Over de beveiligingsinhoud van de iOS 4.3.2-software-update

In dit document wordt de beveiligingsinhoud van iOS 4.3.2-software-update beschreven.

In dit document wordt de beveiligingsinhoud van de iOS 4.3.2-software-update beschreven die je kunt downloaden en installeren via iTunes.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.

Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg Apple beveiligingsreleases voor meer informatie over andere beveiligingsupdates.

iOS 4.3.2-software-update

  • Certificate Trust Policy

    Beschikbaar voor: iOS 3.0 t/m 4.3.1 voor de iPhone 3GS en nieuwer, iOS 3.1 t/m 4.3.1 voor de iPod touch (3e generatie) en nieuwer, iOS 3.2 t/m 4.3.1 voor de iPad

    Impact: een aanvaller in een geprivilegieerde netwerkpositie kan mogelijk inloggegevens of andere vertrouwelijke informatie van gebruikers onderscheppen

    Beschrijving: er zijn verschillende frauduleuze SSL-certificaten verstrekt door een aan Comodo gelieerde registratie-autoriteit. Zo kan een 'man-in-the-middle'-aanvaller verbindingen omleiden en inloggegevens of andere vertrouwelijke informatie van gebruikers onderscheppen. Dit probleem is opgelost door de frauduleuze certificaten op de blokkeringslijst te zetten.

    Opmerking: voor Mac OS X-systemen wordt dit probleem verholpen met Beveiligingsupdate 2011-002. Voor Windows-systemen vertrouwt Safari op de certificatenopslag van het hostbesturingssysteem om te bepalen of een SSL-servercertificaat betrouwbaar is. Het toepassen van de update zoals beschreven in Microsoft Knowledge Base-artikel 2524375 leidt ertoe dat Safari deze certificaten als niet-vertrouwd beschouwt. Dit artikel is beschikbaar op http://support.microsoft.com/kb/2524375

  • libxslt

    Beschikbaar voor: iOS 3.0 t/m 4.3.1 voor de iPhone 3GS en nieuwer, iOS 3.1 t/m 4.3.1 voor de iPod touch (3e generatie) en nieuwer, iOS 3.2 t/m 4.3.1 voor de iPad

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot de vrijgave van adressen op de heap

    Beschrijving: de implementatie van libxslt van de generate-id() XPath-functie heeft het adres van een heapbuffer vrijgegeven. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot de vrijgave van adressen op de heap, wat kan helpen bij het omzeilen van de bescherming tegen randomisatie van de indeling van de adresruimte. Dit probleem is verholpen door een ID te genereren op basis van het verschil tussen de adressen van twee heapbuffers.

    CVE-ID

    CVE-2011-0195: Chris Evans van het Google Chrome Security Team

  • QuickLook

    Beschikbaar voor: iOS 3.0 t/m 4.3.1 voor de iPhone 3GS en nieuwer, iOS 3.1 t/m 4.3.1 voor de iPod touch (3e generatie) en nieuwer, iOS 3.2 t/m 4.3.1 voor de iPad

    Impact: het bekijken van een kwaadwillig vervaardigd Microsoft Office-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er trad een probleem op met geheugenbeschadiging bij de verwerking van Microsoft Office-bestanden door QuickLook. Het bekijken van een kwaadwillig vervaardigd Microsoft Office-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

    CVE-ID

    CVE-2011-1417: Charlie Miller en Dion Blazakis in samenwerking met het Zero Day Initiative van TippingPoint

  • WebKit

    Beschikbaar voor: iOS 3.0 t/m 4.3.1 voor de iPhone 3GS en nieuwer, iOS 3.1 t/m 4.3.1 voor de iPod touch (3e generatie) en nieuwer, iOS 3.2 t/m 4.3.1 voor de iPad

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met een overloop bij gehele getallen bij de verwerking van nodesets. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code.

    CVE-ID

    CVE-2011-1290: Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp Weinmann, en een anonieme onderzoeker in samenwerking met het TippingPoint's Zero Day Initiative

  • WebKit

    Beschikbaar voor: iOS 3.0 t/m 4.3.1 voor de iPhone 3GS en nieuwer, iOS 3.1 t/m 4.3.1 voor de iPod touch (3e generatie) en nieuwer, iOS 3.2 t/m 4.3.1 voor de iPad

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een use-after-free-probleem bij de verwerking van tekstnodes. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code.

    CVE-ID

    CVE-2011-1344: Vupen Security in samenwerking met TippingPoint's Zero Day Initiative, en Martin Barbella

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: