iPhone v1.1.1 Update
-
Bluetooth
CVE-ID: CVE-2007-3753
Effect: Aanvallers binnen Bluetooth-bereik kan het onverwacht afsluiten van het programma of uitvoering van willekeurige code veroorzaken.
Omschrijving: Er bestaat een probleem met de validatie van invoer in de Bluetooth-server van iPhone. Door een kwaadwillig vervaardigd Service Discovery Protocol (SDP) pakket te sturen naar een Bluetooth-enabled iPhone, kan een aanvaller het probleem activeren, wat kan leiden tot het onverwacht afsluiten van een programma of de uitvoering van willekeurige code. Deze update verhelpt dit probleem door extra validatie van SDP-packets uit te voeren Dank aan Kevin Mahaffey en John Hering van Flexilis Mobile Security voor het melden van deze kwestie.
-
Mail
CVE-ID: CVE-2007-3754
Effect: Het bekijken van de e-mail via onbetrouwbare netwerken kan leiden tot openbaarmaking van informatie via een 'man-in-the-middle' aanval
Omschrijving: Als Mail geconfigureerd is voor SSL-gebruik voor inkomende en uitgaande verbindingen, wordt er geen waarschuwing gegeven aan de gebruiker als de identiteit van de mailserver veranderd is of niet te vertrouwen is. Een aanvaller die in staat is de verbinding te onderscheppen zou de mailserver van de gebruiker kunnen imiteren en de legitimatiegegevens voor e-mail en andere vertrouwelijke informatie van de gebruiker kunnen verkrijgen Deze update verhelpt dit probleem door naar behoren te waarschuwen als de identiteit van de externe mailserver veranderd is.
-
Mail
CVE-ID: CVE-2007-3755
Effect: Na een koppeling ("tel:") in Mail wordt een telefoonnummer zonder bevestiging gebeld
Omschrijving: Mail ondersteunt telefoon ("tel:") koppelingen om telefoonnummers te draaien. Door een gebruiker te verleiden een telefoonkoppeling in een e-mailbericht te volgen, kan een aanvaller iPhone een gesprek laten voeren zonder bevestiging van de gebruiker. Deze update verhelpt dit probleem door een bevestigingsvenster weer te geven voordat een nummer gebeld wordt via de telefoonkoppeling in Mail. Dank aan Andi Baritchi van McAfee voor het melden van deze kwestie.
-
Safari
CVE-ID: CVE-2007-3756
Effect: Het bezoeken van een kwaadaardige website kan leiden tot het openbaar maken van URL-inhoud
Omschrijving: Een ontwerpprobleem in Safari maakt het voor een webpagina mogelijk om de URL te lezen die op dit moment wordt bekeken in het hoofdvenster. Door een gebruiker te verleiden een kwaadwillig vervaardigde webpagina te bezoeken, kan een aanvaller mogelijk een URL van een ongerelateerde pagina verkrijgen. Deze update verhelp dit probleem via een verbeterde beveiligingscontrole van domeinen. Met dan aan Michal Zalewski van Google Inc. en Secunia Research voor het melden van deze kwestie.
-
Safari
CVE-ID: CVE-2007-3757
Effect: Het bezoeken van een kwaadaardige website kan leiden tot onbedoeld draaien van een nummer of het draaien van een ander nummer dan verwacht
Omschrijving: Safari ondersteunt telefoon ("tel:") koppelingen om telefoonnummers te draaien. Als een telefoonkoppeling wordt geselecteerd, bevestigt Safari dat dit nummer gedraaid moet worden. Een kwaadwillig vervaardigde telefoonkoppeling kan ervoor zorgen dat een andere nummer wordt afgebeeld tijdens de bevestiging dan het nummer dat daadwerkelijk gedraaid wordt. Safari afsluiten tijdens het bevestigingsproces kan onbedoelde bevestiging tot gevolg hebben. Deze update verhelpt dit probleem door het nummer dat gebeld gaat worden juist weer te geven en bevestiging voor telefoonkoppelingen verplicht te stellen. Dank aan Billy Hoffman en Bryan Sullivan van HP Security Labs (voorheen SPI Labs) en Eduardo Tang voor het melden van deze kwestie.
-
Safari
CVE-ID: CVE-2007-3758
Effect: Het bezoeken van een kwaadaardige website kan leiden tot cross-site scripting
Omschrijving: Er bestaat een cross-site kwetsbaarheid in Safari waardoor kwaadwillige websites JavaScript-venstereigenschappen instellen van websites die vanuit een andere domein worden bediend. Door een gebruiker te verleiden een kwaadwillig vervaardigde website te bezoeken, kan een aanvaller het probleem activeren, wat kan leiden tot het krijgen van of instellen van de vensterstatus en locatie van pagina's die bediend worden vanaf andere websites. Deze update verhelpt dit probleem door een verbeterde toegangscontrole op deze eigenschappen uit te voeren. Dank aan Michal Zalewski van Google Inc. voor het melden van deze kwestie.
-
Safari
CVE-ID: CVE-2007-3759
Effect: Deactiveren van JavaScript treedt niet in werking tot Safari opnieuw wordt opgestart
Omschrijving: Safari kan zo geconfigureerd dat JavaScript geactiveerd of gedeactiveerd wordt. Deze voorkeur treedt pas in werking als Safari opnieuw wordt opgestart. Dit gebeurt normaliter wanneer de iPhone opnieuw wordt gestart. Hierdoor kunnen gebruikers denken dat JavaScript niet actief is, terwijl dit wel het geval is. Deze update verhelpt dit probleem door de nieuwe voorkeur toe te passen voordat er nieuwe webpagina's geladen worden.
-
Safari
CVE-ID: CVE-2007-3760
Effect: Het bezoeken van een kwaadaardige website kan leiden tot cross-site scripting
Omschrijving: Door een cross-site scripting probleem in Safari kan een kwaadwillig vervaardigde website het beleid voor dezelfde oorsprong (same policy) omzeilen met behulp van "frame" tags. Door een gebruiker te verleiden een kwaadwillig vervaardigde webpagina te bezoeken, kan een aanvaller het probleem activeren, wat kan leiden tot uitvoeren van JavaScript in de context van een andere site. Deze update verhelpt het probleem door JavaScript niet toe te staan als "iframe" bron en JavaScript in frame tags te beperken tot dezelfde toegang als de site waarvan het werd geleverd. Met dan aan Michal Zalewski van Google Inc. en Secunia Research voor het melden van deze kwestie.
-
Safari
CVE-ID: CVE-2007-3761
Effect: Het bezoeken van een kwaadaardige website kan leiden tot cross-site scripting
Omschrijving: Door een cross-site scripting probleem in Safari kunnen JavaScript-gebeurtenissen met het verkeerde frame geassocieerd worden. Door een gebruiker te verleiden een kwaadwillig vervaardigde webpagina te bezoeken, kan een aanvaller het uitvoeren van JavaScript veroorzaken in de context van een andere site. Deze update verhelpt dit probleem door JavaScript-gebeurtenissen te verbinden met de juiste source frame.
-
Safari
CVE-ID: CVE-2007-4671
Effect: JavaScript op websites kan toegang krijgen tot de inhoud van documenten die via HTTPS aangeboden worden of deze manipuleren
Omschrijving: Door een probleem in Safari kan de content die wordt aangeboden via HTTP de content die aangeboden wordt via HTTPS in hetzelfde domein wijzigen of benaderen. Door een gebruiker te verleiden een kwaadwillig vervaardigde webpagina te bezoeken, kan een aanvaller het uitvoeren van JavaScript veroorzaken in de context van HTTPS-webpagina's in dat domein. Deze update verhelpt dit probleem door toegang te beperken tussen uitvoering van JavaScript in HTTP en HTTPS-frames. Dank aan Keigo Yamazaki van LAC Co., Ltd. (Little eArth Corporation Co., Ltd.) voor het melden van deze kwestie.
Opmerking over installatie:
Deze update is alleen beschikbaar via iTunes en verschijnt niet in de toepassing Software Update of de website Apple Downloads. Zorg dat u een internetverbinding hebt en dat de nieuwste versie van iTunes geïnstalleerd is van www.apple.com/nl/itunes
iTunes controleert iedere week automatisch de update-server van Apple. Als er een update wordt aangetroffen wordt deze gedownload. Wanneer de iPhone gedocked is, geeft iTunes de gebruiker de optie op de update te installeren. Wij raden aan om indien mogelijk de update meteen toe te passen. Als u "Niet installeren (Don't Install)" kiest, wordt deze optie de volgende keer dat u uw iPhone koppelt weer aangeboden.
Het automatisch update-process kan een week duren, afhankelijk van de dag waarop iTunes op updates controleert. U kunt de update handmatig krijgen met de knop "Zoek naar nieuwe versies (Check for Update)" in iTunes. Hierna kan de update worden toegepast wanneer uw iPhone aan uw computer gekoppeld is.
Om te controleren dat u de nieuwste versie van iPhone hebt doet u het volgende:
- Ga naar Instellingen (Settings)
- Klik op Algemeen (General)
- Klik op Over (About). De versie na het toepassen van deze update is "1.1.1 (3A109a)"