Over de beveiligingsinhoud van de iPhone-update v1.0.1
Dit document beschrijft de beveiligingsinhoud van de iPhone-update v1.0.1, die kan worden gedownload en geïnstalleerd via iTunes zoals hieronder wordt beschreven.
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.
Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.
Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.
Zie Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.
iPhone-update v1.0.1
Safari
CVE-ID: CVE-2007-2400.
Beschikbaar voor: iPhone v1.0
Impact: het bezoeken van een kwaadaardige website kan cross-site scripting toestaan.
Beschrijving: Het beveiligingsmodel van Safari voorkomt dat JavaScript in externe webpagina's pagina's buiten hun domein wijzigt. Een racevoorwaarde bij het bijwerken van pagina's in combinatie met HTTP-omleiding kan tot gevolg hebben dat JavaScript vanaf één pagina een omgeleide pagina kan wijzigen. Hierdoor kunnen cookies en pagina's worden gelezen of willekeurig worden gewijzigd. Deze update verhelpt het probleem door de toegangscontrole tot venstereigenschappen te corrigeren. Met dank aan Lawrence Lai, Stan Switzer en Ed Rowe van Adobe Systems, Inc. voor het melden van dit probleem.
Safari
CVE-ID: CVE-2007-3944.
Beschikbaar voor: iPhone v1.0
Impact: het bekijken van een kwaadwillig vervaardigde webpagina kan leiden tot het uitvoeren van willekeurige code.
Beschrijving: Er is sprake van overloop van de heapbuffer in de PCRE-bibliotheek (Perl Compatible Regular Expressions) die wordt gebruikt door de JavaScript-engine in Safari. Door een gebruiker te verleiden een kwaadwillig vervaardigde webpagina te bezoeken, kan een aanvaller dit probleem veroorzaken, wat kan leiden tot het uitvoeren van willekeurige code. Deze update verhelpt het probleem door aanvullende validatie van reguliere JavaScript-expressies uit te voeren. Met dank aan Charlie Miller en Jake Honoroff van Independent Security Evaluators voor het melden van deze problemen.
WebCore
CVE-ID: CVE-2007-2401.
Beschikbaar voor: iPhone v1.0
Impact: het bezoeken van een kwaadwillende website kan cross-site verzoeken toestaan.
Beschrijving: Er is een probleem met HTTP-injectie in XMLHttpRequest bij het serialiseren van headers in een HTTP-verzoek. Door een gebruiker te verleiden een kwaadwillig vervaardigde webpagina te bezoeken, kan een aanvaller een cross-site scripting-probleem veroorzaken. Deze update verhelpt het probleem door aanvullende validatie van headerparameters uit te voeren. Met dank aan Richard Moore van Westpoint Ltd. voor het melden van dit probleem.
WebKit
CVE-ID: CVE-2007-3742.
Beschikbaar voor: iPhone v1.0
Impact: look-alike tekens in een URL kunnen worden gebruikt om een website te maskeren.
Beschrijving: De ondersteuning van International Domain Name (IDN) en Unicode-lettertypen die in Safari zijn ingesloten, kunnen worden gebruikt om een URL te maken die look-alike tekens bevat. Deze kunnen op een kwaadwillende website worden gebruikt om de gebruiker naar een vervalste site te leiden die visueel een legitiem domein lijkt te zijn. Deze update lost het probleem op door middel van een verbeterde geldigheidscontrole van domeinnamen. Met dank aan Tomohito Yoshino van Business Architects Inc. voor het melden van dit probleem.
WebKit
CVE-ID: CVE-2007-2399.
Beschikbaar voor: iPhone v1.0
Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.
Beschrijving: Een ongeldige typeconversie bij het renderen van framesets kan leiden tot geheugenbeschadiging. Een bezoek aan een kwaadwillig vervaardigde webpagina kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Met dank aan Rhys Kidd van Westnet voor het melden van dit probleem.
Installatie-opmerking
Deze update is alleen beschikbaar via iTunes en verschijnt niet in het programma Software Update van je computer of op de site Apple Downloads. Zorg ervoor dat je een internetverbinding hebt en de nieuwste versie van iTunes hebt geïnstalleerd van (www.apple.com/nl/itunes).
iTunes controleert volgens het wekelijkse schema automatisch de updateserver van Apple. Als er een update beschikbaar is, wordt deze gedownload. Wanneer de iPhone is gedockt, zal iTunes de gebruiker de mogelijkheid bieden om de update te installeren. We raden aan om de update indien mogelijk direct toe te passen. Als je aangeeft dat je de update niet wilt installeren, wordt de optie opnieuw weergegeven wanneer je iPhone de volgende keer verbinding maakt. Het automatische updateproces kan tot een week duren, afhankelijk van de dag waarop iTunes controleert op updates.
Je kunt de update zelf downloaden via de knop 'Zoek naar updates' in iTunes. Hierna kan de update worden toegepast wanneer je iPhone aan je computer is gedockt.
Controleren of de iPhone is bijgewerkt:
Navigeer naar Instellingen op de iPhone.
Klik op 'Algemeen'.
Kies 'Info'. De versie na het toepassen van deze update is 1.0.1 (1C25).