Over de beveiligingsinhoud van iOS 4.1 voor iPhone en iPod touch

In dit document wordt de beveiligingsinhoud van iOS 4.1 voor iPhone en iPod touch beschreven.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple productbeveiliging voor meer informatie over Apple-productbeveiliging.

Raadpleeg ‘Hoe gebruikt u de Apple Product Security PGP-sleutel’ voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg ‘Apple-beveiligingsupdates’ voor meer informatie over andere beveiligingsupdates.

iOS 4.1 voor iPhone en iPod touch

  • Toegankelijkheid

    CVE-ID: CVE-2010-1809

    Beschikbaar voor: iOS 3.0 tot 4.0.2 voor iPhone 3GS en hoger, iOS 3.0 tot 4.0.2 voor iPod touch (3e generatie)

    Impact: het gebruik van locatievoorzieningen door een programma wordt mogelijk niet aangekondigd door VoiceOver

    Beschrijving: er is een probleem met de toegankelijkheid van de gebruikersinterface in het instellingenpaneel voor Locatievoorzieningen. VoiceOver kondigt de aanwezigheid van het symbool voor locatievoorzieningen niet aan dat naast een programma wordt getoond dat de locatie van de gebruiker binnen de laatste 24 uur heeft opgevraagd. Dit probleem wordt verholpen door ervoor te zorgen dat VoiceOver de aanwezigheid van het symbool aankondigt. Met dank aan Robin Kipp van Forever Living Products Europe voor het melden van dit probleem.

  • FaceTime

    CVE-ID: CVE-2010-1810

    Beschikbaar voor: iOS 2.0 tot 4.0.2 voor iPhone 3G en hoger, iOS 2.1 tot 4.0.2 voor iPod touch (2e generatie) en hoger

    Impact: een aanvaller in een geprivilegieerde netwerkpositie kan FaceTime-gesprekken omleiden

    Beschrijving: door een probleem bij de verwerking van ongeldige certificaten kan een aanvaller in een geprivilegieerde netwerkpositie FaceTime-gesprekken omleiden. Dit probleem wordt verholpen door een verbeterde verwerking van certificaten. Met dank aan Aaron Sigel van vtty.com voor het melden van dit probleem.

  • ImageIO

    CVE-ID: CVE-2010-1811

    Beschikbaar voor: iOS 2.0 tot 4.0.2 voor iPhone 3G en hoger, iOS 2.1 tot 4.0.2 voor iPod touch (2e generatie) en hoger

    Impact: het verwerken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is een probleem met geheugenbeschadiging bij de verwerking van TIFF-afbeeldingen. Het verwerken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterde verwerking van TIFF-afbeeldingen. Met dank aan Apple.

  • ImageIO

    CVE-ID: CVE-2010-1817

    Beschikbaar voor: iOS 2.0 tot 4.0.2 voor iPhone 3G en hoger, iOS 2.1 tot 4.0.2 voor iPod touch (2e generatie) en hoger

    Impact: het verwerken van een kwaadwillig vervaardigde GIF-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is een bufferoverloop bij het verwerken van GIF-afbeeldingen. Het verwerken van een kwaadwillig vervaardigde GIF-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door middel van verbeterde controle van de grenzen. Met dank aan Tom Ferris van Adobe PSIRT voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1786

    Beschikbaar voor: iOS 2.0 tot 4.0.2 voor iPhone 3G en hoger, iOS 2.1 tot 4.0.2 voor iPod touch (2e generatie) en hoger

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is een use-after-free-probleem bij het verwerken door WebKit van ‘foreignObject’-elementen in SVG-documenten. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een extra validatie van SVG-documenten. Met dank aan wushi van team509 in samenwerking met het Zero Day Initiative van TippingPoint voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1770

    Beschikbaar voor: iOS 2.0 tot 4.0.2 voor iPhone 3G en hoger, iOS 2.1 tot 4.0.2 voor iPod touch (2e generatie) en hoger

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is een probleem bij het verwerken van tekstknooppunten in WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterde typecontrole. Met dank aan wushi van team509 in samenwerking met het Zero Day Initiative van TippingPoint voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1785

    Beschikbaar voor: iOS 2.0 tot 4.0.2 voor iPhone 3G en hoger, iOS 2.1 tot 4.0.2 voor iPod touch (2e generatie) en hoger

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is een probleem met een niet-geïnitialiseerde geheugentoegang bij het verwerken van ‘:first-letter’- en ‘:first line’-pseudo-elementen in SVG-tekstelementen door Webkit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door de niet-rendering van ‘:first-letter’- en ‘:first line’-pseudo-elementen in SVG-tekstelementen. Met dank aan wushi van team509 in samenwerking met het Zero Day Initiative van TippingPoint voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1780

    Beschikbaar voor: iOS 2.0 tot 4.0.2 voor iPhone 3G en hoger, iOS 2.1 tot 4.0.2 voor iPod touch (2e generatie) en hoger

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is een use-after-free-probleem bij de verwerking van de elementfocus door WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterde verwerking van de elementfocus. Met dank aan Tony Chang van Google, Inc. voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1793

    Beschikbaar voor: iOS 2.0 tot 4.0.2 voor iPhone 3G en hoger, iOS 2.1 tot 4.0.2 voor iPod touch (2e generatie) en hoger

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is een use-after-free-probleem bij de verwerking van ‘font-face’- en ‘use’-elementen in SVG-documenten door WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterde verwerking van ‘font-face’- en ‘use’-elementen in SVG-documenten. Met dank aan Aki Helin van OUSPG voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1421

    Beschikbaar voor: iOS 2.0 tot 4.0.2 voor iPhone 3G en hoger, iOS 2.1 tot 4.0.2 voor iPod touch (2e generatie) en hoger

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan de inhoud van het klembord wijzigen

    Beschrijving: er is een ontwerpprobleem in de implementatie van de execCommand-functie van JavaScript. Een kwaadwillig vervaardigde webpagina kan de inhoud van het klembord wijzigen zonder gebruikersinteractie. Dit probleem wordt alleen verholpen door toe te staan dat klembordcommando’s alleen worden uitgevoerd als ze worden gestart door de gebruiker. Met dank aan Apple.

  • WebKit

    CVE-ID: CVE-2010-1422

    Beschikbaar voor: iOS 2.0 tot 4.0.2 voor iPhone 3G en hoger, iOS 2.1 tot 4.0.2 voor iPod touch (2e generatie) en hoger

    Impact: het gebruik van een kwaadwillig vervaardigde website kan op andere sites tot onverwachte acties leiden

    Beschrijving: er is een probleem bij de verwerking van de toetsenbordfocus in WebKit. Als de toetsenbordfocus verandert tijdens de verwerking van toetsaanslagen, levert WebKit mogelijk een gebeurtenis aan de nieuwe gefocuste frame in plaats van de frame met de focus wanneer de toetsaanslag plaatsvond. Een kwaadwillig vervaardigde website kan een gebruiker ertoe aanzetten om een onverwachte handeling uit te voeren, zoals een aankoop. Dit probleem wordt verholpen door de levering van toetsaanslagen te voorkomen als de toetsenbordfocus verandert tijdens de verwerking. Met dank aan Michal Zalewski van Google, Inc. voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1771

    Beschikbaar voor: iOS 2.0 tot 4.0.2 voor iPhone 3G en hoger, iOS 2.1 tot 4.0.2 voor iPod touch (2e generatie) en hoger

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is een use-after-free-probleem bij het verwerken van lettertypen in WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterde verwerking van lettertypen. Met dank aan: Apple.

  • WebKit

    CVE-ID: CVE-2010-1783

    Beschikbaar voor: iOS 2.0 tot 4.0.2 voor iPhone 3G en hoger, iOS 2.1 tot 4.0.2 voor iPod touch (2e generatie) en hoger

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is een probleem met geheugenbeschadiging bij de verwerking van dynamische aanpassingen van tekstknooppunten door WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterd geheugenbeheer.

  • WebKit

    CVE-ID: CVE-2010-1764

    Beschikbaar voor: iOS 2.0 tot 4.0.2 voor iPhone 3G en hoger, iOS 2.1 tot 4.0.2 voor iPod touch (2e generatie) en hoger

    Impact: een bezoek aan een website die formulierverzendingen doorverwijst kan leiden tot de vrijgave van informatie

    Beschrijving: er is een ontwerpprobleem bij het verwerken van HTTP-doorverwijzingen in WebKit. Wanneer een formulierverzending wordt doorverwezen naar een website die ook doorverwijst, kan de informatie in het verzonden formulier worden verstuurd naar de derde site. Dit probleem wordt verholpen door een verbeterde verwerking van HTTP-doorverwijzingen. Met dank aan Marc Worrell van WhatWebWhat voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1782

    Beschikbaar voor: iOS 2.0 tot 4.0.2 voor iPhone 3G en hoger, iOS 2.1 tot 4.0.2 voor iPod touch (2e generatie) en hoger

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is een probleem met geheugenbeschadiging bij het omzetten van inline elementen. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door middel van verbeterde controle van de grenzen. Met dank aan wushi van team509 voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1781

    Beschikbaar voor: iOS 2.0 tot 4.0.2 voor iPhone 3G en hoger, iOS 2.1 tot 4.0.2 voor iPod touch (2e generatie) en hoger

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is een ‘double free’-probleem bij het renderen van inline elementen door WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterd geheugenbeheer. Met dank aan James Robinson van Google, Inc. voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1784

    Beschikbaar voor: iOS 2.0 tot 4.0.2 voor iPhone 3G en hoger, iOS 2.1 tot 4.0.2 voor iPod touch (2e generatie) en hoger

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is een probleem met geheugenbeschadiging bij de verwerking van CSS counters door WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterd geheugenbeheer. Met dank aan wushi van team509 in samenwerking met het Zero Day Initiative van TippingPoint voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1787

    Beschikbaar voor: iOS 2.0 tot 4.0.2 voor iPhone 3G en hoger, iOS 2.1 tot 4.0.2 voor iPod touch (2e generatie) en hoger

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is een probleem met geheugenbeschadiging bij de verwerking van zwevende elementen in SVG-documenten door WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterd geheugenbeheer.

  • WebKit

    CVE-ID: CVE-2010-1791

    Beschikbaar voor: iOS 2.0 tot 4.0.2 voor iPhone 3G en hoger, iOS 2.1 tot 4.0.2 voor iPod touch (2e generatie) en hoger

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is een probleem met ondertekening bij de verwerking van JavaScript-arrays door WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterde verwerking van JavaScript-array-indices. Met dank aan Natalie Silvanovich voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1788

    Beschikbaar voor: iOS 2.0 tot 4.0.2 voor iPhone 3G en hoger, iOS 2.1 tot 4.0.2 voor iPod touch (2e generatie) en hoger

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er treedt een probleem met geheugenbeschadiging op bij de verwerking van ‘use’-elementen in SVG-documenten door WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterde verwerking van ‘use’-elementen in SVG-documenten. Met dank aan Justin Schuh van Google, Inc. voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1812

    Beschikbaar voor: iOS 2.0 tot 4.0.2 voor iPhone 3G en hoger, iOS 2.1 tot 4.0.2 voor iPod touch (2e generatie) en hoger

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is een use-after-free-probleem bij de verwerking van selecties door WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterde verwerking van selecties. Met dank aan chipplyman voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1813

    Beschikbaar voor: iOS 2.0 tot 4.0.2 voor iPhone 3G en hoger, iOS 2.1 tot 4.0.2 voor iPod touch (2e generatie) en hoger

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is een probleem met geheugenbeschadiging bij de weergave van HTML-objectoverzichten. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterd geheugenbeheer. Met dank aan Jose A. Vazquez van spa-s3c.blogspot.com voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1814

    Beschikbaar voor: iOS 2.0 tot 4.0.2 voor iPhone 3G en hoger, iOS 2.1 tot 4.0.2 voor iPod touch (2e generatie) en hoger

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is een probleem met geheugenbeschadiging bij de verwerking van formuliermenu’s door WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterde verwerking van formuliermenu’s. Met dank aan Csaba Osztrogonac van University of Szeged voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1815

    Beschikbaar voor: iOS 2.0 tot 4.0.2 voor iPhone 3G en hoger, iOS 2.1 tot 4.0.2 voor iPod touch (2e generatie) en hoger

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is een use-after-free-probleem bij de verwerking van schuifbalken door WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterd geheugenbeheer. Met dank aan thabermann voor het melden van dit probleem.

FaceTime is niet in alle landen of regio’s beschikbaar.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Aan het gebruik van internet zijn risico’s verbonden. Neem contact op met de leverancier voor meer informatie. Andere bedrijfs- en productnamen zijn mogelijk handelsmerken van de respectievelijke eigenaars.

Publicatiedatum: