Over de beveiligingsinhoud van de iPhone 1.1.1 Update

In dit artikel wordt de beveiligingsinhoud van de iPhone v1.1.1 Update beschreven.

Ter bescherming van onze klanten worden er geen beveiligingskwesties openbaar gemaakt, besproken of bevestigd totdat er een volledig onderzoek heeft plaatsgevonden en de benodigde patches of versies beschikbaar zijn. Om meer te weten te komen over Apple's productbeveiliging, gaat u naar de website Apple productbeveiliging.

Voor informatie over de Apple PGP-sleutel voor productbeveiliging, raadpleegt u "Zo gebruikt u de Apple PGP-sleutel voor productbeveiliging".

Indien mogelijk worden er voor verdere informatie CVE-ID's gebruikt voor verwijzing naar deze kwetsbaarheden.

Om meer te lezen over andere beveiligingsupdates, gaat u naar "Apple beveiligingsupdates".

 

iPhone v1.1.1 Update

  • Bluetooth

    CVE-ID: CVE-2007-3753

    Effect: Aanvallers binnen Bluetooth-bereik kan het onverwacht afsluiten van het programma of uitvoering van willekeurige code veroorzaken.

    Omschrijving: Er bestaat een probleem met de validatie van invoer in de Bluetooth-server van iPhone. Door een kwaadwillig vervaardigd Service Discovery Protocol (SDP) pakket te sturen naar een Bluetooth-enabled iPhone, kan een aanvaller het probleem activeren, wat kan leiden tot het onverwacht afsluiten van een programma of de uitvoering van willekeurige code. Deze update verhelpt dit probleem door extra validatie van SDP-packets uit te voeren Dank aan Kevin Mahaffey en John Hering van Flexilis Mobile Security voor het melden van deze kwestie.

  • Mail

    CVE-ID: CVE-2007-3754

    Effect: Het bekijken van de e-mail via onbetrouwbare netwerken kan leiden tot openbaarmaking van informatie via een 'man-in-the-middle' aanval

    Omschrijving: Als Mail geconfigureerd is voor SSL-gebruik voor inkomende en uitgaande verbindingen, wordt er geen waarschuwing gegeven aan de gebruiker als de identiteit van de mailserver veranderd is of niet te vertrouwen is. Een aanvaller die in staat is de verbinding te onderscheppen zou de mailserver van de gebruiker kunnen imiteren en de legitimatiegegevens voor e-mail en andere vertrouwelijke informatie van de gebruiker kunnen verkrijgen Deze update verhelpt dit probleem door naar behoren te waarschuwen als de identiteit van de externe mailserver veranderd is.

  • Mail

    CVE-ID: CVE-2007-3755

    Effect: Na een koppeling ("tel:") in Mail wordt een telefoonnummer zonder bevestiging gebeld

    Omschrijving: Mail ondersteunt telefoon ("tel:") koppelingen om telefoonnummers te draaien. Door een gebruiker te verleiden een telefoonkoppeling in een e-mailbericht te volgen, kan een aanvaller iPhone een gesprek laten voeren zonder bevestiging van de gebruiker. Deze update verhelpt dit probleem door een bevestigingsvenster weer te geven voordat een nummer gebeld wordt via de telefoonkoppeling in Mail. Dank aan Andi Baritchi van McAfee voor het melden van deze kwestie.

  • Safari

    CVE-ID: CVE-2007-3756

    Effect: Het bezoeken van een kwaadaardige website kan leiden tot het openbaar maken van URL-inhoud

    Omschrijving: Een ontwerpprobleem in Safari maakt het voor een webpagina mogelijk om de URL te lezen die op dit moment wordt bekeken in het hoofdvenster. Door een gebruiker te verleiden een kwaadwillig vervaardigde webpagina te bezoeken, kan een aanvaller mogelijk een URL van een ongerelateerde pagina verkrijgen. Deze update verhelp dit probleem via een verbeterde beveiligingscontrole van domeinen. Met dan aan Michal Zalewski van Google Inc. en Secunia Research voor het melden van deze kwestie.

  • Safari

    CVE-ID: CVE-2007-3757

    Effect: Het bezoeken van een kwaadaardige website kan leiden tot onbedoeld draaien van een nummer of het draaien van een ander nummer dan verwacht

    Omschrijving: Safari ondersteunt telefoon ("tel:") koppelingen om telefoonnummers te draaien. Als een telefoonkoppeling wordt geselecteerd, bevestigt Safari dat dit nummer gedraaid moet worden. Een kwaadwillig vervaardigde telefoonkoppeling kan ervoor zorgen dat een andere nummer wordt afgebeeld tijdens de bevestiging dan het nummer dat daadwerkelijk gedraaid wordt. Safari afsluiten tijdens het bevestigingsproces kan onbedoelde bevestiging tot gevolg hebben. Deze update verhelpt dit probleem door het nummer dat gebeld gaat worden juist weer te geven en bevestiging voor telefoonkoppelingen verplicht te stellen. Dank aan Billy Hoffman en Bryan Sullivan van HP Security Labs (voorheen SPI Labs) en Eduardo Tang voor het melden van deze kwestie.

  • Safari

    CVE-ID: CVE-2007-3758

    Effect: Het bezoeken van een kwaadaardige website kan leiden tot cross-site scripting

    Omschrijving: Er bestaat een cross-site kwetsbaarheid in Safari waardoor kwaadwillige websites JavaScript-venstereigenschappen instellen van websites die vanuit een andere domein worden bediend. Door een gebruiker te verleiden een kwaadwillig vervaardigde website te bezoeken, kan een aanvaller het probleem activeren, wat kan leiden tot het krijgen van of instellen van de vensterstatus en locatie van pagina's die bediend worden vanaf andere websites. Deze update verhelpt dit probleem door een verbeterde toegangscontrole op deze eigenschappen uit te voeren. Dank aan Michal Zalewski van Google Inc. voor het melden van deze kwestie.

  • Safari

    CVE-ID: CVE-2007-3759

    Effect: Deactiveren van JavaScript treedt niet in werking tot Safari opnieuw wordt opgestart

    Omschrijving: Safari kan zo geconfigureerd dat JavaScript geactiveerd of gedeactiveerd wordt. Deze voorkeur treedt pas in werking als Safari opnieuw wordt opgestart. Dit gebeurt normaliter wanneer de iPhone opnieuw wordt gestart. Hierdoor kunnen gebruikers denken dat JavaScript niet actief is, terwijl dit wel het geval is. Deze update verhelpt dit probleem door de nieuwe voorkeur toe te passen voordat er nieuwe webpagina's geladen worden.

  • Safari

    CVE-ID: CVE-2007-3760

    Effect: Het bezoeken van een kwaadaardige website kan leiden tot cross-site scripting

    Omschrijving: Door een cross-site scripting probleem in Safari kan een kwaadwillig vervaardigde website het beleid voor dezelfde oorsprong (same policy) omzeilen met behulp van "frame" tags. Door een gebruiker te verleiden een kwaadwillig vervaardigde webpagina te bezoeken, kan een aanvaller het probleem activeren, wat kan leiden tot uitvoeren van JavaScript in de context van een andere site. Deze update verhelpt het probleem door JavaScript niet toe te staan als "iframe" bron en JavaScript in frame tags te beperken tot dezelfde toegang als de site waarvan het werd geleverd. Met dan aan Michal Zalewski van Google Inc. en Secunia Research voor het melden van deze kwestie.

  • Safari

    CVE-ID: CVE-2007-3761

    Effect: Het bezoeken van een kwaadaardige website kan leiden tot cross-site scripting

    Omschrijving: Door een cross-site scripting probleem in Safari kunnen JavaScript-gebeurtenissen met het verkeerde frame geassocieerd worden. Door een gebruiker te verleiden een kwaadwillig vervaardigde webpagina te bezoeken, kan een aanvaller het uitvoeren van JavaScript veroorzaken in de context van een andere site. Deze update verhelpt dit probleem door JavaScript-gebeurtenissen te verbinden met de juiste source frame.

  • Safari

    CVE-ID: CVE-2007-4671

    Effect: JavaScript op websites kan toegang krijgen tot de inhoud van documenten die via HTTPS aangeboden worden of deze manipuleren

    Omschrijving: Door een probleem in Safari kan de content die wordt aangeboden via HTTP de content die aangeboden wordt via HTTPS in hetzelfde domein wijzigen of benaderen. Door een gebruiker te verleiden een kwaadwillig vervaardigde webpagina te bezoeken, kan een aanvaller het uitvoeren van JavaScript veroorzaken in de context van HTTPS-webpagina's in dat domein. Deze update verhelpt dit probleem door toegang te beperken tussen uitvoering van JavaScript in HTTP en HTTPS-frames. Dank aan Keigo Yamazaki van LAC Co., Ltd. (Little eArth Corporation Co., Ltd.) voor het melden van deze kwestie.

Opmerking over installatie:

Deze update is alleen beschikbaar via iTunes en verschijnt niet in de toepassing Software Update of de website Apple Downloads. Zorg dat u een internetverbinding hebt en dat de nieuwste versie van iTunes geïnstalleerd is van www.apple.com/nl/itunes

iTunes controleert iedere week automatisch de update-server van Apple. Als er een update wordt aangetroffen wordt deze gedownload. Wanneer de iPhone gedocked is, geeft iTunes de gebruiker de optie op de update te installeren. Wij raden aan om indien mogelijk de update meteen toe te passen. Als u "Niet installeren (Don't Install)" kiest, wordt deze optie de volgende keer dat u uw iPhone koppelt weer aangeboden.

Het automatisch update-process kan een week duren, afhankelijk van de dag waarop iTunes op updates controleert. U kunt de update handmatig krijgen met de knop "Zoek naar nieuwe versies (Check for Update)" in iTunes. Hierna kan de update worden toegepast wanneer uw iPhone aan uw computer gekoppeld is.

Om te controleren dat u de nieuwste versie van iPhone hebt doet u het volgende:

  1. Ga naar Instellingen (Settings)
  2. Klik op Algemeen (General)
  3. Klik op Over (About). De versie na het toepassen van deze update is "1.1.1 (3A109a)"
Publicatiedatum: