Om sikkerhetsinnholdet i oppdatering 1.0.1 for iPhone
Dette dokumentet beskriver sikkerhetsinnholdet i oppdatering 1.0.1 for iPhone, som kan lastes ned og installeres via iTunes som beskrevet nedenfor.
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Mer informasjon finnes her: Apple-produktsikkerhet.
Mer informasjon finnes her: Slik bruker du PGP-nøkkelen for Apple-produktsikkerhet.
Der det er mulig, brukes CVE-ID-er som henvisning for ytterligere informasjon om svakhetene.
Mer informasjon om andre sikkerhetsoppdateringer finnes her: Apple-sikkerhetsoppdateringer.
Oppdatering 1.0.1 for iPhone
Safari
CVE-ID: CVE-2007-2400
Tilgjengelig for: iPhone 1.0
Virkning: Besøk på et skadelig nettsted kan tillate skripting mellom nettsteder.
Beskrivelse: Safaris sikkerhetsmodell forhindrer at JavaScript på eksterne nettsider endrer sider utenfor domenet. En rasetilstand i sideoppdatering kombinert med HTTP-omdirigering kan gjøre det mulig at JavaScript fra én side endrer en omdirigert side. Da kan informasjonskapsler og sider leses eller endres utilsiktet. Oppdateringen løser problemet ved å korrigere tilgangskontroll til vindusegenskaper. Takk til Lawrence Lai, Stan Switzer og Ed Rowe hos Adobe Systems, Inc. for rapportering av problemet.
Safari
CVE-ID: CVE-2007-3944
Tilgjengelig for: iPhone 1.0
Virkning: Visning av en skadelig utformet nettside kan føre til utilsiktet kodekjøring.
Beskrivelse: Heap-bufferoverløp finnes i PCRE-biblioteket (Perl Compatible Regular Expressions) som brukes av JavaScript-motoren i Safari. Ved å lure en bruker til å besøke en skadelig utformet nettside kan en angriper utløse et problem som kan føre til utilsiktet kodekjøring. Oppdateringen løser problemet ved å utføre ytterligere validering av vanlige JavaScript-uttrykk. Takk til Charlie Miller og Jake Honoroff hos Independent Security Evaluators for rapportering av problemene.
WebCore
CVE-ID: CVE-2007-2401
Tilgjengelig for: iPhone 1.0
Virkning: Besøk på et skadelig nettsted kan tillate forespørsler mellom nettsteder.
Beskrivelse: Det er et HTTP-injeksjonsproblem i XMLHttpRequest ved serialisering av overskrifter til en HTTP-forespørsel. Ved å lure en bruker til å besøke en skadelig nettside, kan en angriper utløse et skriptproblem mellom nettsteder. Oppdateringen løser problemet ved å utføre ytterligere validering av overskriftsparametere. Takk til Richard Moore hos Westpoint Ltd. for rapportering av problemet.
WebKit
CVE-ID: CVE-2007-3742
Tilgjengelig for: iPhone 1.0
Effekt: Tegn som ligner på hverandre kan brukes i en nettadresse til å maskere et nettsted.
Beskrivelse: Støtte for internasjonale domenenavn (IDN) og Unicode-fonter som er innebygd i Safari, kan brukes til å opprette en nettadresse som inneholder tegn som ligner på andre tegn. Disse kan brukes på et skadelig nettsted for å lede brukeren til et forfalsket nettsted som tilsynelatende ser ut som et ekte domene. Denne oppdateringen løser problemet ved å forbedre kontrollen av domenenavnets gyldighet. Takk til Tomohito Yoshino hos Business Architects Inc. for rapportering av dette problemet.
WebKit
CVE-ID: CVE-2007-2399
Tilgjengelig for: iPhone 1.0
Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av en app eller utilsiktet kodekjøring.
Beskrivelse: En ugyldig typekonvertering ved gjengivelse av rammesett kan føre til minnekorrupsjon. Besøk på en skadelig nettside som kan føre til uventet avslutning av en app eller utilsiktet kodekjøring. Takk til Rhys Kidd hos Westnet for rapportering av problemet.
Installasjonsmerknad
Oppdateringen er kun tilgjengelig via iTunes, og vil ikke vises i datamaskinens programvareoppdateringsapplikasjon, eller på Apples nettsted for nedlasting av kundestøtte. Sørg for at du har en Internett-tilkobling og har installert den nyeste versjonen av iTunes fra (www.apple.com/itunes).
iTunes søker automatisk på Apples oppdateringsserver ukentlig. Når den finner en oppdatering, lastes den ned. Når iPhone er dokket, gir iTunes brukeren mulighet til å installere oppdateringen. Vi anbefaler at oppdateringen installeres umiddelbart hvis mulig. Hvis du velger «ikke installer», vises alternativet neste gang du kobler til iPhone. Den automatiske oppdateringsprosessen kan ta opptil en uke, avhengig av dagen iTunes søker etter oppdateringer.
Du kan hente oppdateringen manuelt med knappen «Se etter oppdatering» i iTunes. Deretter kan oppdateringen installeres når iPhone er dokket til datamaskinen.
Slik ser du om iPhone er oppdatert:
Gå til Innstillinger på iPhone.
Klikk på Generelt.
Klikk på Om. Etter at denne oppdateringen er installert, skal versjonen være 1.0.1 (1C25).