Om sikkerhetsinnholdet i iOS 4.2.7-programvareoppdateringen for iPhone

Dette dokumentet beskriver sikkerhetsinnholdet i iOS 4.2.7-programvareoppdateringen.

Dette dokumentet beskriver sikkerhetsinnholdet i iOS 4.2.7-programvareoppdateringen som kan lastes og installeres med iTunes.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apple-produktsikkerhet på nettstedet for Apple-produktsikkerhet.

Hvis du vil ha mer informasjon om PGP-nøkkelen for Apple-produktsikkerhet, kan du lese «Slik bruker du PGP-nøkkelen for Apple-produktsikkerhet.»

Der det er mulig, brukes CVE-ID-er som henvisning for ytterligere informasjon om svakhetene.

Mer informasjon om andre sikkerhetsoppdateringer finnes her: Apple sikkerhetsoppdateringer.

iOS 4.2.7-programvareoppdatering for iPhone

• Certificate Trust Policy

  Tilgjengelig for: iOS 4.2.5 til og med 4.2.6 for iPhone 4 (CDMA)

  Virkning: En angriper i en privilegert nettverksposisjon kan fange opp påloggingsopplysninger eller annen sensitiv informasjon

  Beskrivelse: Flere skadelige SSL-sertifikater ble utstedt av en registreringsautoritet som er en Comodo-partner. Dette kan føre til at en angriper underveis kan omdirigere tilkoblinger og fange opp påloggingsopplysninger eller annen sensitiv informasjon. Problemet er løst ved å sette de skadelige sertifikatene på svartelisten.

  Merk: For Mac OS X-systemer håndteres dette problemet med sikkerhetsoppdatering 2011-002. For Windows-systemer er Safari avhengig av at sertifikatlageret til vertsoperativsystemet bestemmer om et SSL-serversertifikat er godkjent. Bruk av oppdateringen som beskrives i Microsofts kunnskapsbaseartikkel nr. 2524375, vil føre til at Safari betrakter disse sertifikatene som ikke-godkjente. Artikkelen er tilgjengelig på http://support.microsoft.com/kb/2524375

• QuickLook

  Tilgjengelig for: iOS 4.2.5 til og med 4.2.6 for iPhone 4 (CDMA)

  Virkning: Visning av skadelige Microsoft Office-filer kan føre til at et program avsluttes uventet eller at vilkårlig kode utføres

  Beskrivelse: Det var problemer med skadet minne i QuickLooks håndtering av Microsoft Office-filer. Visning av skadelige Microsoft Office-filer kan føre til at et program avsluttes uventet eller at vilkårlig kode utføres.

  CVE-ID

  CVE-2011-1417: Charlie Miller og Dion Blazakis i samarbeid med TippingPoints Zero Day Initiative

• WebKit

  Tilgjengelig for: iOS 4.2.5 til og med 4.2.6 for iPhone 4 (CDMA)

  Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

  Beskrivelse: Det var et problem med heltallsoverflyt ved håndtering av nodesett. Besøk på et skadelig nettsted kan føre til uventet avslutning av en app eller utføring av vilkårlig kode.

  CVE-ID

  CVE-2011-1290: Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp Weinmann og en anonym forsker i samarbeid med TippingPoints Zero Day Initiative

• WebKit

  Tilgjengelig for: iOS 4.2.5 til og med 4.2.6 for iPhone 4 (CDMA)

  Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

  Beskrivelse: Det fantes et bruk-etter-frigivelse-problem i håndteringen av tekstnoder. Besøk på et skadelig nettsted kan føre til uventet avslutning av en app eller utføring av vilkårlig kode.

  CVE-ID

  CVE-2011-1344 : Vupen Security i samarbeid med TippingPoints Zero Day Initiative, og Martin Barbella