De beveiligingsinhoud van iOS 5-software-update

In dit artikel wordt de beveiligingsinhoud van iOS 5-software-update beschreven.

In dit document wordt de beveiligingsinhoud van de iOS 5-software-update beschreven die u kunt downloaden en installeren via iTunes.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple productbeveiliging voor meer informatie over Apple-productbeveiliging.

Raadpleeg Hoe gebruikt u de Apple Product Security PGP-sleutel voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg Apple-beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

iOS 5-software-update

 • CalDAV

  Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

  Impact: een aanvaller met een geprivilegieerde netwerkpositie kan inloggegevens of andere vertrouwelijke informatie van gebruikers onderscheppen vanaf een CalDAV-agendaserver

  Beschrijving: CalDAV heeft niet gecontroleerd of het SSL-certificaat, dat is geleverd door de server, betrouwbaar was.

  CVE-ID

  CVE-2011-3253: Leszek Tasiemski van nSense

 • Agenda

  Beschikbaar voor: iOS 4.2.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 4.2.0 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 4.2.0 t/m 4.3.5 voor iPad

  Impact: het bekijken van een kwaadwillig vervaardigde agenda zorgt er mogelijk voor dat script in het lokale domein terechtkomt

  Beschrijving: er was een probleem met het invoegen van script bij het verwerken van uitnodigingsberichten. Dit probleem wordt verholpen door een verbeterde escaping van speciale tekens in uitnodigingsberichten. Deze problemen zijn niet van invloed op apparaten ouder dan iOS 4.2.0.

  CVE-ID

  CVE-2011-3254: Rick Deacon

 • CFNetwork

  Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

  Impact: het wachtwoord van een Apple ID van een gebruiker is mogelijk bijgehouden in een lokaal bestand

  Beschrijving: het wachtwoord en de gebruikersnaam van de Apple ID van een gebruiker zijn bijgehouden in een bestand dat door programma’s in het systeem kon worden gelezen. Dit wordt verholpen door deze inloggegevens niet langer bij te houden.

  CVE-ID

  CVE-2011-3255: Peter Quade van qdevelop

 • CFNetwork

  Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

  Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het vrijgeven van vertrouwelijke informatie

  Beschrijving: er was een probleem bij de verwerking van HTTP-cookies in CFNetwork. Bij de toegang tot een kwaadwillig vervaardigde HTTP- of HTTPS-URL kan CFNetwork de cookies voor een domein onterecht versturen naar een server buiten dat domein.

  CVE-ID

  CVE-2011-3246: Erling Ellingsen van Facebook

 • CoreFoundation

  Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

  Impact: het bekijken van een kwaadwillig vervaardigde website of kwaadwillig vervaardigd e-mailbericht kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

  Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van de tokenisatie van de tekenreeks in CoreFoundation.

  CVE-ID

  CVE-2011-0259: Apple

 • CoreGraphics

  Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

  Impact: het bekijken van een document met een kwaadwillig vervaardigd lettertype kan leiden tot het uitvoeren van willekeurige code

  Beschrijving: er waren meerdere problemen met geheugenbeschadiging in FreeType waarvan de ernstigste konden leiden tot het uitvoeren van willekeurige code bij de verwerking van een kwaadwillig vervaardigd lettertype.

  CVE-ID

  CVE-2011-3256: Apple

 • CoreMedia

  Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

  Impact: het bekijken van kwaadwillig vervaardigde website kan leiden tot het vrijgeven van videogegevens van een andere website

  Beschrijving: er was een ‘cross-origin’-probleem bij de verwerking van cross-site doorverwijzingen in CoreMedia. Dit probleem wordt verholpen door een verbeterde brontracering.

  CVE-ID

  CVE-2011-0187: Nirankush Panchbhai en Microsoft Vulnerability Research (MSVR)

 • Gegevenstoegang

  Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

  Impact: een probleem met cookiebeheer voor Exchange-e-mail kan een foutieve synchronisatie van gegevens tussen verschillende accounts als gevolg hebben

  Beschrijving: wanneer meerdere Exchange-e-mailaccounts zijn geconfigureerd die verbinding maken met dezelfde server, kan een sessie mogelijk een geldige cookie ontvangen die toebehoort aan een andere account. Dit probleem wordt verholpen door ervoor te zorgen dat cookies worden gescheiden tussen verschillende accounts.

  CVE-ID

  CVE-2011-3257: Bob Sielken van IBM

 • Gegevensbeveiliging

  Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

  Impact: een aanvaller met een geprivilegieerde netwerkpositie kan inloggegevens of andere vertrouwelijke informatie van gebruikers onderscheppen

  Beschrijving: frauduleuze certificaten zijn uitgevaardigd door meerdere certificaatautoriteiten beheerd door DigiNotar. Dit probleem wordt verholpen door DigiNotar te verwijderen uit de lijst met vertrouwde rootcertificaten, uit de lijst met autoriteiten van uitgebreide validatiecertificaten en door de standaard vertrouwensinstellingen van het systeem te configureren zodat certificaten van DigiNotar, inclusief deze uitgevaardigd door andere autoriteiten, niet worden vertrouwd.

 • Gegevensbeveiliging

  Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

  Impact: ondersteuning voor X.509-certificaten met MD5-hashes kan gebruikers blootstellen aan vervalsing en bekendmaking van gegevens naarmate de aanvallen verbeteren

  Beschrijving: certificaten die zijn ondertekend met het MD5-hashalgoritme zijn aanvaard door iOS. Dit algoritme heeft bekende cryptografische zwakheden. Verder onderzoek of een verkeerd geconfigureerde certificaatautoriteit kon het aanmaken van X.509-certificaten met door de aanvaller gecontroleerde waarden hebben toegestaan die het systeem zou hebben vertrouwd. Dit zou de X.509-protocollen hebben blootgesteld aan vervalsing, ‘man-in-the-middle’-aanvallen en vrijgave van gegevens. Deze update schakelt de ondersteuning voor een X.509-certificaat met een MD5-hash uit voor elk ander gebruik dan een vertrouwd rootcertificaat.

  CVE-ID

  CVE-2011-3427

 • Gegevensbeveiliging

  Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

  Impact: een aanvaller kon een deel van een SSL-verbinding ontsleutelen

  Beschrijving: alleen de SSLv3- en TLS 1.0-versies van SSL waren ondersteund. Deze versies zijn onderhevig aan zwakheden in het protocol bij het gebruik van blokcodes. Een ‘man-in-the-middle’-aanvaller kon ongeldige gegevens hebben ingevoegd, waardoor de verbinding zou worden gesloten en informatie over de vorige gegevens zou worden weergegeven. Als herhaaldelijk is geprobeerd om dezelfde verbinding tot stand te brengen, heeft de aanvaller mogelijk een deel van de verzonden gegevens, zoals een wachtwoord, ontsleuteld. Dit probleem wordt verholpen door ondersteuning voor TLS 1.2 toe te voegen.

  CVE-ID

  CVE-2011-3389

 • Beginscherm

  Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

  Impact: de overschakeling tussen programma’s leidt mogelijk tot de vrijgave van vertrouwelijke programmagegevens

  Beschrijving: bij de overschakeling tussen programma’s met het viervingerige gebaar om te schakelen, kon het scherm de vorige programmastatus vrijgeven. Dit probleem wordt verholpen door ervoor te zorgen dat het systeem de methode applicationWillResignActive: juist aanroept bij het schakelen tussen programma’s.

  CVE-ID

  CVE-2011-3431: Abe White van Hedonic Software Inc.

 • ImageIO

  Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

  Impact: het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

  Beschrijving: er was een bufferoverloop bij de verwerking van CCITT Group 4-gecodeerde TIFF-afbeeldingen door libTIFF.

  CVE-ID

  CVE-2011-0192: Apple

 • ImageIO

  Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

  Impact: het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

  Beschrijving: er was een bufferoverloop bij het verwerken van CCITT Group 4-gecodeerde TIFF-afbeeldingen door ImageIO.

  CVE-ID

  CVE-2011-0241: Cyril CATTIAUX van Tessi Technologies

 • ICU

  Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

  Impact: programma’s die gebruik maken van ICU zijn mogelijk kwetsbaar voor het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

  Beschrijving: er was een bufferoverloop bij het aanmaken van sorteringssleutels voor lange tekenreeksen met vrijwel allemaal hoofdletters in ICU.

  CVE-ID

  CVE-2011-0206: David Bienvenu van Mozilla

 • Kernel

  Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

  Impact: een externe aanvaller kan ervoor zorgen dat een apparaat opnieuw wordt ingesteld

  Beschrijving: de kernel claimde niet onmiddellijk het geheugen van onvoltooide TCP-verbindingen terug. Een aanvaller met de mogelijkheid om verbinding te maken met een luistervoorziening op een iOS-apparaat kan de systeembronnen uitputten.

  CVE-ID

  CVE-2011-3259: Wouter van der Veer van Topicus I&I, en Josh Enders

 • Kernel

  Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

  Impact: een lokale gebruiker kan ervoor zorgen dat het systeem opnieuw wordt ingesteld

  Beschrijving: er was een null-dereferentie bij de verwerking van IPV6-socketopties.

  CVE-ID

  CVE-2011-1132: Thomas Clement van Intego

 • Toetsenborden

  Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

  Impact: een gebruiker kan informatie over het laatste teken van een wachtwoord verkrijgen

  Beschrijving: het toetsenbord dat is gebruikt om het laatste teken van een wachtwoord te typen, werd even weergegeven de volgende keer dat het toetsenbord werd gebruikt.

  CVE-ID

  CVE-2011-3245: Paul Mousdicas

 • libxml

  Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

  Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

  Beschrijving: er was een heapbufferoverloop van één byte bij de verwerking van XML-gegevens door libxml.

  CVE-ID

  CVE-2011-0216: Billy Rios van het Google Security Team

 • OfficeImport

  Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

  Impact: het bekijken van een kwaadwillig vervaardigd Word-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

  Beschrijving: er was een bufferoverloop bij de verwerking van Microsoft Word-bestanden in OfficeImport.

  CVE-ID

  CVE-2011-3260: Tobias Klein in samenwerking met Verisign iDefense Labs

 • OfficeImport

  Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

  Impact: het weergeven van een kwaadwillig vervaardigd Excel-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

  Beschrijving: er was een double free-probleem bij de verwerking van Excel-bestanden in OfficeImport.

  CVE-ID

  CVE-2011-3261: Tobias Klein van www.trapkit.de

 • OfficeImport

  Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

  Impact: het downloaden van een kwaadwillig vervaardigd Microsoft Office-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

  Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van Microsoft Office-bestanden in OfficeImport.

  CVE-ID

  CVE-2011-0208: Tobias Klein in samenwerking met iDefense VCP

 • OfficeImport

  Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

  Impact: het downloaden van een kwaadwillig vervaardigd Excel-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

  Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van Excel-bestanden in OfficeImport.

  CVE-ID

  CVE-2011-0184: Tobias Klein in samenwerking met iDefense VCP

 • Safari

  Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

  Impact: het openen van kwaadwillig vervaardigde bestanden kan leiden tot een cross-site scriptingaanval

  Beschrijving: iOS ondersteunde de waarde ‘attachment’ voor de HTTP-inhoud-beschikkingskop niet. Deze kop wordt gebruikt door veel websites om bestanden te voorzien die naar de site door een derde zijn geüpload, zoals bijlagen in webgebaseerde e-mailprogramma’s. Een script in bestanden die worden voorzien met deze kop, zou worden uitgevoerd alsof het bestand inline werd voorzien, met volledige toegang tot andere bronnen op de bronserver. Dit probleem wordt verholpen door bijlagen te laden in een afgescheiden beveiligde plaats zonder toegang tot bronnen op andere sites.

  CVE-ID

  CVE-2011-3426: Christian Matthies in samenwerking met iDefense VCP, Yoshinori Oota van Business Architects Inc in samenwerking met JP/CERT

 • Instellingen

  Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

  Impact: een aanvaller met fysieke toegang tot een apparaat kan de toegangscode voor de beperkingen achterhalen

  Beschrijving: de functionaliteit van ouderlijk toezicht legt beperkingen voor de UI (gebruikersinterface) op. De configuratie van ouderlijk toezicht wordt beschermd door een toegangscode die eerder in platte tekst op een schijf is bewaard. Dit probleem wordt verholpen door de veilige opslag van de toegangscode voor ouderlijk toezicht in de sleutelhanger van het systeem.

  CVE-ID

  CVE-2011-3429: een anonieme melder

 • Instellingen

  Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

  Impact: misleidende UI

  Beschrijving: configuraties en instellingen toegepast via configuratieprofielen werkten onder een niet-Engelse taal niet naar behoren. Hierdoor konden instellingen verkeerd worden weergegeven. Dit probleem wordt verholpen door een lokalisatiefout op te lossen.

  CVE-ID

  CVE-2011-3430: Florian Kreitmaier van Siemens CERT

 • UIKit-waarschuwingen

  Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

  Impact: een bezoek aan een kwaadwillige vervaardigde website kan ervoor zorgen dat het apparaat onverwacht blokkeert

  Beschrijving: een te lange tekstlay-out liet kwaadwillig vervaardigde websites toe om iOS te doen blokkeren bij het maken van dialoogvensters voor het accepteren van heel lange tel: URI’s. Dit probleem wordt verholpen door een redelijkere maximale grootte voor URI’s te gebruiken.

  CVE-ID

  CVE-2011-3432: Simon Young van Anglia Ruskin University

 • WebKit

  Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

  Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

  Beschrijving: er waren meerdere problemen met geheugenbeschadiging in WebKit.

  CVE-ID

  CVE-2011-0218: SkyLined van Google Chrome Security Team

  CVE-2011-0221: Abhishek Arya (Inferno) van Google Chrome Security Team

  CVE-2011-0222: Nikita Tarakanov en Alex Bazhanyuk van het CISS Research Team en Abhishek Arya (Inferno) van Google Chrome Security Team

  CVE-2011-0225: Abhishek Arya (Inferno) van Google Chrome Security Team

  CVE-2011-0232: J23 in samenwerking met het Zero Day Initiative van TippingPoint

  CVE-2011-0233: wushi van team509 in samenwerking met het Zero Day Initiative van TippingPoint

  CVE-2011-0234: Rob King in samenwerking met het Zero Day Initiative van TippingPoint, wushi van team509 in samenwerking met Zero Day Initiative van TippingPoint

  CVE-2011-0235: Abhishek Arya (Inferno) van Google Chrome Security Team

  CVE-2011-0238: Adam Barth van Google Chrome Security Team

  CVE-2011-0254: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van TippingPoint

  CVE-2011-0255: een anonieme melder in samenwerking met het Zero Day Initiative van TippingPoint

  CVE-2011-0981: Rik Cabanier van Adobe Systems, Inc

  CVE-2011-0983: Martin Barbella

  CVE-2011-1109: Sergey Glazunov

  CVE-2011-1114: Martin Barbella

  CVE-2011-1115: Martin Barbella

  CVE-2011-1117: wushi van team509

  CVE-2011-1121: miaubiz

  CVE-2011-1188: Martin Barbella

  CVE-2011-1203: Sergey Glazunov

  CVE-2011-1204: Sergey Glazunov

  CVE-2011-1288: Andreas Kling van Nokia

  CVE-2011-1293: Sergey Glazunov

  CVE-2011-1296: Sergey Glazunov

  CVE-2011-1449: Marek Majkowski

  CVE-2011-1451: Sergey Glazunov

  CVE-2011-1453: wushi van team509 in samenwerking met het Zero Day Initiative van TippingPoint

  CVE-2011-1457: John Knottenbelt van Google

  CVE-2011-1462: wushi van team509

  CVE-2011-1797: wushi van team509

  CVE-2011-2338: Abhishek Arya (Inferno) van Google Chrome Security Team met behulp van AddressSanitizer

  CVE-2011-2339: Cris Neckar van het Google Chrome Security Team

  CVE-2011-2341: wushi van team509 in samenwerking met Verisign iDefense Labs

  CVE-2011-2351: miaubiz

  CVE-2011-2352: Apple

  CVE-2011-2354: Apple

  CVE-2011-2356: Adam Barth en Abhishek Arya van Google Chrome Security Team met behulp van AddressSanitizer

  CVE-2011-2359: miaubiz

  CVE-2011-2788: Mikolaj Malecki van Samsung

  CVE-2011-2790: miaubiz

  CVE-2011-2792: miaubiz

  CVE-2011-2797: miaubiz

  CVE-2011-2799: miaubiz

  CVE-2011-2809: Abhishek Arya (Inferno) van Google Chrome Security Team

  CVE-2011-2813: Cris Neckar van Google Chrome Security Team met behulp van AddressSanitizer

  CVE-2011-2814: Abhishek Arya (Inferno) van Google Chrome Security Team met behulp van AddressSanitizer

  CVE-2011-2816: Apple

  CVE-2011-2817: Abhishek Arya (Inferno) van Google Chrome Security Team met behulp van AddressSanitizer

  CVE-2011-2818: Martin Barbella

  CVE-2011-2820: Raman Tenneti en Philip Rogers van Google

  CVE-2011-2823: SkyLined van Google Chrome Security Team

  CVE-2011-2827: miaubiz

  CVE-2011-2831: Abhishek Arya (Inferno) van Google Chrome Security Team met behulp van AddressSanitizer

  CVE-2011-3232: Aki Helin van OUSPG

  CVE-2011-3234: miaubiz

  CVE-2011-3235: Dimitri Glazkov, Kent Tamura, Dominic Cooney van de Chromium development community en Abhishek Arya (Inferno) van Google Chrome Security Team

  CVE-2011-3236: Abhishek Arya (Inferno) van Google Chrome Security Team met behulp van AddressSanitizer

  CVE-2011-3237: Dimitri Glazkov, Kent Tamura, Dominic Cooney van de Chromium development community en Abhishek Arya (Inferno) van Google Chrome Security Team

  CVE-2011-3244: vkouchna

 • WebKit

  Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

  Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot een cross-site scripting-aanval

  Beschrijving: er was een ‘cross-origin’-probleem bij de verwerking van URL’s met een ingebedde gebruikersnaam. Dit probleem wordt verholpen door een verbeterde verwerking van URL’s met een ingebedde gebruikersnaam.

  CVE-ID

  CVE-2011-0242: Jobert Abma van Online24

 • WebKit

  Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

  Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot een cross-site scripting-aanval

  Beschrijving: er was een ‘cross-origin’-probleem bij de verwerking van DOM-nodes.

  CVE-ID

  CVE-2011-1295: Sergey Glazunov

 • WebKit

  Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

  Impact: een kwaadwillig vervaardigde website kan ervoor zorgen dat een andere URL wordt weergegeven in de adresbalk

  Beschrijving: er was een probleem met vervalsing van URL’s bij de verwerking van het DOM-geschiedenisobject.

  CVE-ID

  CVE-2011-1107: Jordi Chancel

 • WebKit

  Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

  Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot het uitvoeren van willekeurige code

  Beschrijving: er was een configuratieprobleem bij het gebruik van libxslt in WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan ervoor zorgen dat willekeurige bestanden worden aangemaakt die de bevoegdheden van de gebruiker hebben, waardoor het uitvoeren van willekeurige code mogelijk is. Dit probleem wordt verholpen door verbeterde beveiligingsinstellingen voor libxslt.

  CVE-ID

  CVE-2011-1774: Nicolas Gregoire van Agarri

 • WebKit

  Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

  Impact: een bezoek aan een kwaadwillige website en informatie slepen in de pagina kan leiden tot het vrijgeven van informatie

  Beschrijving: er was een ‘cross-origin’-probleem bij de verwerking van HTML5 slepen door WebKit. Dit probleem wordt verholpen door slepen over verschillende origins niet toe te staan.

  CVE-ID

  CVE-2011-0166: Michal Zalewski van Google Inc.

 • WebKit

  Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

  Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot de vrijgave van informatie

  Beschrijving: er was een ‘cross-origin’-probleem bij de verwerking van Web Workers.

  CVE-ID

  CVE-2011-1190: Daniel Divricean van divricean.ro

 • WebKit

  Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

  Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot een cross-site scripting-aanval

  Beschrijving: er was een ‘cross-origin’-probleem bij de verwerking van de methode window.open.

  CVE-ID

  CVE-2011-2805: Sergey Glazunov

 • WebKit

  Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

  Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot een cross-site scripting-aanval

  Beschrijving: er was een ‘cross-origin’-probleem bij de verwerking van inactieve DOM-vensters.

  CVE-ID

  CVE-2011-3243: Sergey Glazunov

 • WebKit

  Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

  Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot een cross-site scripting-aanval

  Beschrijving: er was een ‘cross-origin’-probleem bij de verwerking van het kenmerk document.documentURI.

  CVE-ID

  CVE-2011-2819: Sergey Glazunov

 • WebKit

  Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en hoger, iOS 3.2 t/m 4.3.5 voor iPad

  Impact: een kwaadwillig vervaardigde website kan URL’s bijhouden die een gebruiker bezoekt in een frame

  Beschrijving: er was een ‘cross-origin’-probleem bij de verwerking van de gebeurtenis beforeload.

  CVE-ID

  CVE-2011-2800: Juho Nurminen

 • Wifi

  Beschikbaar voor: iOS 3.0 t/m 4.3.5 voor iPhone 3GS en iPhone 4, iOS 3.1 t/m 4.3.5 voor iPod touch (3e generatie) en nieuwer, iOS 3.2 t/m 4.3.5 voor iPad

  Impact: de inloggegevens voor wifi worden mogelijk bijgehouden in een lokaal bestand

  Beschrijving: de inloggegevens voor wifi, inclusief de wachtzin en encryptiesleutels, werden bijgehouden in een bestand dat leesbaar was voor programma's op het systeem. Dit wordt verholpen door deze inloggegevens niet langer bij te houden.

  CVE-ID

  CVE-2011-3434: Laurent OUDOT van TEHTRI Security

 

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: