Over de beveiligingsinhoud van iOS 2.2 en iOS voor iPod touch 2.2

In dit document wordt de beveiligingsinhoud van iOS 2.2 en iOS voor iPod touch 2.2 beschreven.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple-productbeveiliging voor meer informatie over Apple-productbeveiliging.

Raadpleeg "De Apple PGP-sleutel voor productbeveiliging gebruiken" voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg "Apple-beveiligingsupdates" voor meer informatie over andere beveiligingsupdates.

Dit artikel is gearchiveerd en wordt niet meer bijgewerkt door Apple.

iOS 2.2 en iOS voor iPod touch 2.2

  • CoreGraphics

    CVE-ID: CVE-2008-2321

    Beschikbaar voor: iOS 1.0 tot 2.1, iOS voor iPod touch 1.1 tot 2.1

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: in CoreGraphics treden problemen op met geheugenbeschadiging bij het verwerken van argumenten. Het doorsturen van onbetrouwbare invoer naar CoreGraphics via een programma, zoals een webbrowser, kan leiden tot het onverwacht beëindigen van een programma of het uitvoeren van willekeurige code. In deze update wordt dat probleem verholpen door middel van verbeterde bounds checking. Met dank aan Michal Zalewski van Google voor het melden van dit probleem.

  • ImageIO

    CVE-ID: CVE-2008-2327

    Beschikbaar voor: iOS 1.0 tot 2.1, iOS voor iPod touch 1.1 tot 2.1

    Impact: het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan het onverwacht afsluiten van het programma of uitvoering van willekeurige code tot gevolg hebben

    Beschrijving: er bestaan meerdere problemen met een niet-geïnitialiseerde geheugentoegang bij het behandelen van LZF-gecodeerde TIFF-afbeeldingen door libTIFF. Het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot het onverwacht afsluiten van het programma of het uitvoeren van willekeurige code. Deze update verhelpt dit probleem door juiste geheugeninitialisatie en verdere controle van TIFF-afbeeldingen.

  • ImageIO

    CVE-ID: CVE-2008-1586

    Beschikbaar voor: iOS 1.0 tot 2.1, iOS voor iPod touch 1.1 tot 2.1

    Impact: de weergave van kwaadaardige TIFF-afbeeldingen kan leiden tot een onverwachte reset van het apparaat

    Beschrijving: er bestaat een geheugenuitputtingsprobleem bij het behandelen van TIFF-afbeeldingen De weergave van kwaadaardige TIFF-afbeeldingen kan leiden tot een onverwachte reset van het apparaat. Deze update verhelpt dit probleem door het geheugengebruik te beperken voor het openen van een TIFF-afbeelding. Met dank aan Sergio 'shadown' Alvarez van Recurity Labs GmbH voor het melden van dit probleem.

  • Netwerken

    CVE-ID: CVE-2008-4227

    Beschikbaar voor: iOS 1.0 tot 2.1, iOS voor iPod touch 1.1 tot 2.1

    Impact: het coderingsniveau van PPTP VPN-verbindingen kan lager zijn dan verwacht

    Beschrijving: het coderingsniveau van PPTP VPN-verbindingen kan worden teruggezet naar een eerdere, lagere instelling. Deze update verhelpt dit probleem door de coderingsvoorkeuren correct in te stellen. Met dank aan Stephen Butler van de University of Illinois at Urbana-Champaign voor het melden van dit probleem.

  • Office Viewer

    CVE-ID: CVE-2008-4211

    Beschikbaar voor: iOS 1.0 tot 2.1, iOS voor iPod touch 1.1 tot 2.1

    Impact: het weergeven van een kwaadwillig vervaardigd Microsoft Excel-bestand kan leiden tot het onverwachts beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een signedness-probleem bij het behandelen van kolommen in Microsoft Excel-bestanden door Office Viewer wat kan leiden tot een out-of-bounds geheugentoegang. Het weergeven van een kwaadwillig vervaardigd Microsoft Excel-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Deze update verhelpt dit probleem door te zorgen dat de getroffen indexwaarden niet negatief zijn. Met dank aan Apple.

  • Codeslot

    CVE-ID: CVE-2008-4228

    Beschikbaar voor: iOS 1.0 tot 2.1, iOS voor iPod touch 1.1 tot 2.1

    Impact: noodoproepen worden niet beperkt tot alarmnummers

    Beschrijving: met de iPhone is het mogelijk een noodoproep te plaatsen wanneer deze vergrendeld is. Momenteel kan een noodoproep worden gemaakt naar een willekeurig nummer. Iemand met fysieke toegang tot een iPhone kan misbruik maken van deze functie voor het maken van willekeurige gesprekken die bij de eigenaar van de iPhone in rekening worden gebracht. Deze update verhelpt dit probleem door noodoproepen te beperken tot een bepaald aantal telefoonnummers.

  • Codeslot

    CVE-ID: CVE-2008-4229

    Beschikbaar voor: iOS 1.0 tot 2.1, iOS voor iPod touch 1.1 tot 2.1

    Impact: bij het herstellen van een apparaat vanaf een reservekopie wordt het codeslot niet opnieuw geactiveerd

    Beschrijving: de functie Codeslot is ontworpen zodat toepassingen niet kunnen worden gestart als de toegangscode niet correct is ingevoerd. Een racevoorwaarde bij het behandelen van de apparaatinstellingen kan ertoe leiden dat het codeslot wordt verwijderd wanneer het apparaat vanaf een reservekopie wordt hersteld. Dit kan ertoe leiden dat iemand met fysieke toegang tot het apparaat toepassingen kan openen zonder de toegangscode. Deze update verhelpt dit probleem door de mogelijkheid van het systeem te verbeteren om ontbrekende voorkeuren te herkennen. Dit probleem is niet van toepassing op systemen ouder dan iOS 2.0 of iOS voor iPod touch 2.0. Met dank aan Nolen Scaife voor het melden van dit probleem.

  • Codeslot

    CVE-ID: CVE-2008-4230

    Beschikbaar voor: iOS 1.0 tot 2.1, iOS voor iPod touch 1.1 tot 2.1

    Impact: sms-berichten kunnen worden weergegeven voordat de toegangscode is ingevoerd

    Beschrijving: als een sms-bericht wordt ontvangen terwijl het noodoproepscherm wordt weergegeven, wordt het volledige sms-bericht weergegeven, zelfs als de optie 'Toon deel van sms' is uitgeschakeld. Deze update verhelpt dit probleem door, in deze situatie, alleen te melden dat er een sms-bericht is ontvangen, zonder dat de inhoud wordt weergegeven.

  • Safari

    CVE-ID: CVE-2008-4231

    Beschikbaar voor: iOS 1.0 tot 2.1, iOS voor iPod touch 1.1 tot 2.1

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er treedt een probleem met geheugenbeschadiging op bij de verwerking van HTML-tabelelementen. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem dankzij een verbeterde afhandeling van HTML-tabelelementen. Met dank aan Haifei Li van het FortiGuard Global Security Research Team van Fortinet voor het melden van dit probleem.

  • Safari

    CVE-ID: CVE-2008-4232

    Beschikbaar voor: iOS 1.0 tot 2.1, iOS voor iPod touch 1.1 tot 2.1

    Impact: websites met ingebedde iframe-elementen kunnen kwetsbaar zijn voor vervalsing van de gebruikersinterface

    Beschrijving: Safari staat toe dat een iframe-element buiten de grenzen wordt weergegeven, wat kan leiden tot vervalsing van de gebruikersinterface. Deze update verhelpt dit probleem door het weergeven van iframe-elementen buiten hun grenzen niet langer toe te staan. Dit probleem is niet van toepassing op systemen ouder dan iOS 2.0 of iOS voor iPod touch 2.0. Met dank aan John Resig van Mozilla Corporation voor het melden van dit probleem.

  • Safari

    CVE-ID: CVE-2008-4233

    Beschikbaar voor: iOS 1.0 tot 2.1, iOS voor iPod touch 1.1 tot 2.1

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan een gesprek tot stand brengen zonder interactie met de gebruiker

    Beschrijving:  als een programma via Safari wordt geopend wanneer het dialoogvenster voor goedkeuring van een gesprek wordt weergegeven, wordt het gesprek tot stand gebracht. Hierdoor kan een kwaadwillig vervaardigde website een gesprek tot stand brengen zonder interactie met de gebruiker. Bovendien kan een kwaadwillig vervaardigde website in bepaalde gevallen de mogelijkheid van de gebruiker om het tot stand brengen van een gesprek blokkeren tijdens een korte periode. In deze update wordt het probleem verholpen door het dialoogvenster voor goedkeuring van een gesprek in Safari te sluiten wanneer een programma wordt geopend via Safari. Met dank aan Collin Mulliner van Fraunhofer SIT voor het melden van dit probleem. 
  • Webkit

    CVE-ID: CVE-2008-3644

    Beschikbaar voor: iOS 1.0 tot 2.1, iOS voor iPod touch 1.1 tot 2.1

    Impact: gevoelige gegevens kunnen kenbaar worden gemaakt aan iemand met fysieke toegang tot een niet-vergrendeld apparaat

    Beschrijving: wanneer de optie voor automatisch aanvullen van een veld in een formulier is uitgeschakeld, worden mogelijk toch gegevens in het veld opgeslagen in de paginacache van de browser. Dit kan ertoe leiden dat gevoelige gegevens kenbaar worden gemaakt aan iemand met fysieke toegang tot een niet-vergrendeld apparaat. Deze update verhelpt dit probleem door de formuliergegevens correct te wissen. Met dank aan een anonieme onderzoeker voor het melden van dit probleem.

Belangrijk: Informatie over producten die niet door Apple zijn vervaardigd, is alleen bedoeld voor informatieve doeleinden en impliceert niet dat Apple deze producten goedkeurt of aanbeveelt. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: