Over de beveiligingsinhoud van iPod touch v2.1

In dit document wordt de beveiligingsinhoud van iPod touch v2.1 beschreven.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Raadpleeg de website Apple productbeveiliging voor meer informatie over de Apple-productbeveiliging.

Zie 'How to use the Apple Product Security PGP Key' (Hoe gebruikt u de Apple PGP-sleutel voor productbeveiliging) voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's gebruikt om verwijzingen te bieden voor kwetsbare punten voor nadere informatie.

Zie 'Apple beveiligingsupdates' voor meer informatie over andere beveiligingsupdates.

Dit artikel is gearchiveerd en wordt niet meer bijgewerkt door Apple.

iPod touch v2.1

  • Sandbox voor programma's

    CVE-ID: CVE-2008-3631

    Beschikbaar voor: iPod touch v2.0 tot en met v2.0.2

    Impact: een programma kan mogelijk bestanden van andere programma's lezen.

    Beschrijving: de sandbox past de toegangsrechten voor programma's van externe fabrikanten niet op de juiste manier toe. Daardoor kan een extern programma mogelijk bestanden lezen in de sandbox van een ander extern programma, wat kan leiden tot het vrijgeven van vertrouwelijke informatie. Met deze update wordt het probleem verholpen door de juiste toegangsrechten voor sandboxen toe te passen. Met dank aan Nicolas Seriot van Sen:te en Bryce Cogswell voor het melden van dit probleem. Het probleem is niet van invloed op iPod touch-versies ouder dan v2.0.

  • CoreGraphics

    CVE-ID: CVE-2008-1806, CVE-2008-1807, CVE-2008-1808

    Beschikbaar voor: iPod touch v1.1 tot en met v2.0.2

    Impact: meerdere zwakke plekken in FreeType v2.3.5

    Beschrijving: FreeType v2.3.5 beschikt over meerdere zwakke plekken, waarvan de meest ernstige problemen kunnen leiden tot het uitvoeren van willekeurige code bij het openen van kwaadwillig vervaardigde lettertypegegevens. Met deze update wordt het probleem verholpen door de beveiligingsupdates uit FreeType 2.3.6 toe te passen. Meer informatie vindt u op de website van FreeType op http://www.freetype.org/

  • mDNSResponder

    CVE-ID: CVE-2008-1447

    Beschikbaar voor: iPod touch v1.1 tot en met v2.0.2

    Impact: mDNSResponder is vatbaar voor besmettingen van de DNS-cache en kan onjuiste informatie terugsturen.

    Beschrijving: mDNSResponder biedt een vertaling tussen hostnamen en IP-adressen voor programma's die gebruikmaken van de unicast API voor DNS-resolutie. Door een zwakke plek in de DNS-protocol kan een externe aanvaller aanvallen uitvoeren en de DNS-cache besmetten. Als gevolg hiervan ontvangen programma's die afhankelijk zijn van mDNSResponder voor DNS mogelijk onjuiste informatie. Met deze update wordt het probleem verholpen door willekeurige bronpoorten en transactie-id's in te stellen als bescherming tegen aanvallen die de cache besmetten. Met dank aan Dan Kaminsky van IOActive voor het melden van dit probleem.

  • Netwerken

    CVE-ID: CVE-2008-3612

    Beschikbaar voor: iPod touch v2.0 tot en met v2.0.2

    Impact: het genereren van voorspelbare initiële TCP-volgnummers kan leiden tot TCP-vervalsing of sessiekaping.

    Beschrijving: initiële TCP-volgnummers worden op volgorde gegenereerd. Door voorspelbare initiële volgnummers kunnen externe aanvallers een vervalste TCP-verbinding maken of gegevens invoegen in een bestaande TCP-verbinding. Met deze update wordt het probleem opgelost door willekeurig initiële TCP-volgnummers te genereren. Dit probleem is niet van invloed op iPod touch-versies ouder dan v2.0.

  • WebKit

    CVE-ID: CVE-2008-3632

    Beschikbaar voor: iPod touch v1.1 tot en met v2.0.2

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

    Beschrijving: er doet zich een 'use-after-free'-probleem voor bij het verwerken van CSS-importinstructies in WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Met deze update wordt het probleem verholpen door een verbeterde verwerking van documentverwijzingen.

Belangrijk: informatie over producten die niet door Apple zijn vervaardigd, is alleen ter informatie en impliceert niet dat Apple deze producten goedkeurt of aanbeveelt. Neem contact op met de leverancier voor aanvullende informatie.

Publicatiedatum: