Over de beveiligingsinhoud van iPhone v2.0 en iPod touch v2.0

In dit document wordt de beveiligingsinhoud van iPhone v2.0 en iPod touch v2.0 beschreven.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Raadpleeg de website Apple productbeveiliging voor meer informatie over de Apple-productbeveiliging.

Zie 'How to use the Apple Product Security PGP Key' (Hoe gebruikt u de Apple PGP-sleutel voor productbeveiliging) voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's gebruikt om verwijzingen te bieden voor kwetsbare punten voor nadere informatie.

Zie 'Apple beveiligingsupdates' voor meer informatie over andere beveiligingsupdates.

Dit artikel is gearchiveerd en wordt niet meer bijgewerkt door Apple.

iPhone v2.0 en iPod touch v2.0

  • CFNetwork

    CVE-ID: CVE-2008-0050

    Beschikbaar voor: iPhone v1.0 t/m v1.1.4, iPod touch v1.1 t/m v1.1.4

    Effect: een kwaadwillige proxyserver kan beveiligde websites vervalsen

    Beschrijving: een kwaadwillige HTTPS-proxyserver kan arbitraire gegevens retourneren naar CFNetwork met een foutmelding 502 Bad Gateway, waardoor een beveiligde website kan worden vervalst. In deze update wordt het probleem verholpen door de gegevens die door de proxyserver worden aangeleverd, niet te retourneren met een foutmelding.

  • Kernel

    CVE-ID: CVE-2008-0177

    Beschikbaar voor: iPhone v1.0 t/m v1.1.4, iPod touch v1.1 t/m v1.1.4

    Effect: een externe aanvaller kan ervoor zorgen dat het systeem onverwacht opnieuw wordt ingesteld

    Beschrijving: bij de verwerking van pakketten met een IPComp-header doet zich een niet-gedetecteerde fouttoestand voor. Wanneer een kwaadwillig vervaardigd pakket naar een systeem wordt verzonden dat is geconfigureerd voor het gebruik van IPSec of OPv6, kan dit tot gevolg hebben dat het apparaat onverwacht opnieuw wordt ingesteld. In deze update wordt het probleem verholpen door de fouttoestand correct te detecteren.

  • Safari

    CVE-ID: CVE-2008-1588

    Beschikbaar voor: iPhone v1.0 t/m v1.1.4, iPod touch v1.1 t/m v1.1.4

    Effect: ideografische Unicode-spaties kunnen worden gebruikt om een website te vervalsen

    Beschrijving: wanneer in Safari de URL in de adresbalk wordt weergegeven, worden ideografische Unicode-spaties weergegeven. Hierdoor kan op een kwaadwillig vervaardigde website de gebruiker worden omgeleid naar een vervalste site die op het eerste gezicht een legitiem domein lijkt te zijn. In deze update wordt het probleem verholpen door geen ideografische Unicode-spaties in de adresbalk weer te geven.

  • Safari

    CVE-ID: CVE-2008-1589

    Beschikbaar voor: iPhone v1.0 t/m v1.1.4, iPod touch v1.1 t/m v1.1.4

    Effect: een bezoek aan een kwaadwillende website kan leiden tot het openbaar maken van vertrouwelijke informatie

    Beschrijving: wanneer Safari een website opent waarop een zelfondertekend of ongeldig certificaat wordt gebruikt, wordt de gebruiker gevraagd of deze het certificaat accepteert of weigert. Als de gebruiker in het bericht op een menuknop drukt, wordt het certificaat bij het volgende bezoek aan de site geaccepteerd zonder eerst een bericht weer te geven. Dit kan leiden tot het openbaar maken van vertrouwelijke informatie. In deze update wordt het probleem verholpen door middel van een verbeterde verwerking van certificaten. Met dank aan Hiromitsu Takagi voor het melden van deze kwestie.

  • Safari

    CVE-ID: CVE-2008-2303

    Beschikbaar voor: iPhone v1.0 t/m v1.1.4, iPod touch v1.1 t/m v1.1.4

    Effect: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

    Beschrijving: een probleem met ondertekening bij het verwerken van JavaScript-arrayindexen in Safari kan leiden tot ongeoorloofde geheugentoegang. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. In deze update wordt het probleem verholpen door aanvullende validatie uit te voeren op JavaScript-arrayindexen. Met dank aan SkyLined van Google voor het melden van deze kwestie.

  • Safari

    CVE-ID: CVE-2006-2783

    Beschikbaar voor: iPhone v1.0 t/m v1.1.4, iPod touch v1.1 t/m v1.1.4

    Effect: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot cross-site scripting

    Beschrijving: Safari negeert Unicode Byte Order Mark-reeksen bij het parseren van webpagina's. Bepaalde websites en webinhoudsfilters proberen invoer op te schonen door specifieke HTML-tags te blokkeren. Deze filteraanpak kan worden overgeslagen en kan leiden tot cross-site scripting bij het vaststellen van kwaadwillig vervaardigde HTML-tags die Byte Order Mark-reeksen bevatten. In deze update wordt het probleem verholpen door middel van een verbeterde verwerking van Byte Order Mark-reeksen. Met dank aan Chris Weber van Casaba Security, LLC voor het melden van deze kwestie.

  • Safari

    CVE-ID: CVE-2008-2307

    Beschikbaar voor: iPhone v1.0 t/m v1.1.4, iPod touch v1.1 t/m v1.1.4

    Effect: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

    Beschrijving: er bestaat een probleem met betrekking tot geheugenbeschadiging bij de verwerking van JavaScript-arrays door WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. In deze update wordt dat probleem verholpen door middel van verbeterde bounds checking. Met dank aan James Urquhart voor het melden van dit probleem.

  • Safari

    CVE-ID: CVE-2008-2317

    Beschikbaar voor: iPhone v1.0 t/m v1.1.4, iPod touch v1.1 t/m v1.1.4

    Effect: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er treedt een probleem met geheugenbeschadiging op bij de verwerking van opmaaksjabloonelementen in WebCore. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. In deze update wordt het probleem verholpen door middel van verbeterde garbagecollection. Met dank aan Peter Vreudegnhil werkzaam bij TippingPoint Zero Day Initiative voor het melden van deze kwestie.

  • Safari

    CVE-ID: CVE-2007-6284

    Beschikbaar voor: iPhone v1.0 t/m v1.1.4, iPod touch v1.1 t/m v1.1.4

    Effect: het verwerken van een XML-document kan leiden tot een denial-of-service

    Beschrijving: er treedt een probleem met het gebruikte geheugen op bij de verwerking van XML-documenten die ongeldige UTF-8-reeksen bevatten. Dit kan leiden tot een denial-of-service. In deze update wordt het probleem verholpen door de systeembibliotheek libxml2 bij te werken naar versie 2.6.16.

  • Safari

    CVE-ID: CVE-2008-1767

    Beschikbaar voor: iPhone v1.0 t/m v1.1.4, iPod touch v1.1 t/m v1.1.4

    Effect: het verwerken van een XML-document kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er treedt een probleem met geheugenbeschadiging op in de bibliotheek libxslt. Het weergeven van een kwaadwillig vervaardigde HTML-pagina kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Meer informatie over de toegepaste patch vindt u op de website van xmlsoft.org http://xmlsoft.org/XSLT/ Met dank aan Anthony de Almeida Lopes van Outpost24 AB en Chris Evans van Google Security Team voor het melden van deze kwestie.

  • WebKit

    CVE-ID: CVE-2008-1590

    Beschikbaar voor: iPhone v1.0 t/m v1.1.4, iPod touch v1.1 t/m v1.1.4

    Effect: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er treedt een probleem met geheugenbeschadiging op bij de verwerking van garbagecollection tijdens runtime in JavaScriptCore. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. In deze update wordt het probleem verholpen door middel van verbeterde garbagecollection. Met dank aan Itzik Kotler en Jonathan Rom van Radware voor het melden van deze kwestie.

  • WebKit

    CVE-ID: CVE-2008-1025

    Beschikbaar voor: iPhone v1.0 t/m v1.1.4, iPod touch v1.1 t/m v1.1.4

    Effect: het bezoeken van een kwaadwillig vervaardigde URL kan leiden tot cross-site scripting

    Beschrijving: er treedt een probleem op bij de verwerking van URL's door WebKit die een dubbele punt bevatten in de hostnaam. Het bezoeken van een kwaadwillig vervaardigde URL kan leiden tot een cross-site scripting-aanval. In deze update wordt het probleem verholpen door een verbeterde afhandeling van URL's. Met dank aan Robert Swiecki van Google Security Team en David Bloom voor het melden van deze kwestie.

  • WebKit

    CVE-ID: CVE-2008-1026

    Beschikbaar voor: iPhone v1.0 t/m v1.1.4, iPod touch v1.1 t/m v1.1.4

    Effect: het bekijken van een kwaadwillig vervaardigde webpagina kan leiden tot het onverwacht beëindigen van de toepassing of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een heap-bufferoverloop in de behandeling van reguliere JavaScript-expressies door WebKit. Dit probleem kan ontstaan via JavaScript bij de verwerking van reguliere expressies met grote aantallen geneste herhalingen. Dit kan leiden tot het onverwacht beëindigen van de toepassing of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door een extra validatie van reguliere JavaScript-expressies uit te voeren. Met dank aan Charlie Miller van Independent Security Evaluators voor het melden van deze kwestie.

Belangrijk: de vermelding van websites en producten van derden is alleen bedoeld voor informatieve doeleinden en impliceert niet dat wij deze websites of producten goedkeuren of aanbevelen. Apple kan niet aansprakelijk worden gesteld voor de selectie, de prestaties of het gebruik van informatie of producten op websites van derden. Apple biedt deze vermeldingen alleen aan als dienst naar zijn gebruikers. Apple heeft de informatie op deze websites niet getest en geeft geen verklaring wat betreft de nauwkeurigheid en betrouwbaarheid van deze informatie. Er zijn risico’s verbonden aan het gebruik van informatie of producten die u op internet vindt, en Apple kan hiervoor niet aansprakelijk worden gesteld. Houd er rekening mee dat websites van derden niet afhankelijk zijn van Apple en dat Apple geen enkele controle heeft over de inhoud van die websites. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: