Dokument wird der Sicherheitsinhalt von iOS 4.3 beschrieben.
In diesem Dokument finden Sie Informationen zum Sicherheitsinhalt von iOS 4.3, das Sie über iTunes laden und installieren können.
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.
Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit finden Sie unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.
Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.
Informationen zu weiteren Sicherheitsupdates finden Sie unter Apple-Sicherheitsupdates.
iOS 4.3
CoreGraphics
Verfügbar für: iOS 3.0 bis 4.2.1 für iPhone 3GS und neuer, iOS 3.1 bis 4.2.1 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.2.1 für iPad
Auswirkung: Mehrere Schwachstellen in FreeType
Beschreibung: In FreeType gab es mehrere Schwachstellen, die im schlimmsten Fall bei der Verarbeitung von in böswilliger Absicht erstellten Schriftartdaten zur Ausführung von willkürlichem Code hätten führen können. Dieses Problem wurde durch Aktualisieren auf Version 2.4.3 behoben. Weitere Informationen finden Sie auf der FreeType-Website unter http://www.freetype.org.
CVE-ID
CVE-2010-3855
ImageIO
Verfügbar für: iOS 3.0 bis 4.2.1 für iPhone 3GS und neuer, iOS 3.1 bis 4.2.1 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.2.1 für iPad
Auswirkung: Das Anzeigen eines in böswilliger Absicht erstellten TIFF-Bildes kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Die Verarbeitung von JPEG-codierten TIFF-Bildern durch libTIFF konnte zu einem Pufferüberlauf führen. Das Anzeigen eines in böswilliger Absicht erstellten TIFF-Bildes hätte zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen können.
CVE-ID
CVE-2011-0191: Apple
ImageIO
Verfügbar für: iOS 3.0 bis 4.2.1 für iPhone 3GS und neuer, iOS 3.1 bis 4.2.1 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.2.1 für iPad
Auswirkung: Das Anzeigen eines in böswilliger Absicht erstellten TIFF-Bildes kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Die Verarbeitung von CCITT Group 4-codierten TIFF-Bildern durch libTIFF konnte zu einem Pufferüberlauf führen. Das Anzeigen eines in böswilliger Absicht erstellten TIFF-Bildes hätte zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen können.
CVE-ID
CVE-2011-0192: Apple
libxml
Verfügbar für: iOS 3.0 bis 4.2.1 für iPhone 3GS und neuer, iOS 3.1 bis 4.2.1 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.2.1 für iPad
Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung von XPath-Ausdrücken durch libxml kam es zu einem Double-Free-Problem. Der Besuch einer in böswilliger Absicht erstellten Website hätte zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen können.
CVE-ID
CVE-2010-4494: Yang Dingning von NCNIPC, Graduate University of Chinese Academy of Sciences
Netzwerkbetrieb
Verfügbar für: iOS 3.0 bis 4.2.1 für iPhone 3GS und neuer, iOS 3.1 bis 4.2.1 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.2.1 für iPad
Auswirkung: Ein Server könnte ein Gerät über mehrere Verbindungen hinweg identifizieren
Beschreibung: Die vom Gerät gewählte IPv6-Adresse enthält die MAC-Adresse des Geräts, wenn die automatische Adressvergabe ohne Protokoll (Stateless Address Autoconfiguration, SLAAC) verwendet wird. Ein für IPv6 aktivierter Server, der vom Gerät kontaktiert wird, kann die Adresse verwenden, um das Gerät über verschiedene Verbindungen hinweg zu verfolgen. Mit diesem Update wird die in RFC 3041 beschriebene IPv6-Erweiterung implementiert, indem eine temporäre und zufällige Adresse für ausgehende Verbindungen verwendet wird.
Safari
Verfügbar für: iOS 3.0 bis 4.2.1 für iPhone 3GS und neuer, iOS 3.1 bis 4.2.1 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.2.1 für iPad
Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann dazu führen, dass MobileSafari beim Start beendet wird
Beschreibung: Eine in böswilliger Absicht erstellte Website kann Javascript enthalten, das wiederholt ein anderes Programm über seinen URL-Handler startet. Beim Besuch einer solchen Website mit MobileSafari wird MobileSafari beendet und das Zielprogramm gestartet. Diese Sequenz wird dann jedes Mal wiederholt, sobald MobileSafari gestartet wird. Dieses Problem wird behoben, indem die vorherige Seite aufgerufen wird, sobald Safari erneut geöffnet wird, nachdem ein anderes Programm per URL-Handler gestartet wurde.
CVE-ID
CVE-2011-0158: Nitesh Dhanjani von Ernst & Young LLP
Safari
Verfügbar für: iOS 4.0 bis 4.2.1 für iPhone 3GS und neuer, iOS 4.0 bis 4.2.1 für iPod touch (3. Generation und neuer), iOS 4.2 bis 4.2.1 für iPad
Auswirkung: Das Löschen von Cookies in den Einstellungen von Safari zeigt keine Wirkung
Beschreibung: Unter bestimmten Umständen zeigt das Löschen von Cookies über die Safari-Einstellungen keine Wirkung, wenn Safari aktuell ausgeführt wird. Dieses Problem wird durch eine verbesserte Verarbeitung der Cookies behoben. Dieses Problem wirkt sich nicht auf Systeme vor iOS 4.0 aus.
CVE-ID
CVE-2011-0159: Erik Wong von Google, Inc.
WebKit
Verfügbar für: iOS 3.0 bis 4.2.1 für iPhone 3GS und neuer, iOS 3.1 bis 4.2.1 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.2.1 für iPad
Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: In WebKit gibt es mehrere Speicherfehler. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.
CVE-ID
CVE-2010-1792
CVE-2010-1824: kuzzcc und wushi von team509 der Zero Day Initiative von TippingPoint
CVE-2011-0111: Sergey Glazunov
CVE-2011-0112: Yuzo Fujishima von Google, Inc.
CVE-2011-0113: Andreas Kling von Nokia
CVE-2011-0114: Chris Evans vom Google Chrome-Sicherheitsteam
CVE-2011-0115: J23 von der Zero Day Initiative von TippingPoint und Emil A Eklund von Google, Inc.
CVE-2011-0116: Anonymer Mitarbeiter der Zero Day Initiative von TippingPoint
CVE-2011-0117: Abhishek Arya (Inferno) von Google, Inc.
CVE-2011-0118: Abhishek Arya (Inferno) von Google, Inc.
CVE-2011-0119: Abhishek Arya (Inferno) von Google, Inc.
CVE-2011-0120: Abhishek Arya (Inferno) von Google, Inc.
CVE-2011-0121: Abhishek Arya (Inferno) von Google, Inc.
CVE-2011-0122: Slawomir Blazek
CVE-2011-0123: Abhishek Arya (Inferno) von Google, Inc.
CVE-2011-0124: Yuzo Fujishima von Google, Inc.
CVE-2011-0125: Abhishek Arya (Inferno) von Google, Inc.
CVE-2011-0126: Mihai Parparita von Google, Inc.
CVE-2011-0127: Abhishek Arya (Inferno) von Google, Inc.
CVE-2011-0128: David Bloom
CVE-2011-0129: Famlam
CVE-2011-0130: Apple
CVE-2011-0131: wushi von team509
CVE-2011-0132: wushi von team509 der Zero Day Initiative von TippingPoint
CVE-2011-0133: wushi von team509 der Zero Day Initiative von TippingPoint
CVE-2011-0134: Jan Tosovsky
CVE-2011-0135: Anonymer Benutzer
CVE-2011-0136: Sergey Glazunov
CVE-2011-0137: Sergey Glazunov
CVE-2011-0138: kuzzcc
CVE-2011-0140: Sergey Glazunov
CVE-2011-0141: Chris Rohlf von Matasano Security
CVE-2011-0142: Abhishek Arya (Inferno) von Google, Inc.
CVE-2011-0143: Slawomir Blazek und Sergey Glazunov
CVE-2011-0144: Emil A Eklund von Google, Inc.
CVE-2011-0145: Abhishek Arya (Inferno) von Google, Inc.
CVE-2011-0146: Abhishek Arya (Inferno) von Google, Inc.
CVE-2011-0147: Dirk Schulze
CVE-2011-0148: Michal Zalewski von Google, Inc.
CVE-2011-0149: wushi von team509 der Zero Day Initiative von TippingPoint und SkyLined vom Google Chrome-Sicherheitsteam
CVE-2011-0150: Michael Gundlach von safariadblock.com
CVE-2011-0151: Abhishek Arya (Inferno) von Google, Inc.
CVE-2011-0152: SkyLined vom Google Chrome-Sicherheitsteam
CVE-2011-0153: Abhishek Arya (Inferno) von Google, Inc.
CVE-2011-0154: Anonymer Mitarbeiter der Zero Day Initiative von TippingPoint
CVE-2011-0155: Aki Helin von OUSPG
CVE-2011-0156: Abhishek Arya (Inferno) von Google, Inc.
CVE-2011-0157: Benoit Jacob von Mozilla
CVE-2011-0168: Sergey Glazunov
WebKit
Verfügbar für: iOS 3.0 bis 4.2.1 für iPhone 3GS und neuer, iOS 3.1 bis 4.2.1 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.2.1 für iPad
Auswirkung: Die Anmeldeinformationen der HTTP Basic Authentication können versehentlich einer anderen Site preisgegeben werden
Beschreibung: Wenn eine Site die HTTP Basic Authentication verwendet und dann zu einer anderen Site umleitet, können die Anmeldeinformationen an die andere Site gesendet werden. Dieses Problem wird durch eine verbesserte Verarbeitung der Anmeldedaten behoben.
CVE-ID
CVE-2011-0160: McIntosh Cooey von Twelve Hundred Group, Harald Hanche-Olsen, Chuck Hohn von 1111 Internet LLC in Zusammenarbeit mit CERT und Paul Hinze von Braintree
WebKit
Verfügbar für: iOS 3.0 bis 4.2.1 für iPhone 3GS und neuer, iOS 3.1 bis 4.2.1 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.2.1 für iPad
Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu Cross-Site-Style-Deklarationen führen
Beschreibung: Bei der Verarbeitung des Akzessors Attr.style in WebKit bestand ein Cross-Origin-Problem. Durch den Besuch einer in böswilliger Absicht erstellten Website hätte die Site CSS in andere Dokumente injizieren können. Dieses Problem wurde durch Entfernung des Akzessors Attr.style behoben.
CVE-ID
CVE-2011-0161: Apple
WebKit
Verfügbar für: iOS 3.0 bis 4.2.1 für iPhone 3GS und neuer, iOS 3.1 bis 4.2.1 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.2.1 für iPad
Auswirkung: Eine in böswilliger Absicht erstellte Website könnte andere Sites an der Anforderung bestimmter Ressourcen hindern
Beschreibung: Bei der Verarbeitung von zwischengespeicherten Ressourcen in WebKit bestand ein Cache-Poisoning-Problem. Eine in böswilliger Absicht erstellte Website hätte andere Sites an der Anforderung bestimmter Ressourcen hindern können. Dieses Problem wurde durch eine verbesserte Typüberprüfung behoben.
CVE-ID
CVE-2011-0163: Apple
WLAN
Verfügbar für: iOS 3.0 bis 4.2.1 für iPhone 3GS und neuer, iOS 3.1 bis 4.2.1 für iPod touch (3. Generation und neuer), iOS 3.2 bis 4.2.1 für iPad
Auswirkung: Wenn eine WLAN-Verbindung besteht, könnte ein Angreifer in demselben Netzwerk ein Zurücksetzen des Geräts auslösen
Beschreibung: Bei der Verarbeitung von WLAN-Frames bestand ein Problem mit der Abgrenzungsprüfung. Bei bestehender WLAN-Verbindung hätte ein Angreifer in demselben Netzwerk ein Zurücksetzen des Geräts auslösen können.
CVE-ID
CVE-2011-0162: Scott Boyd von ePlus Technology, Inc.
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.