De beveiligingsinhoud van iOS 5-software-update

In dit artikel wordt de beveiligingsinhoud van iOS 5-software-update beschreven.

In dit document wordt de beveiligingsinhoud van de iOS 5-software-update beschreven die u kunt downloaden en installeren via iTunes.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple productbeveiliging voor meer informatie over Apple-productbeveiliging.

Raadpleeg Hoe gebruikt u de Apple Product Security PGP-sleutel voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg Apple-beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

iOS 5-software-update

  • CalDAV

    Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

    Impact: een aanvaller met een geprivilegieerde netwerkpositie kan inloggegevens of andere vertrouwelijke informatie van gebruikers onderscheppen vanaf een CalDAV-agendaserver

    Beschrijving: CalDAV heeft niet gecontroleerd of het SSL-certificaat, dat is geleverd door de server, betrouwbaar was.

    CVE-ID

    CVE-2011-3253: Leszek Tasiemski van nSense

  • Agenda

    Beschikbaar voor: iOS 4.2.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 4.2.0 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 4.2.0 t/m 4.3.5 voor iPad

    Impact: het bekijken van een kwaadwillig vervaardigde agenda zorgt er mogelijk voor dat script in het lokale domein terechtkomt

    Beschrijving: er was een probleem met het invoegen van script bij het verwerken van uitnodigingsberichten. Dit probleem wordt verholpen door een verbeterde escaping van speciale tekens in uitnodigingsberichten. Deze problemen zijn niet van invloed op apparaten ouder dan iOS 4.2.0.

    CVE-ID

    CVE-2011-3254: Rick Deacon

  • CFNetwork

    Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

    Impact: het wachtwoord van een Apple ID van een gebruiker is mogelijk bijgehouden in een lokaal bestand

    Beschrijving: het wachtwoord en de gebruikersnaam van de Apple ID van een gebruiker zijn bijgehouden in een bestand dat door programma’s in het systeem kon worden gelezen. Dit wordt verholpen door deze inloggegevens niet langer bij te houden.

    CVE-ID

    CVE-2011-3255: Peter Quade van qdevelop

  • CFNetwork

    Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het vrijgeven van vertrouwelijke informatie

    Beschrijving: er was een probleem bij de verwerking van HTTP-cookies in CFNetwork. Bij de toegang tot een kwaadwillig vervaardigde HTTP- of HTTPS-URL kan CFNetwork de cookies voor een domein onterecht versturen naar een server buiten dat domein.

    CVE-ID

    CVE-2011-3246: Erling Ellingsen van Facebook

  • CoreFoundation

    Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

    Impact: het bekijken van een kwaadwillig vervaardigde website of kwaadwillig vervaardigd e-mailbericht kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van de tokenisatie van de tekenreeks in CoreFoundation.

    CVE-ID

    CVE-2011-0259: Apple

  • CoreGraphics

    Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

    Impact: het bekijken van een document met een kwaadwillig vervaardigd lettertype kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere problemen met geheugenbeschadiging in FreeType waarvan de ernstigste konden leiden tot het uitvoeren van willekeurige code bij de verwerking van een kwaadwillig vervaardigd lettertype.

    CVE-ID

    CVE-2011-3256: Apple

  • CoreMedia

    Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

    Impact: het bekijken van kwaadwillig vervaardigde website kan leiden tot het vrijgeven van videogegevens van een andere website

    Beschrijving: er was een ‘cross-origin’-probleem bij de verwerking van cross-site doorverwijzingen in CoreMedia. Dit probleem wordt verholpen door een verbeterde brontracering.

    CVE-ID

    CVE-2011-0187: Nirankush Panchbhai en Microsoft Vulnerability Research (MSVR)

  • Gegevenstoegang

    Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

    Impact: een probleem met cookiebeheer voor Exchange-e-mail kan een foutieve synchronisatie van gegevens tussen verschillende accounts als gevolg hebben

    Beschrijving: wanneer meerdere Exchange-e-mailaccounts zijn geconfigureerd die verbinding maken met dezelfde server, kan een sessie mogelijk een geldige cookie ontvangen die toebehoort aan een andere account. Dit probleem wordt verholpen door ervoor te zorgen dat cookies worden gescheiden tussen verschillende accounts.

    CVE-ID

    CVE-2011-3257: Bob Sielken van IBM

  • Gegevensbeveiliging

    Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

    Impact: een aanvaller met een geprivilegieerde netwerkpositie kan inloggegevens of andere vertrouwelijke informatie van gebruikers onderscheppen

    Beschrijving: frauduleuze certificaten zijn uitgevaardigd door meerdere certificaatautoriteiten beheerd door DigiNotar. Dit probleem wordt verholpen door DigiNotar te verwijderen uit de lijst met vertrouwde rootcertificaten, uit de lijst met autoriteiten van uitgebreide validatiecertificaten en door de standaard vertrouwensinstellingen van het systeem te configureren zodat certificaten van DigiNotar, inclusief deze uitgevaardigd door andere autoriteiten, niet worden vertrouwd.

  • Gegevensbeveiliging

    Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

    Impact: ondersteuning voor X.509-certificaten met MD5-hashes kan gebruikers blootstellen aan vervalsing en bekendmaking van gegevens naarmate de aanvallen verbeteren

    Beschrijving: certificaten die zijn ondertekend met het MD5-hashalgoritme zijn aanvaard door iOS. Dit algoritme heeft bekende cryptografische zwakheden. Verder onderzoek of een verkeerd geconfigureerde certificaatautoriteit kon het aanmaken van X.509-certificaten met door de aanvaller gecontroleerde waarden hebben toegestaan die het systeem zou hebben vertrouwd. Dit zou de X.509-protocollen hebben blootgesteld aan vervalsing, ‘man-in-the-middle’-aanvallen en vrijgave van gegevens. Deze update schakelt de ondersteuning voor een X.509-certificaat met een MD5-hash uit voor elk ander gebruik dan een vertrouwd rootcertificaat.

    CVE-ID

    CVE-2011-3427

  • Gegevensbeveiliging

    Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

    Impact: een aanvaller kon een deel van een SSL-verbinding ontsleutelen

    Beschrijving: alleen de SSLv3- en TLS 1.0-versies van SSL waren ondersteund. Deze versies zijn onderhevig aan zwakheden in het protocol bij het gebruik van blokcodes. Een ‘man-in-the-middle’-aanvaller kon ongeldige gegevens hebben ingevoegd, waardoor de verbinding zou worden gesloten en informatie over de vorige gegevens zou worden weergegeven. Als herhaaldelijk is geprobeerd om dezelfde verbinding tot stand te brengen, heeft de aanvaller mogelijk een deel van de verzonden gegevens, zoals een wachtwoord, ontsleuteld. Dit probleem wordt verholpen door ondersteuning voor TLS 1.2 toe te voegen.

    CVE-ID

    CVE-2011-3389

  • Beginscherm

    Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

    Impact: de overschakeling tussen programma’s leidt mogelijk tot de vrijgave van vertrouwelijke programmagegevens

    Beschrijving: bij de overschakeling tussen programma’s met het viervingerige gebaar om te schakelen, kon het scherm de vorige programmastatus vrijgeven. Dit probleem wordt verholpen door ervoor te zorgen dat het systeem de methode applicationWillResignActive: juist aanroept bij het schakelen tussen programma’s.

    CVE-ID

    CVE-2011-3431: Abe White van Hedonic Software Inc.

  • ImageIO

    Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

    Impact: het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een bufferoverloop bij de verwerking van CCITT Group 4-gecodeerde TIFF-afbeeldingen door libTIFF.

    CVE-ID

    CVE-2011-0192: Apple

  • ImageIO

    Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

    Impact: het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een bufferoverloop bij het verwerken van CCITT Group 4-gecodeerde TIFF-afbeeldingen door ImageIO.

    CVE-ID

    CVE-2011-0241: Cyril CATTIAUX van Tessi Technologies

  • ICU

    Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

    Impact: programma’s die gebruik maken van ICU zijn mogelijk kwetsbaar voor het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een bufferoverloop bij het aanmaken van sorteringssleutels voor lange tekenreeksen met vrijwel allemaal hoofdletters in ICU.

    CVE-ID

    CVE-2011-0206: David Bienvenu van Mozilla

  • Kernel

    Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

    Impact: een externe aanvaller kan ervoor zorgen dat een apparaat opnieuw wordt ingesteld

    Beschrijving: de kernel claimde niet onmiddellijk het geheugen van onvoltooide TCP-verbindingen terug. Een aanvaller met de mogelijkheid om verbinding te maken met een luistervoorziening op een iOS-apparaat kan de systeembronnen uitputten.

    CVE-ID

    CVE-2011-3259: Wouter van der Veer van Topicus I&I, en Josh Enders

  • Kernel

    Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

    Impact: een lokale gebruiker kan ervoor zorgen dat het systeem opnieuw wordt ingesteld

    Beschrijving: er was een null-dereferentie bij de verwerking van IPV6-socketopties.

    CVE-ID

    CVE-2011-1132: Thomas Clement van Intego

  • Toetsenborden

    Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

    Impact: een gebruiker kan informatie over het laatste teken van een wachtwoord verkrijgen

    Beschrijving: het toetsenbord dat is gebruikt om het laatste teken van een wachtwoord te typen, werd even weergegeven de volgende keer dat het toetsenbord werd gebruikt.

    CVE-ID

    CVE-2011-3245: Paul Mousdicas

  • libxml

    Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een heapbufferoverloop van één byte bij de verwerking van XML-gegevens door libxml.

    CVE-ID

    CVE-2011-0216: Billy Rios van het Google Security Team

  • OfficeImport

    Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

    Impact: het bekijken van een kwaadwillig vervaardigd Word-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een bufferoverloop bij de verwerking van Microsoft Word-bestanden in OfficeImport.

    CVE-ID

    CVE-2011-3260: Tobias Klein in samenwerking met Verisign iDefense Labs

  • OfficeImport

    Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

    Impact: het weergeven van een kwaadwillig vervaardigd Excel-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een double free-probleem bij de verwerking van Excel-bestanden in OfficeImport.

    CVE-ID

    CVE-2011-3261: Tobias Klein van www.trapkit.de

  • OfficeImport

    Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

    Impact: het downloaden van een kwaadwillig vervaardigd Microsoft Office-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van Microsoft Office-bestanden in OfficeImport.

    CVE-ID

    CVE-2011-0208: Tobias Klein in samenwerking met iDefense VCP

  • OfficeImport

    Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

    Impact: het downloaden van een kwaadwillig vervaardigd Excel-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van Excel-bestanden in OfficeImport.

    CVE-ID

    CVE-2011-0184: Tobias Klein in samenwerking met iDefense VCP

  • Safari

    Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

    Impact: het openen van kwaadwillig vervaardigde bestanden kan leiden tot een cross-site scriptingaanval

    Beschrijving: iOS ondersteunde de waarde ‘attachment’ voor de HTTP-inhoud-beschikkingskop niet. Deze kop wordt gebruikt door veel websites om bestanden te voorzien die naar de site door een derde zijn geüpload, zoals bijlagen in webgebaseerde e-mailprogramma’s. Een script in bestanden die worden voorzien met deze kop, zou worden uitgevoerd alsof het bestand inline werd voorzien, met volledige toegang tot andere bronnen op de bronserver. Dit probleem wordt verholpen door bijlagen te laden in een afgescheiden beveiligde plaats zonder toegang tot bronnen op andere sites.

    CVE-ID

    CVE-2011-3426: Christian Matthies in samenwerking met iDefense VCP, Yoshinori Oota van Business Architects Inc in samenwerking met JP/CERT

  • Instellingen

    Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

    Impact: een aanvaller met fysieke toegang tot een apparaat kan de toegangscode voor de beperkingen achterhalen

    Beschrijving: de functionaliteit van ouderlijk toezicht legt beperkingen voor de UI (gebruikersinterface) op. De configuratie van ouderlijk toezicht wordt beschermd door een toegangscode die eerder in platte tekst op een schijf is bewaard. Dit probleem wordt verholpen door de veilige opslag van de toegangscode voor ouderlijk toezicht in de sleutelhanger van het systeem.

    CVE-ID

    CVE-2011-3429: een anonieme melder

  • Instellingen

    Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

    Impact: misleidende UI

    Beschrijving: configuraties en instellingen toegepast via configuratieprofielen werkten onder een niet-Engelse taal niet naar behoren. Hierdoor konden instellingen verkeerd worden weergegeven. Dit probleem wordt verholpen door een lokalisatiefout op te lossen.

    CVE-ID

    CVE-2011-3430: Florian Kreitmaier van Siemens CERT

  • UIKit-waarschuwingen

    Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

    Impact: een bezoek aan een kwaadwillige vervaardigde website kan ervoor zorgen dat het apparaat onverwacht blokkeert

    Beschrijving: een te lange tekstlay-out liet kwaadwillig vervaardigde websites toe om iOS te doen blokkeren bij het maken van dialoogvensters voor het accepteren van heel lange tel: URI’s. Dit probleem wordt verholpen door een redelijkere maximale grootte voor URI’s te gebruiken.

    CVE-ID

    CVE-2011-3432: Simon Young van Anglia Ruskin University

  • WebKit

    Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere problemen met geheugenbeschadiging in WebKit.

    CVE-ID

    CVE-2011-0218: SkyLined van Google Chrome Security Team

    CVE-2011-0221: Abhishek Arya (Inferno) van Google Chrome Security Team

    CVE-2011-0222: Nikita Tarakanov en Alex Bazhanyuk van het CISS Research Team en Abhishek Arya (Inferno) van Google Chrome Security Team

    CVE-2011-0225: Abhishek Arya (Inferno) van Google Chrome Security Team

    CVE-2011-0232: J23 in samenwerking met het Zero Day Initiative van TippingPoint

    CVE-2011-0233: wushi van team509 in samenwerking met het Zero Day Initiative van TippingPoint

    CVE-2011-0234: Rob King in samenwerking met het Zero Day Initiative van TippingPoint, wushi van team509 in samenwerking met Zero Day Initiative van TippingPoint

    CVE-2011-0235: Abhishek Arya (Inferno) van Google Chrome Security Team

    CVE-2011-0238: Adam Barth van Google Chrome Security Team

    CVE-2011-0254: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van TippingPoint

    CVE-2011-0255: een anonieme melder in samenwerking met het Zero Day Initiative van TippingPoint

    CVE-2011-0981: Rik Cabanier van Adobe Systems, Inc

    CVE-2011-0983: Martin Barbella

    CVE-2011-1109: Sergey Glazunov

    CVE-2011-1114: Martin Barbella

    CVE-2011-1115: Martin Barbella

    CVE-2011-1117: wushi van team509

    CVE-2011-1121: miaubiz

    CVE-2011-1188: Martin Barbella

    CVE-2011-1203: Sergey Glazunov

    CVE-2011-1204: Sergey Glazunov

    CVE-2011-1288: Andreas Kling van Nokia

    CVE-2011-1293: Sergey Glazunov

    CVE-2011-1296: Sergey Glazunov

    CVE-2011-1449: Marek Majkowski

    CVE-2011-1451: Sergey Glazunov

    CVE-2011-1453: wushi van team509 in samenwerking met het Zero Day Initiative van TippingPoint

    CVE-2011-1457: John Knottenbelt van Google

    CVE-2011-1462: wushi van team509

    CVE-2011-1797: wushi van team509

    CVE-2011-2338: Abhishek Arya (Inferno) van Google Chrome Security Team met behulp van AddressSanitizer

    CVE-2011-2339: Cris Neckar van het Google Chrome Security Team

    CVE-2011-2341: wushi van team509 in samenwerking met Verisign iDefense Labs

    CVE-2011-2351: miaubiz

    CVE-2011-2352: Apple

    CVE-2011-2354: Apple

    CVE-2011-2356: Adam Barth en Abhishek Arya van Google Chrome Security Team met behulp van AddressSanitizer

    CVE-2011-2359: miaubiz

    CVE-2011-2788: Mikolaj Malecki van Samsung

    CVE-2011-2790: miaubiz

    CVE-2011-2792: miaubiz

    CVE-2011-2797: miaubiz

    CVE-2011-2799: miaubiz

    CVE-2011-2809: Abhishek Arya (Inferno) van Google Chrome Security Team

    CVE-2011-2813: Cris Neckar van Google Chrome Security Team met behulp van AddressSanitizer

    CVE-2011-2814: Abhishek Arya (Inferno) van Google Chrome Security Team met behulp van AddressSanitizer

    CVE-2011-2816: Apple

    CVE-2011-2817: Abhishek Arya (Inferno) van Google Chrome Security Team met behulp van AddressSanitizer

    CVE-2011-2818: Martin Barbella

    CVE-2011-2820: Raman Tenneti en Philip Rogers van Google

    CVE-2011-2823: SkyLined van Google Chrome Security Team

    CVE-2011-2827: miaubiz

    CVE-2011-2831: Abhishek Arya (Inferno) van Google Chrome Security Team met behulp van AddressSanitizer

    CVE-2011-3232: Aki Helin van OUSPG

    CVE-2011-3234: miaubiz

    CVE-2011-3235: Dimitri Glazkov, Kent Tamura, Dominic Cooney van de Chromium development community en Abhishek Arya (Inferno) van Google Chrome Security Team

    CVE-2011-3236: Abhishek Arya (Inferno) van Google Chrome Security Team met behulp van AddressSanitizer

    CVE-2011-3237: Dimitri Glazkov, Kent Tamura, Dominic Cooney van de Chromium development community en Abhishek Arya (Inferno) van Google Chrome Security Team

    CVE-2011-3244: vkouchna

  • WebKit

    Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot een cross-site scripting-aanval

    Beschrijving: er was een ‘cross-origin’-probleem bij de verwerking van URL’s met een ingebedde gebruikersnaam. Dit probleem wordt verholpen door een verbeterde verwerking van URL’s met een ingebedde gebruikersnaam.

    CVE-ID

    CVE-2011-0242: Jobert Abma van Online24

  • WebKit

    Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot een cross-site scripting-aanval

    Beschrijving: er was een ‘cross-origin’-probleem bij de verwerking van DOM-nodes.

    CVE-ID

    CVE-2011-1295: Sergey Glazunov

  • WebKit

    Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

    Impact: een kwaadwillig vervaardigde website kan ervoor zorgen dat een andere URL wordt weergegeven in de adresbalk

    Beschrijving: er was een probleem met vervalsing van URL’s bij de verwerking van het DOM-geschiedenisobject.

    CVE-ID

    CVE-2011-1107: Jordi Chancel

  • WebKit

    Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: er was een configuratieprobleem bij het gebruik van libxslt in WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan ervoor zorgen dat willekeurige bestanden worden aangemaakt die de bevoegdheden van de gebruiker hebben, waardoor het uitvoeren van willekeurige code mogelijk is. Dit probleem wordt verholpen door verbeterde beveiligingsinstellingen voor libxslt.

    CVE-ID

    CVE-2011-1774: Nicolas Gregoire van Agarri

  • WebKit

    Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

    Impact: een bezoek aan een kwaadwillige website en informatie slepen in de pagina kan leiden tot het vrijgeven van informatie

    Beschrijving: er was een ‘cross-origin’-probleem bij de verwerking van HTML5 slepen door WebKit. Dit probleem wordt verholpen door slepen over verschillende origins niet toe te staan.

    CVE-ID

    CVE-2011-0166: Michal Zalewski van Google Inc.

  • WebKit

    Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot de vrijgave van informatie

    Beschrijving: er was een ‘cross-origin’-probleem bij de verwerking van Web Workers.

    CVE-ID

    CVE-2011-1190: Daniel Divricean van divricean.ro

  • WebKit

    Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot een cross-site scripting-aanval

    Beschrijving: er was een ‘cross-origin’-probleem bij de verwerking van de methode window.open.

    CVE-ID

    CVE-2011-2805: Sergey Glazunov

  • WebKit

    Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot een cross-site scripting-aanval

    Beschrijving: er was een ‘cross-origin’-probleem bij de verwerking van inactieve DOM-vensters.

    CVE-ID

    CVE-2011-3243: Sergey Glazunov

  • WebKit

    Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot een cross-site scripting-aanval

    Beschrijving: er was een ‘cross-origin’-probleem bij de verwerking van het kenmerk document.documentURI.

    CVE-ID

    CVE-2011-2819: Sergey Glazunov

  • WebKit

    Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

    Impact: een kwaadwillig vervaardigde website kan URL’s bijhouden die een gebruiker bezoekt in een frame

    Beschrijving: er was een ‘cross-origin’-probleem bij de verwerking van de gebeurtenis beforeload.

    CVE-ID

    CVE-2011-2800: Juho Nurminen

  • Wifi

    Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en nieuwer, iOS 3.2 t/m 4.3.5 voor iPad

    Impact: de inloggegevens voor wifi worden mogelijk bijgehouden in een lokaal bestand

    Beschrijving: de inloggegevens voor wifi, inclusief de wachtzin en encryptiesleutels, werden bijgehouden in een bestand dat leesbaar was voor programma's op het systeem. Dit wordt verholpen door deze inloggegevens niet langer bij te houden.

    CVE-ID

    CVE-2011-3434: Laurent OUDOT van TEHTRI Security

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: