Over de beveiligingsinhoud van iOS 6
Lees hier meer over de beveiligingsinhoud van iOS 6.
iOS 6 kan worden gedownload en geïnstalleerd via iTunes.
In dit artikel wordt de beveiligingsinhoud van iOS 6 beschreven.
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple productbeveiliging voor meer informatie over Apple-productbeveiliging.
Raadpleeg ‘Hoe gebruikt u de Apple Product Security PGP-sleutel’ voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.
Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.
Raadpleeg ‘Apple-beveiligingsupdates’ voor meer informatie over andere beveiligingsupdates.
iOS 6
CFNetwork
Beschikbaar voor: iPhone 3GS en hoger, iPod touch (4e generatie) en hoger, iPad 2 en hoger
Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het vrijgeven van vertrouwelijke informatie
Beschrijving: er was een probleem bij de verwerking van onjuist gevormde URL’s in CFNetwork. CFNetwork kan verzoeken versturen naar een onjuiste hostnaam waardoor vertrouwelijke informatie wordt vrijgegeven. Dit probleem is verholpen door een verbeterde verwerking van URL’s.
CVE-ID
CVE-2012-3724: Erling Ellingsen van Facebook
CoreGraphics
Beschikbaar voor: iPhone 3GS en hoger, iPod touch (4e generatie) en hoger, iPad 2 en hoger
Impact: meerdere kwetsbaarheden in FreeType
Beschrijving: er waren meerdere kwetsbaarheden in FreeType waarvan de ernstigste konden leiden tot het uitvoeren van willekeurige code bij de verwerking van een kwaadwillig vervaardigd lettertype. Deze problemen zijn verholpen door FreeType bij te werken naar versie 2.4.9. Meer informatie is beschikbaar via de FreeType-website op http://www.freetype.org/.
CVE-ID
CVE-2012-1126
CVE-2012-1127
CVE-2012-1128
CVE-2012-1129
CVE-2012-1130
CVE-2012-1131
CVE-2012-1132
CVE-2012-1133
CVE-2012-1134
CVE-2012-1135
CVE-2012-1136
CVE-2012-1137
CVE-2012-1138
CVE-2012-1139
CVE-2012-1140
CVE-2012-1141
CVE-2012-1142
CVE-2012-1143
CVE-2012-1144
CoreMedia
Beschikbaar voor: iPhone 3GS en hoger, iPod touch (4e generatie) en hoger, iPad 2 en hoger
Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een probleem met een niet-geïnitialiseerde geheugentoegang bij de verwerking van Sorenson-gecodeerde filmbestanden. Dit probleem is verholpen door een verbeterde geheugeninitialisatie.
CVE-ID
CVE-2012-3722: Will Dormann van de CERT/CC
DHCP
Beschikbaar voor: iPhone 3GS en hoger, iPod touch (4e generatie) en hoger, iPad 2 en hoger
Impact: een kwaadaardig Wi-Fi-netwerk kan bepalen met welke netwerken een apparaat eerder was verbonden
Beschrijving: bij de verbinding met een Wi-Fi-netwerk kan iOS MAC-adressen van eerder verbonden netwerken uitzenden via het DNAv4-protocol. Dit probleem is verholpen door DNAv4 in niet-gecodeerde Wi-Fi-netwerken uit te schakelen.
CVE-ID
CVE-2012-3725: Mark Wuergler van Immunity, Inc.
ImageIO
Beschikbaar voor: iPhone 3GS en hoger, iPod touch (4e generatie) en hoger, iPad 2 en hoger
Impact: het bekijken van een kwaadwillig vervaardigd TIFF-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een bufferoverloop bij de verwerking van ThunderScan-gecodeerde TIFF-afbeeldingen door libtiff. Dit probleem is verholpen door libtiff bij te werken naar versie 3.9.5.
CVE-ID
CVE-2011-1167
ImageIO
Beschikbaar voor: iPhone 3GS en hoger, iPod touch (4e generatie) en hoger, iPad 2 en hoger
Impact: het bekijken van een kwaadwillig vervaardigde PNG-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er waren meerdere problemen met geheugenbeschadiging bij de verwerking van PNG-afbeeldingen door libpng. Deze problemen zijn verholpen door een verbeterde validatie van PNG-afbeeldingen.
CVE-ID
CVE-2011-3026: Jüri Aedla
CVE-2011-3048
CVE-2011-3328
ImageIO
Beschikbaar voor: iPhone 3GS en hoger, iPod touch (4e generatie) en hoger, iPad 2 en hoger
Impact: het bekijken van een kwaadwillig vervaardigde JPEG-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een double free-probleem bij de verwerking van JPEG-afbeeldingen door ImageIO. Dit probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-ID
CVE-2012-3726: Phil van PKJE Consulting
ImageIO
Beschikbaar voor: iPhone 3GS en hoger, iPod touch (4e generatie) en hoger, iPad 2 en hoger
Impact: het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een probleem met een overloop van gehele getallen bij de verwerking van TIFF-afbeeldingen door libTIFF. Dit probleem is verholpen door een verbeterde validatie van TIFF-afbeeldingen.
CVE-ID
CVE-2012-1173: Alexander Gavrun in samenwerking met het Zero Day Initiative van HP
ICU
Beschikbaar voor: iPhone 3GS en hoger, iPod touch (4e generatie) en hoger, iPad 2 en hoger
Impact: programma’s die gebruik maken van ICU zijn mogelijk kwetsbaar voor het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een stackbufferoverloop bij de verwerking van ICU locale-ID’s. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2011-4599
IPSec
Beschikbaar voor: iPhone 3GS en hoger, iPod touch (4e generatie) en hoger, iPad 2 en hoger
Impact: een kwaadwillig vervaardigd racoon-configuratiebestand kan leiden tot het uitvoeren van willekeurige code
Beschrijving: er was een bufferoverloop bij de verwerking van racoon-configuratiebestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2012-3727: iOS Jailbreak Dream Team
Kernel
Beschikbaar voor: iPhone 3GS en hoger, iPod touch (4e generatie) en hoger, iPad 2 en hoger
Impact: een lokale gebruiker kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een ongeldige pointer-dereferentie bij de verwerking van pakketfilter-ioctls in de kernel. Hierdoor kan een aanvaller het kernelgeheugen wijzigen. Dit probleem is verholpen door een verbeterde verwerking van fouten.
CVE-ID
CVE-2012-3728: iOS Jailbreak Dream Team
Kernel
Beschikbaar voor: iPhone 3GS en hoger, iPod touch (4e generatie) en hoger, iPad 2 en hoger
Impact: een lokale gebruiker kan de indeling van het kernelgeheugen bepalen
Beschrijving: er was een probleem met een niet-geïnitialiseerde geheugentoegang bij de Berkeley Packet Filter-interpreter, wat leidde tot de vrijgave van geheugeninhoud. Dit probleem is verholpen door een verbeterde geheugeninitialisatie.
CVE-ID
CVE-2012-3729: Dan Rosenberg
libxml
Beschikbaar voor: iPhone 3GS en hoger, iPod touch (4e generatie) en hoger, iPad 2 en hoger
Impact: het bekijken van een kwaadwillig vervaardigde webpagina kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er waren meerdere kwetsbaarheden in libxml waarvan de ernstigste kunnen leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Deze problemen zijn verholpen door de relevante upstreampatches toe te passen.
CVE-ID
CVE-2011-1944: Chris Evans van Google Chrome Security Team
CVE-2011-2821: Yang Dingning van NCNIPC, Graduate University of Chinese Academy of Sciences
CVE-2011-2834: Yang Dingning van NCNIPC, Graduate University of Chinese Academy of Sciences
CVE-2011-3919: Jüri Aedla
Mail
Beschikbaar voor: iPhone 3GS en hoger, iPod touch (4e generatie) en hoger, iPad 2 en hoger
Impact: Mail kan de verkeerde bijlage tonen in een bericht
Beschrijving: er was een probleem in de programmering van de verwerking van bijlagen in Mail. Als de bijlage van een volgende e-mail dezelfde inhoud-ID heeft als een eerdere, wordt de vorige bijlage weergegeven, zelfs in het geval waarbij de twee e-mails van verschillende zenders afkomstig zijn. Dit kan vervalsing of een phishing-aanval vergemakkelijken. Dit probleem is verholpen door een verbeterde verwerking van bijlagen.
CVE-ID
CVE-2012-3730: Angelo Prado van het salesforce.com Product Security Team
Mail
Beschikbaar voor: iPhone 3GS en hoger, iPod touch (4e generatie) en hoger, iPad 2 en hoger
Impact: e-mailbijlagen kunnen worden gelezen zonder de toegangscode van de gebruiker
Beschrijving: er was een probleem in de programmering voor het gebruik van gegevensbeveiliging bij e-mailbijlagen in Mail. Dit probleem is verholpen door de gegevensbeveiligingsklasse voor e-mailbijlagen naar behoren in te stellen.
CVE-ID
CVE-2012-3731: Stephen Prairie van Travelers Insurance, Erich Stuntebeck van AirWatch
Mail
Beschikbaar voor: iPhone 3GS en hoger, iPod touch (4e generatie) en hoger, iPad 2 en hoger
Impact: een aanvaller kan de afzender van een via S/MIME ondertekend bericht vervalsen
Beschrijving: via S/MIME ondertekende berichten toonden het onbetrouwbare ‘Van’-adres en niet de identiteit van degene die het bericht heeft ondertekend. Dit probleem is verholpen door het adres van de identiteit van degene die het bericht heeft ondertekend, weer te geven wanneer dit beschikbaar is.
CVE-ID
CVE-2012-3732: een anonieme onderzoeker.
Berichten
Beschikbaar voor: iPhone 3GS en hoger, iPod touch (4e generatie) en hoger, iPad 2 en hoger
Impact: gebruikers kunnen onbedoeld het bestaan van hun e-mailadressen vrijgeven
Beschrijving: als een gebruiker meerdere e-mailadressen heeft gekoppeld aan iMessage, kan een bericht worden beantwoord via een verschillend e-mailadres. Hierdoor kan een ander aan de gebruikersaccount gekoppeld e-mailadres worden vrijgegeven. Dit probleem is verholpen door een bericht altijd te beantwoorden met het e-mailadres waarnaar het oorspronkelijke bericht is verstuurd.
CVE-ID
CVE-2012-3733: Rodney S. Foley van Gnomesoft, LLC
Office Viewer
Beschikbaar voor: iPhone 3GS en hoger, iPod touch (4e generatie) en hoger, iPad 2 en hoger
Impact: niet-gecodeerde documentgegevens kunnen naar een tijdelijk bestand worden geschreven
Beschrijving: er was een probleem met de vrijgave van informatie bij de ondersteuning voor het bekijken van Microsoft Office-bestanden. Bij de weergave van een document schreef Office Viewer een tijdelijk bestand met gegevens uit het weergegeven document naar de tijdelijke map van het oproepende proces. Bij een programma dat gegevensbeveiliging of een andere soort codering gebruikt om de gebruikersbestanden te beveiligen, kan dit leiden tot het vrijgeven van informatie. Dit probleem is verholpen door geen tijdelijke bestanden meer aan te maken bij het bekijken van Office-documenten.
CVE-ID
CVE-2012-3734: Salvatore Cataudella van Open Systems Technologies
OpenGL
Beschikbaar voor: iPhone 3GS en hoger, iPod touch (4e generatie) en hoger, iPad 2 en hoger
Impact: programma’s die de OpenGL-implementatie van OS X gebruiken, zijn mogelijk kwetsbaar voor het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er waren meerdere problemen met geheugenbeschadiging bij de verwerking van GLSL-compilaties. Deze problemen zijn verholpen door een verbeterde validatie van GLSL-shaders.
CVE-ID
CVE-2011-3457: Chris Evans van Google Chrome Security Team en Marc Schoenefeld van Red Hat Security Response Team
Codeslot
Beschikbaar voor: iPhone 3GS en hoger, iPod touch (4e generatie) en hoger, iPad 2 en hoger
Impact: een persoon met fysieke toegang tot een vergrendeld apparaat kan de laatst gebruikte app van een andere fabrikant even zien
Beschrijving: er was een probleem in de programmering van de weergave van de schuifknop ‘zet uit’ in het toegangsscherm. Dit probleem is verholpen door een verbeterd beheer van de vergrendelde status.
CVE-ID
CVE-2012-3735: Chris Lawrence DBB
Codeslot
Beschikbaar voor: iPhone 3GS en hoger, iPod touch (4e generatie) en hoger, iPad 2 en hoger
Impact: een persoon met fysieke toegang tot het apparaat kan de schermvergrendeling omzeilen
Beschrijving: er was een probleem in de programmering van het beëindigen van FaceTime-oproepen vanaf het toegangsscherm. Dit probleem is verholpen door een verbeterd beheer van de vergrendelde status.
CVE-ID
CVE-2012-3736: Ian Vitek van 2Secure AB
Codeslot
Beschikbaar voor: iPhone 3GS en hoger, iPod touch (4e generatie) en hoger, iPad 2 en hoger
Impact: vanaf het toegangsscherm zijn alle foto’s toegankelijk
Beschrijving: er was een ontwerpprobleem bij de ondersteuning voor het bekijken van foto’s die vanaf het toegangsscherm zijn gemaakt. Om te bepalen welke foto’s mogen worden geopend, raadpleegde het codeslot het tijdstip waarop het apparaat werd vergrendeld en vergeleek dit met het tijdstip waarop de foto werd gemaakt. Door de huidige tijd te vervalsen kon een aanvaller toegang krijgen tot foto’s die waren gemaakt voordat het apparaat werd vergrendeld. Deze problemen zijn verholpen door expliciet bij te houden welke foto’s zijn gemaakt terwijl het apparaat was vergrendeld.
CVE-ID
CVE-2012-3737: Ade Barkah van BlueWax Inc.
Codeslot
Beschikbaar voor: iPhone 3GS en hoger, iPod touch (4e generatie) en hoger, iPad 2 en hoger
Impact: een persoon met fysieke toegang tot een vergrendeld apparaat kan FaceTime-oproepen voeren
Beschrijving: er was een probleem in de programmering van het scherm voor noodoproepen, waardoor FaceTime-oproepen konden worden gedaan via voicedialing op een vergrendeld apparaat. Hierdoor konden ook de contacten van de gebruiker worden vrijgegeven in de vorm van voorgestelde contacten. Dit probleem is verholpen door voicedialing uit te schakelen op het scherm voor noodoproepen.
CVE-ID
CVE-2012-3738: Ade Barkah van BlueWax Inc.
Codeslot
Beschikbaar voor: iPhone 3GS en hoger, iPod touch (4e generatie) en hoger, iPad 2 en hoger
Impact: een persoon met fysieke toegang tot het apparaat kan de schermvergrendeling omzeilen
Beschrijving: gebruik van de camera vanuit het toegangsscherm kon in sommige gevallen de automatische vergrendelfunctie verstoren, waardoor een persoon met fysieke toegang tot het apparaat het scherm Codeslot kon omzeilen. Dit probleem is verholpen door een verbeterd beheer van de vergrendelde status.
CVE-ID
CVE-2012-3739: Sebastian Spanninger van het Austrian Federal Computing Centre (BRZ)
Codeslot
Beschikbaar voor: iPhone 3GS en hoger, iPod touch (4e generatie) en hoger, iPad 2 en hoger
Impact: een persoon met fysieke toegang tot het apparaat kan de schermvergrendeling omzeilen
Beschrijving: er was een probleem met het statusbeheer bij de verwerking van de schermvergrendeling. Dit probleem is verholpen door een verbeterd beheer van de vergrendelde status.
CVE-ID
CVE-2012-3740: Ian Vitek van 2Secure AB
Beperkingen
Beschikbaar voor: iPhone 3GS en hoger, iPod touch (4e generatie) en hoger, iPad 2 en hoger
Impact: een gebruiker kan aankopen doen zonder de inloggegevens van de Apple ID in te voeren
Beschrijving: na het uitschakelen van Beperkingen vraagt iOS mogelijk niet om het gebruikerswachtwoord in te voeren bij een transactie. Dit probleem is verholpen door de machtiging bij aankopen te versterken.
CVE-ID
CVE-2012-3741: Kevin Makens van Redwood High School
Safari
Beschikbaar voor: iPhone 3GS en hoger, iPod touch (4e generatie) en hoger, iPad 2 en hoger
Impact: websites kunnen tekens gebruiken die eruit zien als het hangslotsymbool in hun titel
Beschrijving: websites kunnen een Unicode-teken gebruiken om een hangslotsymbool in de paginatitel aan te maken. Dit symbool was vergelijkbaar met het symbool dat werd gebruikt om een veilige verbinding aan te geven en kon ertoe leiden dat de gebruiker geloofde dat een veilige verbinding tot stand was gebracht. Dit probleem is verholpen door deze tekens te verwijderen uit paginatitels.
CVE-ID
CVE-2012-3742: Boku Kihara van Lepidum
Safari
Beschikbaar voor: iPhone 3GS en hoger, iPod touch (4e generatie) en hoger, iPad 2 en hoger
Impact: wachtwoorden worden mogelijk automatisch aangevuld ondanks dat de site opgeeft dat automatisch aanvullen uitgeschakeld moet zijn
Beschrijving: elementen voor de invoer van wachtwoorden met het kenmerk ‘automatisch aanvullen’ ingesteld op ‘uit’ werden automatisch aangevuld. Dit probleem is verholpen door een verbeterde verwerking van het kenmerk ‘automatisch aanvullen’.
CVE-ID
CVE-2012-0680: Dan Poltawski van Moodle
Systeemlogbestanden
Beschikbaar voor: iPhone 3GS en hoger, iPod touch (4e generatie) en hoger, iPad 2 en hoger
Impact: apps in een sandbox kunnen inhoud van systeemlogbestanden verkrijgen
Beschrijving: apps in een sandbox apps hadden leestoegang tot de map /var/log, waardoor ze mogelijk vertrouwelijke informatie uit systeemlogbestanden kunnen verkregen. Dit probleem is verholpen door apps in een sandbox de toegang tot de map /var/log te weigeren.
CVE-ID
CVE-2012-3743
Telefonie
Beschikbaar voor: iPhone 3GS en hoger, iPod touch (4e generatie) en hoger, iPad 2 en hoger
Impact: een sms-bericht lijkt te zijn verstuurd door een willekeurige gebruiker
Beschrijving: Berichten geeft het retouradres van een sms-bericht weer als afzender. Retouradressen kunnen worden vervalst. Dit probleem is verholpen door altijd het oorspronkelijke adres weer te geven en niet het retouradres.
CVE-ID
CVE-2012-3744: pod2g
Telefonie
Beschikbaar voor: iPhone 3GS en hoger, iPod touch (4e generatie) en hoger, iPad 2 en hoger
Impact: een sms-bericht kan de mobiele verbinding onderbreken
Beschrijving: er was een ‘off-by-one’-bufferoverloop bij de verwerking van headers van gebruikersgegevens bij sms’en. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2012-3745: pod2g
UIKit
Beschikbaar voor: iPhone 3GS en hoger, iPod touch (4e generatie) en hoger, iPad 2 en hoger
Impact: een aanvaller met toegang tot het bestandssysteem van een apparaat kan bestanden lezen die werden weergegeven in een UIWebView
Beschrijving: programma’s die UIWebView gebruiken, kunnen niet-gecodeerde bestanden op het bestandssysteem achterlaten, zelfs als een toegangscode is ingeschakeld. Dit probleem is verholpen door een verbeterd gebruik van gegevensbeveiliging.
CVE-ID
CVE-2012-3746: Ben Smith van Box
WebKit
Beschikbaar voor: iPhone 3GS en hoger, iPod touch (4e generatie) en hoger, iPad 2 en hoger
Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er waren meerdere problemen met geheugenbeschadiging in WebKit. Deze problemen zijn verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2011-3016: miaubiz
CVE-2011-3021: Arthur Gerkis
CVE-2011-3027: miaubiz
CVE-2011-3032: Arthur Gerkis
CVE-2011-3034: Arthur Gerkis
CVE-2011-3035: wushi van team509 in samenwerking met iDefense VCP, Arthur Gerkis
CVE-2011-3036: miaubiz
CVE-2011-3037: miaubiz
CVE-2011-3038: miaubiz
CVE-2011-3039: miaubiz
CVE-2011-3040: miaubiz
CVE-2011-3041: miaubiz
CVE-2011-3042: miaubiz
CVE-2011-3043: miaubiz
CVE-2011-3044: Arthur Gerkis
CVE-2011-3050: miaubiz
CVE-2011-3053: miaubiz
CVE-2011-3059: Arthur Gerkis
CVE-2011-3060: miaubiz
CVE-2011-3064: Atte Kettunen van OUSPG
CVE-2011-3068: miaubiz
CVE-2011-3069: miaubiz
CVE-2011-3071: pa_kt in samenwerking met het Zero Day Initiative van HP
CVE-2011-3073: Arthur Gerkis
CVE-2011-3074: Slawomir Blazek
CVE-2011-3075: miaubiz
CVE-2011-3076: miaubiz
CVE-2011-3078: Martin Barbella van het Google Chrome Security Team
CVE-2011-3081: miaubiz
CVE-2011-3086: Arthur Gerkis
CVE-2011-3089: Skylined van het Google Chrome Security Team, miaubiz
CVE-2011-3090: Arthur Gerkis
CVE-2011-3105: miaubiz
CVE-2011-3913: Arthur Gerkis
CVE-2011-3924: Arthur Gerkis
CVE-2011-3926: Arthur Gerkis
CVE-2011-3958: miaubiz
CVE-2011-3966: Aki Helin van OUSPG
CVE-2011-3968: Arthur Gerkis
CVE-2011-3969: Arthur Gerkis
CVE-2011-3971: Arthur Gerkis
CVE-2012-0682: Apple Product Security
CVE-2012-0683: Dave Mandelin van Mozilla
CVE-2012-1520: Martin Barbella van het Google Chrome Security Team met behulp van AddressSanitizer, Jose A. Vazquez van spa-s3c.blogspot.com in samenwerking met iDefense VCP
CVE-2012-1521: Skylined van het Google Chrome Security Team, Jose A. Vazquez van spa-s3c.blogspot.com in samenwerking met iDefense VCP
CVE-2012-2818: miaubiz
CVE-2012-3589: Dave Mandelin of Mozilla
CVE-2012-3590 : Apple Product Security
CVE-2012-3591: Apple Product Security
CVE-2012-3592: Apple Product Security
CVE-2012-3593: Apple Product Security
CVE-2012-3594: miaubiz
CVE-2012-3595: Martin Barbella van Google Chrome Security
CVE-2012-3596: Skylined van het Google Chrome Security Team
CVE-2012-3597: Abhishek Arya (Inferno) van het Google Chrome Security Team
CVE-2012-3598: Apple Product Security
CVE-2012-3599: Abhishek Arya (Inferno) van het Google Chrome Security Team
CVE-2012-3600: David Levin van de Chromium development community
CVE-2012-3601: Martin Barbella van het Google Chrome Security Team met behulp van AddressSanitizer
CVE-2012-3602: miaubiz
CVE-2012-3603: Apple Product Security
CVE-2012-3604: Skylined van het Google Chrome Security Team
CVE-2012-3605: Cris Neckar van het Google Chrome Security team
CVE-2012-3608: Skylined van het Google Chrome Security Team
CVE-2012-3609: Skylined van het Google Chrome Security Team
CVE-2012-3610: Skylined van het Google Chrome Security Team
CVE-2012-3611: Apple Product Security
CVE-2012-3612: Skylined van het Google Chrome Security Team
CVE-2012-3613: Abhishek Arya (Inferno) van het Google Chrome Security Team
CVE-2012-3614: Yong Li van Research In Motion, Inc.
CVE-2012-3615: Stephen Chenney van de Chromium development community
CVE-2012-3617: Apple Product Security
CVE-2012-3618: Abhishek Arya (Inferno) van het Google Chrome Security Team
CVE-2012-3620: Abhishek Arya (Inferno) van het Google Chrome Security Team
CVE-2012-3624: Skylined van het Google Chrome Security Team
CVE-2012-3625: Skylined van Google Chrome Security Team
CVE-2012-3626: Apple Product Security
CVE-2012-3627: Skylined en Abhishek Arya (Inferno) van het Google Chrome Security Team
CVE-2012-3628: Apple Product Security
CVE-2012-3629: Abhishek Arya (Inferno) van het Google Chrome Security Team
CVE-2012-3630: Abhishek Arya (Inferno) van het Google Chrome Security Team
CVE-2012-3631: Abhishek Arya (Inferno) van het Google Chrome Security Team
CVE-2012-3633: Martin Barbella van Google Chrome Security Team met behulp van AddressSanitizer
CVE-2012-3634: Martin Barbella van Google Chrome Security Team met behulp van AddressSanitizer
CVE-2012-3635: Martin Barbella van Google Chrome Security Team met behulp van AddressSanitizer
CVE-2012-3636: Martin Barbella van Google Chrome Security Team met behulp van AddressSanitizer
CVE-2012-3637: Martin Barbella van Google Chrome Security Team met behulp van AddressSanitizer
CVE-2012-3638: Martin Barbella van Google Chrome Security Team met behulp van AddressSanitizer
CVE-2012-3639: Martin Barbella van Google Chrome Security Team met behulp van AddressSanitizer
CVE-2012-3640: miaubiz
CVE-2012-3641: Slawomir Blazek
CVE-2012-3642: miaubiz
CVE-2012-3644: miaubiz
CVE-2012-3645: Martin Barbella van Google Chrome Security Team met behulp van AddressSanitizer
CVE-2012-3646: Julien Chaffraix van de Chromium development community, Martin Barbella van Google Chrome Security Team met behulp van AddressSanitizer
CVE-2012-3647: Skylined van het Google Chrome Security Team
CVE-2012-3648: Abhishek Arya (Inferno) van het Google Chrome Security Team
CVE-2012-3651: Abhishek Arya (Inferno) en Martin Barbella van het Google Chrome Security Team
CVE-2012-3652: Martin Barbella van Google Chrome Security Team
CVE-2012-3653: Martin Barbella van Google Chrome Security Team met behulp van AddressSanitizer
CVE-2012-3655: Skylined van het Google Chrome Security Team
CVE-2012-3656: Abhishek Arya (Inferno) van het Google Chrome Security Team
CVE-2012-3658: Apple
CVE-2012-3659: Mario Gomes van netfuzzer.blogspot.com, Abhishek Arya (Inferno) van het Google Chrome Security Team
CVE-2012-3660: Abhishek Arya (Inferno) van het Google Chrome Security Team
CVE-2012-3661: Apple Product Security
CVE-2012-3663: Skylined van Google Chrome Security Team
CVE-2012-3664: Thomas Sepez van de Chromium development community
CVE-2012-3665: Martin Barbella van Google Chrome Security Team met behulp van AddressSanitizer
CVE-2012-3666: Apple
CVE-2012-3667: Trevor Squires van propaneapp.com
CVE-2012-3668: Apple Product Security
CVE-2012-3669: Apple Product Security
CVE-2012-3670: Abhishek Arya (Inferno) van het Google Chrome Security Team, Arthur Gerkis
CVE-2012-3671: Skylined en Martin Barbella van het Google Chrome Security Team
CVE-2012-3672: Abhishek Arya (Inferno) van het Google Chrome Security Team
CVE-2012-3673: Abhishek Arya (Inferno) van het Google Chrome Security Team
CVE-2012-3674: Skylined van Google Chrome Security Team
CVE-2012-3676: Julien Chaffraix van het Chromium development community
CVE-2012-3677: Apple
CVE-2012-3678: Apple Product Security
CVE-2012-3679: Chris Leary van Mozilla
CVE-2012-3680: Skylined van Google Chrome Security Team
CVE-2012-3681: Apple
CVE-2012-3682: Adam Barth van het Google Chrome Security Team
CVE-2012-3683: wushi van team509 in samenwerking met iDefense VCP
CVE-2012-3684: kuzzcc
CVE-2012-3686: Robin Cao van Torch Mobile (Beijing)
CVE-2012-3703: Apple Product Security
CVE-2012-3704: Skylined van het Google Chrome Security Team
CVE-2012-3706: Apple Product Security
CVE-2012-3708: Apple
CVE-2012-3710: James Robinson van Google
CVE-2012-3747: David Bloom van Cue
WebKit
Beschikbaar voor: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3e generatie) en hoger, iPad, iPad 2
Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het vrijgeven van informatie tussen sites
Beschrijving: er was een ‘cross-origin’-probleem bij de verwerking van waarden van CSS-eigenschappen. Dit probleem is verholpen door een verbeterde brontracering.
CVE-ID
CVE-2012-3691: Apple
WebKit
Beschikbaar voor: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3e generatie) en hoger, iPad, iPad 2
Impact: een kwaadaardige website kan de inhoud van een iframe op een andere site vervangen
Beschrijving: er was een ‘cross-origin’-probleem bij de verwerking van iframes in pop-upvensters. Dit probleem is verholpen door een verbeterde brontracering.
CVE-ID
CVE-2011-3067: Sergey Glazunov
WebKit
Beschikbaar voor: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3e generatie) en hoger, iPad, iPad 2
Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het vrijgeven van informatie tussen sites
Beschrijving: er was een ‘cross-origin’-probleem bij de verwerking van iframes en fragmentidentifiers. Dit probleem is verholpen door een verbeterde brontracering.
CVE-ID
CVE-2012-2815: Elie Bursztein, Baptiste Gourdin, Gustav Rydstedt en Dan Boneh van het Stanford University Security Laboratory
WebKit
Beschikbaar voor: iPhone 3GS en hoger, iPod touch (4e generatie) en hoger, iPad 2 en hoger
Impact: gelijk uitziende tekens in een URL kunnen worden gebruikt om een website te maskeren
Beschrijving: de ondersteuning van IDN (International Domain Name) en Unicode-lettertypen die zijn geïntegreerd in Safari, konden worden gebruikt om een URL met gelijk uitziende tekens te maken. Deze konden worden gebruikt op een kwaadwillige website om de gebruiker om te leiden naar een vervalste site die op het eerste gezicht een legitiem domein lijkt te zijn. Dit probleem is verholpen door de lijst van bekende gelijk uitziende tekens van Webkit aan te vullen. Gelijk uitziende tekens worden op de adresbalk weergegeven in Punycode.
CVE-ID
CVE-2012-3693: Matt Cooley van Symantec
WebKit
Beschikbaar voor: iPhone 3GS en hoger, iPod touch (4e generatie) en hoger, iPad 2 en hoger
Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot een cross-site scripting-aanval
Beschrijving: er was een canonicalisatieprobleem bij de verwerking van URL’s. Dit kon leiden tot cross-site scripting op sites die de eigenschap location.href gebruiken. Dit probleem is verholpen door een verbeterde canonicalisatie van URL’s.
CVE-ID
CVE-2012-3695: Masato Kinugawa
WebKit
Beschikbaar voor: iPhone 3GS en hoger, iPod touch (4e generatie) en hoger, iPad 2 en hoger
Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het splitsen van het HTTP-verzoek
Beschrijving: er was een injectieprobleem met de HTTP-header bij de verwerking van WebSockets. Dit probleem is verholpen door een verbeterde URI-opschoning in WebSockets.
CVE-ID
CVE-2012-3696: David Belcher van het BlackBerry Security Incident Response Team
WebKit
Beschikbaar voor: iPhone 3GS en hoger, iPod touch (4e generatie) en hoger, iPad 2 en hoger
Impact: een kwaadwillig vervaardigde website kan de waarde in de URL-balk vervalsen
Beschrijving: er was een probleem met het statusbeheer bij de verwerking van de sessiegeschiedenis. Navigeren naar een fragment op de huidige pagina kan ertoe leiden dat Safari onjuiste informatie in de URL-balk weergeeft. Dit probleem is verholpen door een verbeterde tracering van de sessiestatus.
CVE-ID
CVE-2011-2845: Jordi Chancel
WebKit
Beschikbaar voor: iPhone 3GS en hoger, iPod touch (4e generatie) en hoger, iPad 2 en hoger
Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot de vrijgave van geheugeninhoud
Beschrijving: er was een probleem met een niet-geïnitialiseerde geheugentoegang bij de verwerking van SVG-afbeeldingen. Dit probleem is verholpen door een verbeterde geheugeninitialisatie.
CVE-ID
CVE-2012-3650: Apple
FaceTime is niet in alle landen of regio’s beschikbaar.
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.