Over de beveiligingsinhoud van iOS 4.2

In dit document wordt de beveiligingsinhoud van iOS 4.2 beschreven die u kunt downloaden en installeren via iTunes.

In dit document wordt de beveiligingsinhoud van iOS 4.2 beschreven die u kunt downloaden en installeren via iTunes.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple-productbeveiliging voor meer informatie over Apple-productbeveiliging.

Raadpleeg ‘Hoe gebruikt u de Apple Product Security PGP-sleutel’ voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg ‘Apple-beveiligingsupdates’ voor meer informatie over andere beveiligingsupdates.

iOS 4.2

  • Configuratieprofielen

    CVE-ID: CVE-2010-3827

    Beschikbaar voor: iOS 2.0 t/m 4.1 voor iPhone 3G en hoger, iOS 2.1 t/m 4.1 voor iPod touch (2e generatie) en hoger, iOS 3.2 t/m 3.2.2 voor iPad

    Impact: een gebruiker kan worden misleid om een kwaadwillig vervaardigd configuratieprofiel te installeren

    Beschrijving: er is een probleem met de validatie van de handtekening bij het verwerken van configuratieprofielen. Een kwaadwillig vervaardigd configuratieprofiel kan een geldige handtekening blijken te hebben in het hulpprogramma voor de installatie van de configuratie. Dit probleem wordt verholpen door een verbeterde validatie van handtekeningen van profielen. Met dank aan Barry Simpson van Bomgar Corporation voor het melden van dit probleem.

  • CoreGraphics

    CVE-ID: CVE-2010-2805, CVE-2010-2806, CVE-2010-2807, CVE-2010-2808, CVE-2010-3053, CVE-2010-3054

    Beschikbaar voor: iOS 2.0 t/m 4.1 voor iPhone 3G en hoger, iOS 2.1 t/m 4.1 voor iPod touch (2e generatie) en hoger, iOS 3.2 t/m 3.2.2 voor iPad

    Impact: meerdere kwetsbaarheden in FreeType 2.4.1

    Beschrijving: er zijn meerdere kwetsbaarheden in FreeType 2.4.1, waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code bij de verwerking van een kwaadwillig vervaardigd lettertype. Deze problemen worden verholpen door FreeType bij te werken naar versie 2.4.2. Meer informatie is beschikbaar via de FreeType-website op http://www.freetype.org/ .

  • FreeType

    CVE-ID: CVE-2010-3814

    Beschikbaar voor: iOS 2.0 t/m 4.1 voor iPhone 3G en hoger, iOS 2.1 t/m 4.1 voor iPod touch (2e generatie) en hoger, iOS 3.2 t/m 3.2.2 voor iPad

    Impact: het bekijken van een pdf-document met kwaadwillig vervaardigde ingebedde lettertypen kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: er is een heapbufferoverloop bij het verwerken van TrueType-opcodes door FreeType. Het bekijken van een pdf-document met kwaadwillig vervaardigde ingebedde lettertypen kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door een verbeterde bounds checking.

  • Weergave van iAd-materiaal

    CVE-ID: CVE-2010-3828

    Beschikbaar voor: iOS 2.0 t/m 4.1 voor iPhone 3G en hoger, iOS 2.1 t/m 4.1 voor iPod touch (2e generatie) en hoger, iOS 3.2 t/m 3.2.2 voor iPad

    Impact: een aanvaller in een geprivilegieerde netwerkpositie kan een oproep starten

    Beschrijving: er is een probleem met de verwerking van een URL in de weergave van iAd-materiaal. Een iAd wordt vereist door een programma, ofwel automatisch ofwel expliciet aangevraagd door een gebruiker. Door de invoeging van het materiaal van een gevraagde advertentie met een koppeling dat een URL-schema bevat voor het starten van een aanroep. Dit probleem wordt verholpen door te verzekeren dat de gebruiker wordt gevraagd voordat een aanroep wordt gestart vanaf een koppeling. Met dank aan Aaron Sigel van vtty.com voor het melden van dit probleem.

  • ImageIO

    CVE-ID: CVE-2010-2249, CVE-2010-1205

    Beschikbaar voor: iOS 2.0 t/m 4.1 voor iPhone 3G en hoger, iOS 2.1 t/m 4.1 voor iPod touch (2e generatie) en hoger, iOS 3.2 t/m 3.2.2 voor iPad

    Impact: meerdere kwetsbaarheden in libpng

    Beschrijving: libpng is bijgewerkt naar versie 1.4.3 om meerdere kwetsbaarheden te verhelpen, waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code. Meer informatie is beschikbaar via de libpng-website op http://www.libpng.org/pub/png/libpng.html.

  • libxml

    CVE-ID: CVE-2010-4008

    Beschikbaar voor: iOS 2.0 t/m 4.1 voor iPhone 3G en hoger, iOS 2.1 t/m 4.1 voor iPod touch (2e generatie) en hoger, iOS 3.2 t/m 3.2.2 voor iPad

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is een probleem met geheugenbeschadiging bij de verwerking van xpath door libxml. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterde verwerking van xpaths. Met dank aan Bui Quang Minh van Bkis (www.bkis.com) voor het melden van dit probleem.

  • Mail

    CVE-ID: CVE-2010-3829

    Beschikbaar voor: iOS 2.0 t/m 4.1 voor iPhone 3G en hoger, iOS 2.1 t/m 4.1 voor iPod touch (2e generatie) en hoger, iOS 3.2 t/m 3.2.2 voor iPad

    Impact: Mail kan DNS-namen omzetten wanneer het laden van externe afbeeldingen is uitgeschakeld

    Beschrijving: wanneer WebKit een HTML-koppelingselement aantreft dat DNS-prefetching verzoekt, zal het de prefetching uitvoeren zelfs als het laden van externe afbeeldingen is uitgeschakeld. Dit kan leiden tot onverwachte verzoeken van externe servers. De zender van een HTML-geformatteerd e-mailbericht kan dit gebruiken om te bepalen of het bericht is gelezen. Dit probleem wordt verholpen door DNS-prefetching uit te schakelen wanneer het laden van externe afbeeldingen is uitgeschakeld. Met dank aan Mike Cardwell van Cardwell IT Ltd. voor het melden van dit probleem.

  • Netwerken

    CVE-ID: CVE-2010-1843

    Beschikbaar voor: iOS 4.0 t/m 4.1 voor iPhone 3GS en hoger, iOS 4.0 t/m 4.1 voor iPod touch (3e generatie), iOS 3.2 t/m 3.2.2 voor iPad

    Impact: een externe aanvaller kan zorgen voor een onverwachte systeemuitschakeling

    Beschrijving: er is een null pointer-dereferentie bij de verwerking van Protocol Independent Multicast (PIM)-pakketten. Door de verzending van een kwaadwillig vervaardigd PIM-pakket kan een externe aanvaller zorgen voor een onverwachte systeemuitschakeling. Dit probleem wordt verholpen door een verbeterde validatie van PIM-pakketten. Met dank aan een anonieme onderzoeker in samenwerking met het Zero Day Initiative van TippingPoint voor het melden van dit probleem. Dit probleem is niet van invloed op apparaten met een iOS-versie die ouder is dan 3.2.

  • Netwerken

    CVE-ID: CVE-2010-3830

    Beschikbaar voor: iOS 2.0 t/m 4.1 voor iPhone 3G en hoger, iOS 2.1 t/m 4.1 voor iPod touch (2e generatie) en hoger, iOS 3.2 t/m 3.2.2 voor iPad

    Impact: kwaadaardige code kan systeembevoegdheden verkrijgen

    Beschrijving: er is een ongeldige pointer reference in het netwerk bij de verwerking van filterregels voor pakketten. Hierdoor kan kwaadaardige code worden uitgevoerd in de sessie van de gebruiker om systeembevoegdheden te verkrijgen. Dit probleem wordt verholpen door een verbeterde verwerking van filterregels voor pakketten.

  • OfficeImport

    CVE-ID: CVE-2010-3786

    Beschikbaar voor: iOS 3.2 t/m 3.2.2 voor iPad

    Impact: het weergeven van een kwaadaardig vervaardigd Excel-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is een probleem met geheugenbeschadiging bij de verwerking van Excel-bestanden door OfficeImport. Het weergeven van een kwaadwillig vervaardigd Excel-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door middel van verbeterde bounds checking. Dit probleem is verholpen voor iPhones in iOS 4. Met dank aan Tobias Klein in samenwerking met VeriSign iDefense Labs voor het melden van dit probleem.
  • Codeslot

    CVE-ID: CVE-2010-4012

    Beschikbaar voor: iOS 4.0 t/m 4.1 voor iPhone 3G en hoger

    Impact: een persoon met fysieke toegang tot een apparaat heeft wellicht toegang tot gebruikersgegevens

    Beschrijving: er is een probleem met de racevoorwaarde bij de verwerking van noodoproepen. Door de sluimerknop in te drukken kort nadat een oproep wordt gestart vanaf het scherm Noodoproep, kan een persoon de toegangscode omzeilen. Het probleem wordt verholpen door een verbeterde controle van de vergrendelde status.

  • Foto’s

    CVE-ID: CVE-2010-3831

    Beschikbaar voor: iOS 2.0 t/m 4.1 voor iPhone 3G en hoger, iOS 2.1 t/m 4.1 voor iPod touch (2e generatie) en hoger, iOS 3.2 t/m 3.2.2 voor iPad

    Impact: ‘Stuur naar MobileMe’ kan leiden tot het vrijgeven van het wachtwoord van de MobileMe-account

    Beschrijving: met het programma Foto’s kunnen gebruikers hun foto’s en films delen op verschillende manieren. Een van deze manieren is de knop ‘Stuur naar MobileMe’ die het geselecteerde materiaal stuurt naar de MobileMe-galerie van de gebruiker. Het programma Foto’s gebruikt de basisidentiteitscontrole via HTTP als de server geen ander mechanisme voor identiteitscontrole als beschikbaar opgeeft. Een aanvaller in een geprivilegieerde netwerkpositie kan het antwoord van de MobileMe-galerie manipuleren om een basisidentiteitscontrole aan te vragen. Dit kan leiden tot het vrijgeven van het wachtwoord van de MobileMe-account. Dit probleem wordt verholpen door de ondersteuning voor basisidentiteitscontrole uit te schakelen. Met dank aan Aaron Sigel van vtty.com voor het melden van dit probleem.

  • Safari

    CVE-ID: CVE-2009-1707

    Beschikbaar voor: iOS 2.0 t/m 4.1 voor iPhone 3G en hoger, iOS 2.1 t/m 4.1 voor iPod touch (2e generatie) en hoger, iOS 3.2 t/m 3.2.2 voor iPad

    Impact: ‘Safari opnieuw instellen’ verwijdert mogelijk niet onmiddellijk wachtwoorden van websites uit het geheugen

    Beschrijving: nadat u de menuoptie ‘Safari opnieuw instellen...’ kiest en vervolgens het aankruisvak van ‘Opgeslagen namen en wachtwoorden verwijderen’ inschakelt en daarna op de knop ‘Opnieuw instellen’ klikt, kan het tot 30 seconden duren voordat Safari de wachtwoorden heeft verwijderd. Een gebruiker met toegang tot het apparaat kan in die tijdsspanne toegang krijgen tot de opgeslagen gegevens. Dit probleem wordt verholpen door de racevoorwaarde die tot de vertraging leidde op te lossen. Met dank aan Philippe Couturier van izypage.com en Andrew Wellington van de Australian National University voor het melden van dit probleem.

  • Telefonie

    CVE-ID: CVE-2010-3832

    Beschikbaar voor: iOS 2.0 t/m 4.1 voor iPhone 3G en hoger, iOS 3.2 t/m 3.2.2 voor iPad

    Impact: een externe aanvaller kan het uitvoeren van willekeurige code veroorzaken

    Beschrijving: er is een heapbufferoverloop bij de afhandeling van Temporary Mobile Subscriber Identity (TMSI)-velden in GSM Mobility Management. Zo kan een externe aanvaller ervoor zorgen dat willekeurige code wordt uitgevoerd op de basisbandprocessor. Dit probleem wordt verholpen door middel van verbeterde bounds checking. Met dank aan Ralf-Philipp Weinmann van de University of Luxembourg voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-3803

    Beschikbaar voor: iOS 2.0 t/m 4.1 voor iPhone 3G en hoger, iOS 2.1 t/m 4.1 voor iPod touch (2e generatie) en hoger, iOS 3.2 t/m 3.2.2 voor iPad

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is een overloop bij gehele getallen bij de verwerking van strings door WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door middel van verbeterde bounds checking. Met dank aan J23 voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-3824

    Beschikbaar voor: iOS 2.0 t/m 4.1 voor iPhone 3G en hoger, iOS 2.1 t/m 4.1 voor iPod touch (2e generatie) en hoger, iOS 3.2 t/m 3.2.2 voor iPad

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is een probleem bij gebruik na een gratis periode bij de verwerking van ‘use’-elementen in SVG-documenten door WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterde verwerking van het geheugen. Met dank aan wushi van team509 voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-3816

    Beschikbaar voor: iOS 2.0 t/m 4.1 voor iPhone 3G en hoger, iOS 2.1 t/m 4.1 voor iPod touch (2e generatie) en hoger, iOS 3.2 t/m 3.2.2 voor iPad

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is een probleem bij gebruik na een gratis periode bij de verwerking van schuifbalken door WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterde verwerking van het geheugen. Met dank aan Rohit Makasana van Google Inc. voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-3809

    Beschikbaar voor: iOS 2.0 t/m 4.1 voor iPhone 3G en hoger, iOS 2.1 t/m 4.1 voor iPod touch (2e generatie) en hoger, iOS 3.2 t/m 3.2.2 voor iPad

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is een probleem met een ongeldige cast-conversie bij de verwerking van regelgebonden stijlen door WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterde verwerking van regelgebonden stijlen. Met dank aan Abhishek Arya (Inferno) van het Google Chrome Security Team voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-3810

    Beschikbaar voor: iOS 2.0 t/m 4.1 voor iPhone 3G en hoger, iOS 2.1 t/m 4.1 voor iPod touch (2e generatie) en hoger, iOS 3.2 t/m 3.2.2 voor iPad

    Impact: een kwaadwillig vervaardigde website kan het adres in de locatiebalk vervalsen of willekeurige locaties toevoegen aan de geschiedenis

    Beschrijving: er is een ‘cross-origin’-probleem bij de verwerking van het object History door WebKit. Een kwaadwillig vervaardigde website kan het adres in de locatiebalk vervalsen of willekeurige locaties toevoegen aan de geschiedenis. Dit probleem wordt verholpen door een verbeterde tracking van beveiligingsbronnen. Met dank aan Mike Taylor van Opera Software voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-3805

    Beschikbaar voor: iOS 2.0 t/m 4.1 voor iPhone 3G en hoger, iOS 2.1 t/m 4.1 voor iPod touch (2e generatie) en hoger, iOS 3.2 t/m 3.2.2 voor iPad

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is een negatieve overloop bij de verwerking van WebSockets door Webkit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door middel van verbeterde bounds checking. Met dank aan Keith Campbell en Cris Neckar van het Google Chrome Security Team voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-3823

    Beschikbaar voor: iOS 2.0 t/m 4.1 voor iPhone 3G en hoger, iOS 2.1 t/m 4.1 voor iPod touch (2e generatie) en hoger, iOS 3.2 t/m 3.2.2 voor iPad

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is een probleem bij gebruik na een gratis periode bij de verwerking van Geolocation-objecten door WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterde verwerking van het geheugen. Met dank aan kuzzcc voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-3116

    Beschikbaar voor: iOS 2.0 t/m 4.1 voor iPhone 3G en hoger, iOS 2.1 t/m 4.1 voor iPod touch (2e generatie) en hoger, iOS 3.2 t/m 3.2.2 voor iPad

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er zijn meerdere problemen bij gebruik na een gratis periode bij het verwerken van plugins door WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Deze problemen worden verholpen door een verbeterde verwerking van het geheugen.

  • WebKit

    CVE-ID: CVE-2010-3812

    Beschikbaar voor: iOS 2.0 t/m 4.1 voor iPhone 3G en hoger, iOS 2.1 t/m 4.1 voor iPod touch (2e generatie) en hoger, iOS 3.2 t/m 3.2.2 voor iPad

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving:: er is een overloop bij gehele getallen bij de verwerking van tekstobjecten door WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door middel van verbeterde bounds checking. Met dank aan J23 in samenwerking met het Zero Day Initiative van TippingPoint voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-3808

    Beschikbaar voor: iOS 2.0 t/m 4.1 voor iPhone 3G en hoger, iOS 2.1 t/m 4.1 voor iPod touch (2e generatie) en hoger, iOS 3.2 t/m 3.2.2 voor iPad

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is een probleem met een ongeldige cast-conversie bij de verwerking van bewerkingscommando’s door WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterde verwerking van bewerkingscommando’s. Met dank aan wushi van team509 voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-3259

    Beschikbaar voor: iOS 2.0 t/m 4.1 voor iPhone 3G en hoger, iOS 2.1 t/m 4.1 voor iPod touch (2e generatie) en hoger, iOS 3.2 t/m 3.2.2 voor iPad

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het vrijgeven van afbeeldingsgegevens van een andere website

    Beschrijving: er is een ‘cross-origin’-probleem bij de verwerking van afbeeldingen die zijn gemaakt met ‘canvas’-elementen door WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het vrijgeven van afbeeldingsgegevens van een andere website. Dit probleem wordt verholpen door een verbeterde tracking van beveiligingsbronnen. Met dank aan Isaac Dawson en James Qiu van Microsoft en Microsoft Vulnerability Research (MSVR) voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1822

    Beschikbaar voor: iOS 2.0 t/m 4.1 voor iPhone 3G en hoger, iOS 2.1 t/m 4.1 voor iPod touch (2e generatie) en hoger, iOS 3.2 t/m 3.2.2 voor iPad

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is een probleem met een ongeldige cast-conversie bij de verwerking van SVG-elementen in niet-SVG-documenten door WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterde verwerking van SVG-elementen. Met dank aan wushi van team509 voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-3811

    Beschikbaar voor: iOS 2.0 t/m 4.1 voor iPhone 3G en hoger, iOS 2.1 t/m 4.1 voor iPod touch (2e generatie) en hoger, iOS 3.2 t/m 3.2.2 voor iPad

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is een probleem bij gebruik na een gratis periode bij de verwerking van elementkenmerken door WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterde verwerking van het geheugen. Met dank aan Michal Zalewski voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-3817

    Beschikbaar voor: iOS 2.0 t/m 4.1 voor iPhone 3G en hoger, iOS 2.1 t/m 4.1 voor iPod touch (2e generatie) en hoger, iOS 3.2 t/m 3.2.2 voor iPad

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is een probleem met een ongeldige cast-conversie bij de verwerking van CSS 3D-omzettingen door WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterde verwerking van CSS 3D-omzettingen. Met dank aan Abhishek Arya (Inferno) van het Google Chrome Security Team voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-3818

    Beschikbaar voor: iOS 2.0 t/m 4.1 voor iPhone 3G en hoger, iOS 2.1 t/m 4.1 voor iPod touch (2e generatie) en hoger, iOS 3.2 t/m 3.2.2 voor iPad

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is een probleem bij gebruik na een gratis periode bij de verwerking van regelgebonden tekstvakken door WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterde verwerking van het geheugen. Met dank aan Abhishek Arya (Inferno) van het Google Chrome Security Team voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-3819

    Beschikbaar voor: iOS 2.0 t/m 4.1 voor iPhone 3G en hoger, iOS 2.1 t/m 4.1 voor iPod touch (2e generatie) en hoger, iOS 3.2 t/m 3.2.2 voor iPad

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is een probleem met een ongeldige cast-conversie bij de verwerking van CSS-vakken door WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterde verwerking van CSS-vakken. Met dank aan Abhishek Arya (Inferno) van het Google Chrome Security Team voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-3820

    Beschikbaar voor: iOS 2.0 t/m 4.1 voor iPhone 3G en hoger, iOS 2.1 t/m 4.1 voor iPod touch (2e generatie) en hoger, iOS 3.2 t/m 3.2.2 voor iPad

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is een probleem met een niet-geïnitialiseerde geheugentoegang bij de verwerking van bewerkbare elementen door WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterde verwerking van bewerkbare elementen. Met dank aan Apple.

  • WebKit

    CVE-ID: CVE-2010-1789

    Beschikbaar voor: iOS 2.0 t/m 4.1 voor iPhone 3G en hoger, iOS 2.1 t/m 4.1 voor iPod touch (2e generatie) en hoger, iOS 3.2 t/m 3.2.2 voor iPad

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is een heapbufferoverloop bij de verwerking van JavaScript-stringobjecten door WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door middel van verbeterde bounds checking. Met dank aan Apple.

  • WebKit

    CVE-ID: CVE-2010-1806

    Beschikbaar voor: iOS 2.0 t/m 4.1 voor iPhone 3G en hoger, iOS 2.1 t/m 4.1 voor iPod touch (2e generatie) en hoger, iOS 3.2 t/m 3.2.2 voor iPad

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is een probleem bij gebruik na een gratis periode bij de verwerking van elementen met run-in styling. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterde verwerking van objectpointers. Met dank aan wushi van team509 in samenwerking met het Zero Day Initiative van TippingPoint voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-3257

    Beschikbaar voor: iOS 2.0 t/m 4.1 voor iPhone 3G en hoger, iOS 2.1 t/m 4.1 voor iPod touch (2e generatie) en hoger, iOS 3.2 t/m 3.2.2 voor iPad

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is een probleem bij gebruik na een gratis periode bij de verwerking van de elementfocus door WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterd beheer van het geheugen. Met dank aan het VUPEN Vulnerability Research Team voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-3826

    Beschikbaar voor: iOS 2.0 t/m 4.1 voor iPhone 3G en hoger, iOS 2.1 t/m 4.1 voor iPod touch (2e generatie) en hoger, iOS 3.2 t/m 3.2.2 voor iPad

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is een probleem met een ongeldige cast-conversie bij de verwerking van kleuren in SVG-documenten door WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterde verwerking van kleuren in SVG-documenten. Met dank aan Abhishek Arya (Inferno) van het Google Chrome Security Team voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1807

    Beschikbaar voor: iOS 2.0 t/m 4.1 voor iPhone 3G en hoger, iOS 2.1 t/m 4.1 voor iPod touch (2e generatie) en hoger, iOS 3.2 t/m 3.2.2 voor iPad

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is een probleem met de invoervalidatie bij de verwerking van drijvende-kommagegevenstypen door Webkit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterde verwerking van drijvende-kommawaarden. Met dank aan Luke Wagner van Mozilla voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-3821

    Beschikbaar voor: iOS 2.0 t/m 4.1 voor iPhone 3G en hoger, iOS 2.1 t/m 4.1 voor iPod touch (2e generatie) en hoger, iOS 3.2 t/m 3.2.2 voor iPad

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is een probleem met geheugenbeschadiging bij de verwerking van het ‘:first-letter’ pseudo-element in trapsgewijze stijlbladen. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterde verwerking van het ‘:first-letter’ pseudo-element. Met dank aan Cris Neckar en Abhishek Arya (Inferno) van het Google Chrome Security Team voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-3804

    Beschikbaar voor: iOS 2.0 t/m 4.1 voor iPhone 3G en hoger, iOS 2.1 t/m 4.1 voor iPod touch (2e generatie) en hoger, iOS 3.2 t/m 3.2.2 voor iPad

    Impact: websites kunnen gebruikers ongemerkt volgen

    Beschrijving: Safari genereert willekeurige getallen voor JavaScript-toepassingen met behulp van een voorspelbaar algoritme. Hierdoor kan een website een bepaalde Safari-sessie volgen zonder hulp van cookies, verborgen formulierelementen, IP-adressen of andere technieken. Deze update verhelpt het probleem door gebruik te maken van een sterkere module voor het genereren van willekeurige getallen. Met dank aan Amit Klein van Trusteer voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-3813

    Beschikbaar voor: iOS 2.0 t/m 4.1 voor iPhone 3G en hoger, iOS 2.1 t/m 4.1 voor iPod touch (2e generatie) en hoger, iOS 3.2 t/m 3.2.2 voor iPad

    Impact: WebKit voert mogelijk DNS-prefetching uit, zelfs wanneer het is uitgeschakeld

    Beschrijving: wanneer WebKit een HTML-koppelingselement aantreft dat DNS-prefetching verzoekt, zal het de bewerking uitvoeren zelfs indien prefetching is uitgeschakeld. Dit kan leiden tot onverwachte verzoeken van externe servers. Voorbeeld: de zender van een HTML-geformatteerd e-mailbericht kan dit gebruiken om te bepalen of het bericht is gelezen. Dit probleem wordt verholpen door een verbeterde verwerking van verzoeken om DNS-prefetching. Met dank aan Jeff Johnson van Rogue Amoeba Software voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-3822

    Beschikbaar voor: iOS 2.0 t/m 4.1 voor iPhone 3G en hoger, iOS 2.1 t/m 4.1 voor iPod touch (2e generatie) en hoger, iOS 3.2 t/m 3.2.2 voor iPad

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is een probleem met een niet-geïnitialiseerde aanwijzer bij de verwerking van CSS-tellerstijlen. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterde verwerking van CSS-tellerstijlen. Met dank aan kuzzcc voor het melden van dit probleem.

  • WebKit

    Beschikbaar voor: iOS 2.0 t/m 4.1 voor iPhone 3G en hoger, iOS 2.1 t/m 4.1 voor iPod touch (2e generatie) en hoger, iOS 3.2 t/m 3.2.2 voor iPad

    Impact: een kwaadwillig vervaardigde website kan bepalen welke sites een gebruiker heeft bezocht

    Beschrijving: er is een ontwerpprobleem bij de verwerking van de CSS :visited pseudo-class in WebKit. Een kwaadwillig vervaardigde website kan bepalen welke sites een gebruiker heeft bezocht. Deze update beperkt de mogelijkheid van webpagina’s om pagina’s een stijl toe te wijzen op basis van de al dan niet bezochte status van koppelingen.

  • Meerdere componenten

    CVE-ID: CVE-2010-0051, CVE-2010-0544, CVE-2010-0042, CVE-2010-1384, CVE-2010-1387, CVE-2010-1392, CVE-2010-1394, CVE-2010-1403, CVE-2010-1405, CVE-2010-1407, CVE-2010-1408, CVE-2010-1410, CVE-2010-1414, CVE-2010-1415, CVE-2010-1416, CVE-2010-1417, CVE-2010-1418, CVE-2010-1421, CVE-2010-1422, CVE-2010-1757, CVE-2010-1758, CVE-2010-1764, CVE-2010-1770, CVE-2010-1771, CVE-2010-1780, CVE-2010-1781, CVE-2010-1782, CVE-2010-1783, CVE-2010-1784, CVE-2010-1785, CVE-2010-1786, CVE-2010-1787, CVE-2010-1788, CVE-2010-1791, CVE-2010-1793, CVE-2010-1811, CVE-2010-1812, CVE-2010-1813, CVE-2010-1814, CVE-2010-1815

    Beschikbaar voor: iOS 3.2 t/m 3.2.2 voor iPad

    Impact: meerdere verbeteringen aan de beveiliging in iOS voor iPad

    Beschrijving: deze update bevat verbeteringen aan de beveiliging die voor iPhone en iPod touch in iOS 4 en iOS 4.1 werden geleverd.

 

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Aan het gebruik van internet zijn risico’s verbonden. Neem contact op met de leverancier voor meer informatie. Andere bedrijfs- en productnamen zijn mogelijk handelsmerken van de respectievelijke eigenaars.

Publicatiedatum: