Over de beveiligingsinhoud van iOS 2.2 en iOS voor de iPod touch 2.2

In dit document wordt de beveiligingsinhoud van iOS 2.2 en iOS voor de iPod touch 2.2 beschreven.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.

Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

iOS 2.2 en iOS voor de iPod touch 2.2

  • CoreGraphics

    CVE-ID: CVE-2008-2321

    Beschikbaar voor: iOS 1.0 tot en met 2.1, iOS voor de iPod touch 1.1 tot en met 2.1

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: CoreGraphics bevat problemen met geheugenbeschadiging bij de verwerking van argumenten. Het doorsturen van onbetrouwbare invoer naar CoreGraphics via een programma, zoals een webbrowser, kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door verbeterde bereikcontrole. Met dank aan Michal Zalewski van Google voor het melden van dit probleem.

  • ImageIO

    CVE-ID: CVE-2008-2327

    Beschikbaar voor: iOS 1.0 tot en met 2.1, iOS voor de iPod touch 1.1 tot en met 2.1

    Impact: het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: de aanpak van libTIFF voor LZW-gecodeerde TIFF-afbeeldingen bevat meerdere problemen met niet-gestarte geheugentoegang. Het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door juiste geheugeninitialisatie en aanvullende validatie van TIFF-afbeeldingen.

  • ImageIO

    CVE-ID: CVE-2008-1586

    Beschikbaar voor: iOS 1.0 tot en met 2.1, iOS voor de iPod touch 1.1 tot en met 2.1

    Impact: het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot een onverwachte reset van het apparaat

    Beschrijving: voor het verwerken van TIFF-afbeeldingen wordt onophoudelijk geprobeerd de beschikbare ruimte te overschrijden. Het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot een onverwachte reset van het apparaat. Deze update verhelpt het probleem door de hoeveelheid geheugen te beperken die is toegewezen om een TIFF-afbeelding te openen. Met dank aan Sergio 'shadown' Alvarez van Recurity Labs GmbH voor het melden van dit probleem.

  • Networking

    CVE-ID: CVE-2008-4227

    Beschikbaar voor: iOS 1.0 tot en met 2.1, iOS voor de iPod touch 1.1 tot en met 2.1

    Impact: het niveau van de versleuteling voor PTPP VPN-verbindingen kan lager zijn dan verwacht

    Beschrijving: het niveau van de versleuteling voor PTPP VPN-verbindingen kan worden teruggezet naar een vorige lagere instelling. Deze update verhelpt het probleem door de versleutelingsvoorkeuren op de juiste manier in te stellen. Met dank aan Stephen Butler van de Universiteit van Illinois Urbana-Champaign voor het melden van dit probleem.

  • Office Viewer

    CVE-ID: CVE-2008-4211

    Beschikbaar voor: iOS 1.0 tot en met 2.1, iOS voor de iPod touch 1.1 tot en met 2.1

    Impact: het bekijken van een kwaadwillig vervaardig Microsoft Excel-bestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: Office Viewer bevat een probleem met ondertekening in de verwerking van kolommen in Microsoft Excel. Dit kan leiden tot out-of-bounds geheugentoegang. Het bekijken van een kwaadwillig vervaardigd Microsoft Excel-bestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door ervoor te zorgen dat de getroffen indexwaarden niet negatief zijn. Met dank aan Apple.

  • Passcode Lock

    CVE-ID: CVE-2008-4228

    Beschikbaar voor: iOS 1.0 tot en met 2.1, iOS voor de iPod touch 1.1 tot en met 2.1

    Impact: noodoproepen worden niet beperkt tot noodnummers

    Beschrijving: iPhone biedt de mogelijkheid om een noodoproep te doen als het apparaat is vergrendeld. Momenteel kan een noodoproep ieder willekeurig nummer zijn. Een persoon met fysieke toegang tot een iPhone kan deze functie ten onrechte gebruiken om een willekeurige oproep te doen op kosten van de eigenaar van de iPhone. Deze update verhelpt het probleem door noodoproepen te beperken tot een aantal gekozen telefoonnummers.

  • Passcode Lock

    CVE-ID: CVE-2008-4229

    Beschikbaar voor: iOS 1.0 tot en met 2.1, iOS voor de iPod touch 1.1 tot en met 2.1

    Impact: met het herstellen van een apparaat met een back-up wordt de toegangscodevergrendeling mogelijk niet opnieuw ingeschakeld

    Beschrijving: de functie Toegangscodevergrendeling is ontworpen om te voorkomen dat apps worden geopend zonder de juiste toegangscode. Een racewaarde in het verwerken van apparaatinstellingen kan ervoor zorgen dat de toegangscodevergrendeling wordt verwijderd wanneer het apparaat wordt hersteld met een back-up. Hierdoor kan een persoon met fysieke toegang tot het apparaat apps openen zonder toegangscode. Deze update verhelpt het probleem door het systeem in staat te stellen te herkennen wanneer deze voorkeuren ontbreken. Dit probleem heeft geen gevolgen voor systemen ouder dan iOS 2.0 of iOS voor de iPod touch 2.0. Met dank aan Nolen Scaife voor het melden van dit probleem.

  • Passcode Lock

    CVE-ID: CVE-2008-4230

    Beschikbaar voor: iOS 1.0 tot en met 2.1, iOS voor de iPod touch 1.1 tot en met 2.1

    Impact: sms-berichten kunnen worden weergegeven voordat de toegangscode is ingevoerd

    Beschrijving: als een sms-bericht aankomt terwijl het noodoproepscherm zichtbaar is, wordt het hele sms-bericht weergegeven, zelfs als de voorkeur 'Toon deel van sms' is uitgeschakeld. Deze update verhelpt het probleem door in deze situatie alleen een melding van het ontvangen sms-bericht weer te geven, en niet de inhoud.

  • Safari

    CVE-ID: CVE-2008-4231

    Beschikbaar voor: iOS 1.0 tot en met 2.1, iOS voor de iPod touch 1.1 tot en met 2.1

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is een probleem met geheugenbeschadiging bij de verwerking van HTML-tabelelementen. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door een verbeterde verwerking van HTML-tabelelementen. Met dank aan Haifei Li van Fortinet's FortiGuard Global Security Research Team voor het melden van dit probleem.

  • Safari

    CVE-ID: CVE-2008-4232

    Beschikbaar voor: iOS 1.0 tot en met 2.1, iOS voor de iPod touch 1.1 tot en met 2.1

    Impact: websites met ingesloten iframe-elementen lopen het risico op vervalsing van de gebruikersinterface.

    Beschrijving: Safari biedt iframe-elementen de mogelijkheid om inhoud weer te geven buiten de grenzen, wat mogelijk leidt tot de vervalsing van de gebruikersinterface. Deze update verhelpt het probleem door te voorkomen dat iframe-elementen inhoud buiten de grenzen weergeven. Dit probleem heeft geen gevolgen voor systemen ouder dan iOS 2.0 of iOS voor de iPod touch 2.0. Met dank aan John Resig van Mozilla Corporation voor het melden van dit probleem.

  • CVE-ID: CVE-2008-4233 Beschikbaar voor: iOS 1.0 tot en met 2.1, iOS voor de iPod touch 1.1 tot en met 2.1 Impact: het bezoeken van een kwaadwillig vervaardigde website kan een telefoonoproep starten zonder dat de gebruiker iets doet Beschrijving: als een app wordt geopend via Safari terwijl het venster voor het goedkeuren van een oproep wordt weergegeven, wordt de oproep geplaatst. Dit kan ervoor zorgen dat een kwaadwillig vervaardigde website een telefoonoproep start zonder dat de gebruiker iets doet. Daarnaast kan een kwaadwillig vervaardigde website onder bepaalde omstandigheden gedurende een korte tijd het plaatsen van een oproep blokkeren. Deze update verhelpt het probleem door het venster voor het goedkeuren van een oproep in Safari te negeren als een app wordt geopend via Safari. Met dank aan Collin Mulliner van Fraunhofer SIT voor het melden van dit probleem.

    Safari

  • Webkit

    CVE-ID: CVE-2008-3644

    Beschikbaar voor: iOS 1.0 tot en met 2.1, iOS voor de iPod touch 1.1 tot en met 2.1

    Impact: gevoelige informatie kan worden vrijgegeven aan een persoon met fysieke toegang tot een ontgrendeld apparaat

    Beschrijving: als het automatisch invullen van een veld wordt uitgeschakeld, voorkomt dit mogelijk niet dat de gegevens in het veld worden opgeslagen in de cache van de browserpagina. Dit kan leiden tot de vrijgave van gevoelige informatie aan een persoon met fysieke toegang tot een ontgrendeld apparaat. Deze update verhelpt het probleem door de formuliergegevens daadwerkelijk te wissen. Met dank aan een anonieme onderzoeker voor het melden van dit probleem.

Belangrijk: Informatie over producten die niet door Apple zijn geproduceerd, wordt alleen ter informatie verstrekt en vormt geen aanbeveling of goedkeuring van Apple. Neem voor meer informatie contact op met de leverancier.

Publicatiedatum: