Informatie over de beveiligingsinhoud van de iPhone 1.1.1-update
In dit document wordt de beveiligingsinhoud van de iPhone v1.1.1-update beschreven.
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.
Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.
Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.
Zie Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.
iPhone v1.1.1-update
Bluetooth
CVE-ID: CVE-2007-3753
Impact: Een aanvaller binnen Bluetooth-bereik kan het onverwacht beëindigen van een programma of het uitvoeren van willekeurige code veroorzaken.
Beschrijving: Er is een probleem opgetreden met de invoervalidatie in de Bluetooth-server van de iPhone. Door kwaadwillig vervaardigde SDP-pakketten (Service Discovery Protocol) te verzenden naar een iPhone met Bluetooth ingeschakeld, kan een aanvaller het probleem veroorzaken dat kan leiden tot het onverwacht beëindigen van de toepassing of het uitvoeren van willekeurige code. Deze update lost het probleem op door aanvullende validatie van SDP-pakketten uit te voeren. Met dank aan Kevin Mahaffey en John Hering van Flexilis Mobile Security voor het melden van dit probleem.
CVE-ID: CVE-2007-3754
Impact: Het controleren van e-mail via niet-vertrouwde netwerken kan leiden tot het vrijgeven van informatie via een man-in-the-middle-aanval.
Beschrijving: Wanneer Mail is geconfigureerd om SSL te gebruiken voor inkomende en uitgaande verbindingen, wordt de gebruiker niet gewaarschuwd wanneer de identiteit van de mailserver is gewijzigd of niet kan worden vertrouwd. Een aanvaller die de verbinding kan onderscheppen, kan mogelijk de e-mailserver van de gebruiker imiteren en de e-mailreferenties of andere gevoelige informatie van de gebruiker verkrijgen. Deze update lost het probleem op door op de juiste manier te waarschuwen wanneer de identiteit van de externe mailserver is gewijzigd.
CVE-ID: CVE-2007-3755
Impact: Na het klikken op een telefoonlink ('tel:') in Mail wordt een telefoonnummer gebeld zonder bevestiging.
Beschrijving: Mail ondersteunt telefoonlinks ('tel:') om telefoonnummers te kiezen. Door een gebruiker te verleiden om op een telefoonlink in een e-mailbericht te klikken, kan een aanvaller ervoor zorgen dat iPhone een telefoongesprek start zonder gebruikersbevestiging. Deze update lost het probleem op door een bevestigingsvenster te tonen voordat je een telefoonnummer belt via een telefoonlink in Mail. Met dank aan Andi Baritchi van McAfee voor het melden van dit probleem.
Safari
CVE-ID: CVE-2007-3756
Impact: Het bezoeken van een schadelijke website kan leiden tot het vrijgeven van URL-inhoud.
Beschrijving: Een ontwerpprobleem in Safari zorgt ervoor dat een webpagina de URL kan lezen die momenteel wordt weergegeven in het bovenliggende venster. Door een gebruiker te verleiden om een kwaadwillig vervaardigde webpagina te bezoeken, kan een aanvaller mogelijk de URL van een niet-gerelateerde pagina verkrijgen. Deze update lost het probleem op door een verbeterde beveiligingscontrole voor verschillende domeinen toe te voegen. Met dank aan Michal Zalewski van Google Inc. en Secunia Research voor het melden van dit probleem.
Safari
CVE-ID: CVE-2007-3757
Impact: Het bezoeken van een schadelijk website kan leiden tot onbedoeld bellen of een ander nummer kiezen dan verwacht.
Beschrijving: Safari ondersteunt telefoonlinks ('tel:') om telefoonnummers te bellen. Wanneer een telefoonlink is geselecteerd, bevestigt Safari dat het nummer moet worden gekozen. Een kwaadwillig vervaardigde telefoonlink kan ertoe leiden dat er tijdens de bevestiging een ander nummer wordt weergegeven dan het nummer dat daadwerkelijk is gekozen. Het afsluiten van Safari tijdens het bevestigingsproces kan leiden tot onbedoelde bevestiging. Deze update lost het probleem op door het nummer dat wordt gekozen correct weer te geven en bevestiging voor telefoonlinks te vereisen. Met dank aan Billy Hoffman en Bryan Sullivan van HP Security Labs (voorheen SPI Labs) en Eduardo Tang voor het melden van dit probleem.
Safari
CVE-ID: CVE-2007-3758
Impact: Het bezoeken van een schadelijke website kan leiden tot cross-site scripting.
Beschrijving: Er bestaat een cross-site scripting-kwetsbaarheid in Safari waarmee schadelijke websites JavaScript-venstereigenschappen kunnen instellen van websites uit een ander domein. Door een gebruiker te verleiden tot een bezoek aan een kwaadwillig vervaardigde website, kan een aanvaller het probleem veroorzaken waardoor de vensterstatus en locatie van pagina’s van andere websites worden gehaald of ingesteld. Deze update lost het probleem op door verbeterde toegangscontroles voor deze eigenschappen te bieden. Met dank aan Michal Zalewski van Google Inc. voor het melden van dit probleem.
Safari
CVE-ID: CVE-2007-3759
Impact: Het uitschakelen van JavaScript wordt pas van kracht nadat Safari opnieuw is opgestart.
Beschrijving: Safari kan worden geconfigureerd om JavaScript in of uit te schakelen. Deze voorkeur wordt pas van kracht wanneer Safari de volgende keer opnieuw wordt opgestart. Dit gebeurt meestal wanneer de iPhone opnieuw wordt opgestart. Hierdoor kunnen gebruikers denken dat JavaScript is uitgeschakeld terwijl dat niet het geval is. Deze update lost het probleem op door de nieuwe voorkeur toe te passen voordat nieuwe webpagina’s worden geladen.
Safari
CVE-ID: CVE-2007-3760
Impact: Het bezoeken van een schadelijke website kan leiden tot cross-site scripting.
Beschrijving: Een cross-site scripting-probleem in Safari kan ervoor zorgen dat een kwaadwillig vervaardigde website het beleid van dezelfde oorsprong omzeilt met behulp van frametags. Door een gebruiker te leiden tot een kwaadwillig vervaardigde webpagina, kan een aanvaller het probleem veroorzaken dat kan leiden tot het uitvoeren van JavaScript in de context van een andere website. Deze update lost het probleem op door JavaScript niet toe te staan als iframe-bron en JavaScript in frametags te beperken tot dezelfde toegang als de site waar deze is gebruikt. Met dank aan Michal Zalewski van Google Inc. en Secunia Research voor het melden van dit probleem.
Safari
CVE-ID: CVE-2007-3761
Impact: Het bezoeken van een schadelijke website kan leiden tot cross-site scripting.
Beschrijving: Een cross-site scripting-probleem in Safari zorgt ervoor dat JavaScript-gebeurtenissen worden gekoppeld aan het verkeerde frame. Door een gebruiker ertoe te verleiden een kwaadwillig vervaardigde webpagina te bezoeken, kan een aanvaller ervoor zorgen dat JavaScript wordt uitgevoerd in de context van een andere website. Deze update lost het probleem op door JavaScript-gebeurtenissen te koppelen aan het juiste bronframe.
Safari
CVE-ID: CVE-2007-4671
Impact: JavaScript op websites kan toegang krijgen tot de inhoud van documenten die via HTTPS worden aangeboden of deze manipuleren.
Beschrijving: Een probleem in Safari zorgt ervoor dat content die via HTTP wordt aangeboden in hetzelfde domein inhoud wijzigt of er toegang toe krijgt. Door een gebruiker ertoe te verleiden een kwaadwillig vervaardigde webpagina te bezoeken, kan een aanvaller ervoor zorgen dat JavaScript wordt uitgevoerd in de context van HTTPS-webpagina’s in dat domein. Deze update lost het probleem op door de toegang te beperken tussen het uitvoeren van JavaScript in HTTP- en HTTPS-frames. Met dank aan Keigo Yamazaki van LAC Co., Ltd. (Little eArth Corporation Co., Ltd.) voor het melden van dit probleem.
Opmerking over installatie:
Deze update is alleen beschikbaar via iTunes en wordt niet weergegeven in de software-updatetoepassing van je computer of op de website Apple Downloads. Zorg ervoor dat je een internetverbinding hebt en dat je de nieuwste versie van iTunes hebt geïnstalleerd vanaf www.apple.com/itunes.
iTunes controleert de updateserver van Apple automatisch volgens het wekelijkse schema. Wanneer een update wordt gedetecteerd, wordt deze gedownload. Wanneer de iPhone is gekoppeld, geeft iTunes de gebruiker de optie om de update te installeren. We raden je aan de update zo mogelijk onmiddellijk toe te passen. Als je ‘Niet installeren’ selecteert, wordt de optie weergegeven wanneer je de volgende keer verbinding maakt met je iPhone.
Het automatische updateproces kan tot een week duren, afhankelijk van de dag dat iTunes controleert op updates. Je kunt de update handmatig verkrijgen via de knop ‘Op updates controleren’ in iTunes. Hierna kan de update worden toegepast wanneer de iPhone is gekoppeld aan je computer.
Controleer als volgt of de iPhone is bijgewerkt:
Ga naar Instellingen
Klik op Algemeen
Kies Info. De versie na het toepassen van deze update is 1.1.1 (3A109a).