Om sikkerhetsinnholdet i iOS 4.3
Dette dokumentet beskriver sikkerhetsinnholdet i iOS 4.3.
Dette dokumentet beskriver sikkerhetsinnholdet i iOS 4.3, som kan lastes ned og installeres ved bruk av iTunes.
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.
Du finner mer informasjon om PGP-nøkkelen fra Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen fra Apple Product Security.
Der det er mulig, brukes CVE-ID-er som henvisning til svakhetene, slik at man kan finne mer informasjon.
Hvis du vil ha mer informasjon om sikkerhetsoppdateringer, kan du se Apple sikkerhetsoppdateringer.
iOS 4.3
CoreGraphics
Tilgjengelig for: iOS 3.0 til og med 4.2.1 for iPhone 3GS og nyere, iOS 3.1 til og med 4.2.1 for iPod touch (3. generasjon) og nyere, iOS 3.2 til og med 4.2.1 for iPad
Virkning: Flere sårbarheter i FreeType
Beskrivelse: Det varr flere sårbarheter i FreeType, og den mest alvorlige kan føre til vilkårlig utførelse av kode ved tilgang til en skadelig font. Disse problemene løses ved å oppdatere FreeType til versjon 2.4.3. Ytterligere informasjon kan fås på nettsidene til FreeType på http://www.freetype.org/
CVE-ID
CVE-2010-3855
ImageIO
Tilgjengelig for: iOS 3.0 til og med 4.2.1 for iPhone 3GS og nyere, iOS 3.1 til og med 4.2.1 for iPod touch (3. generasjon) og nyere, iOS 3.2 til og med 4.2.1 for iPad
Virkning: Visning av et skadelig TIFF-bilde kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode
Beskrivelse: Det var bufferoverflyt i libTIFFs håndtering av JPEG-kodede TIFF-bilder. Visning av et skadelig TIFF-bilde kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode.
CVE-ID
CVE-2011-0191: Apple
ImageIO
Tilgjengelig for: iOS 3.0 til og med 4.2.1 for iPhone 3GS og nyere, iOS 3.1 til og med 4.2.1 for iPod touch (3. generasjon) og nyere, iOS 3.2 til og med 4.2.1 for iPad
Virkning: Visning av et skadelig TIFF-bilde kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode
Beskrivelse: Det var bufferoverflyt i libTIFFs håndtering av CCITT-gruppe 4-kodede TIFF-bilder. Visning av et skadelig TIFF-bilde kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode.
CVE-ID
CVE-2011-0192: Apple
libxml
Tilgjengelig for: iOS 3.0 til og med 4.2.1 for iPhone 3GS og nyere, iOS 3.1 til og med 4.2.1 for iPod touch (3. generasjon) og nyere, iOS 3.2 til og med 4.2.1 for iPad
Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det var et dobbeltfrigivelsesproblem i libxmls håndtering av XPath-uttrykk. Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode.
CVE-ID
CVE-2010-4494: Yang Dingning ved NCNIPC, Graduate University of Chinese Academy of Sciences
Nettverk
Tilgjengelig for: iOS 3.0 til og med 4.2.1 for iPhone 3GS og nyere, iOS 3.1 til og med 4.2.1 for iPod touch (3. generasjon) og nyere, iOS 3.2 til og med 4.2.1 for iPad
Virkning: En tjener kan kunne identifisere en enhet over tilkoblinger
Beskrivelse: IPv6-adressen som enheten har valgt, inneholder enhetens MAC-adresse ved bruk av SLAAC (Stateless Address Autoconfiguration). En IPv6-aktivert tjener som er kontaktet av enheten kan bruke adressen til å spore enheten over tilkoblinger. Denne oppdateringen implementerer IPv6-utvidelsen beskrevet i RFC 3041, ved å legge til en midlertidig vilkårlig adresse som brukes til utgående tilkoblinger.
Safari
Tilgjengelig for: iOS 3.0 til og med 4.2.1 for iPhone 3GS og nyere, iOS 3.1 til og med 4.2.1 for iPod touch (3. generasjon) og nyere, iOS 3.2 til og med 4.2.1 for iPad
Virkning: Besøk på et skadelig nettsted kan føre til at MobileSafari avsluttes ved oppstart
Beskrivelse: Et skadelig nettsted kan inneholde javascript som gjentatte ganger fører til at et annet program på enheten starter via URL-håndtereren. Besøk på dette nettstedet med MobileSafari vil føre til at MobileSafari avsluttes, og målprogrammet startes. Denne sekvensen vil fortsette hver gang MobileSafari åpnes. Problemet håndteres ved å gå tilbake til forrige side når Safari åpnes på nytt etter at et annet program ble åpnet via URL-håndtereren.
CVE-ID
CVE-2011-0158 : Nitesh Dhanjani i Ernst & Young LLP
Safari
Tilgjengelig for: iOS 4.0 til og med 4.2.1 for iPhone 3GS og nyere, iOS 4.0 til og med 4.2.1 for iPod touch (3. generasjon) og nyere, iOS 4.2 til og med 4.2.1 for iPad
Virkning: Fjerning av informasjonskapsler i Safari-innstillingene har ingen effekt
Beskrivelse: I noen tilfeller har fjerning av informasjonskapsler i Safari-innstillingene mens Safari kjører, ingen effekt. Dette problemet løses ved bedre behandling av informasjonskapsler. Dette problemet berører ikke systemer før iOS 4.0.
CVE-ID
CVE-2011-0159 : Erik Wong i Google Inc.
WebKit
Tilgjengelig for: iOS 3.0 til og med 4.2.1 for iPhone 3GS og nyere, iOS 3.1 til og med 4.2.1 for iPod touch (3. generasjon) og nyere, iOS 3.2 til og med 4.2.1 for iPad
Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det er flere problemer med ødelagt hukommelse i WebKit. Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode.
CVE-ID
CVE-2010-1792
CVE-2010-1824 : kuzzcc og wushi i team509 hos TippingPoints Zero Day Initiative
CVE-2011-0111 : Sergey Glazunov
CVE-2011-0112 : Yuzo Fujishima i Google Inc.
CVE-2011-0113 : Andreas Kling i Nokia
CVE-2011-0114 : Chris Evans i Google Chrome Security Team
CVE-2011-0115 : J23 hos TippingPoints Zero Day Initiative og Emil A Eklund i Google, Inc.
CVE-2011-0116 : en anonym forsker hos TippingPoints Zero Day Initiative
CVE-2011-0117 : Abhishek Arya (Inferno) i Google, Inc.
CVE-2011-0118 : Abhishek Arya (Inferno) i Google, Inc.
CVE-2011-0119 : Abhishek Arya (Inferno) i Google, Inc.
CVE-2011-0120 : Abhishek Arya (Inferno) i Google, Inc.
CVE-2011-0121 : Abhishek Arya (Inferno) i Google, Inc.
CVE-2011-0122 : Slawomir Blazek
CVE-2011-0123 : Abhishek Arya (Inferno) i Google, Inc.
CVE-2011-0124 : Yuzo Fujishima i Google Inc.
CVE-2011-0125 : Abhishek Arya (Inferno) i Google, Inc.
CVE-2011-0126 : Mihai Parparita i Google, Inc.
CVE-2011-0127 : Abhishek Arya (Inferno) i Google, Inc.
CVE-2011-0128 : David Bloom
CVE-2011-0129 : Famlam
CVE-2011-0130 : Apple
CVE-2011-0131 : wushi i team509
CVE-2011-0132 : wushi i team509 hos TippingPoints Zero Day Initiative
CVE-2011-0133 : wushi i team509 hos TippingPoints Zero Day Initiative
CVE-2011-0134 : Jan Tosovsky
CVE-2011-0135 : en anonym reporter
CVE-2011-0136 : Sergey Glazunov
CVE-2011-0137 : Sergey Glazunov
CVE-2011-0138 : kuzzcc
CVE-2011-0140 : Sergey Glazunov
CVE-2011-0141 : Chris Rohlf i Matasano Security
CVE-2011-0142 : Abhishek Arya (Inferno) i Google, Inc.
CVE-2011-0143 : Slawomir Blazek og Sergey Glazunov
CVE-2011-0144 : Emil A Eklund i Google, Inc.
CVE-2011-0145 : Abhishek Arya (Inferno) i Google, Inc.
CVE-2011-0146 : Abhishek Arya (Inferno) i Google, Inc.
CVE-2011-0147 : Dirk Schulze
CVE-2011-0148 : Michal Zalewski i Google, Inc.
CVE-2011-0149 : wushi i team509 hos TippingPoints Zero Day Initiative og SkyLined i Google Chrome Security Team
CVE-2011-0150 : Michael Gundlach i safariadblock.com
CVE-2011-0151 : Abhishek Arya (Inferno) i Google, Inc.
CVE-2011-0152 : SkyLined i Google Chrome Security Team
CVE-2011-0153 : Abhishek Arya (Inferno) i Google, Inc.
CVE-2011-0154 : en anonym forsker hos TippingPoints Zero Day Initiative
CVE-2011-0155 : Aki Helin i OUSPG
CVE-2011-0156 : Abhishek Arya (Inferno) i Google, Inc.
CVE-2011-0157 : Benoit Jacob i Mozilla
CVE-2011-0168 : Sergey Glazunov
WebKit
Tilgjengelig for: iOS 3.0 til og med 4.2.1 for iPhone 3GS og nyere, iOS 3.1 til og med 4.2.1 for iPod touch (3. generasjon) og nyere, iOS 3.2 til og med 4.2.1 for iPad
Virkning: Grunnleggende HTTP-autentiseringsinformasjon kan ved en feiltagelse bli avslørt til et annet nettsted
Beskrivelse: Hvis et nettsted bruker grunnleggende HTTP-autentiseringsinformasjon og omdirigerer til et annet nettsted, kan autentiseringsinformasjonen bli sendt til det andre stedet. Problemet løses ved forbedret håndtering av akkreditiver.
CVE-ID
CVE-2011-0160: McIntosh Cooey hos Twelve Hundred Group, Harald Hanche-Olsen, Chuck Hohn hos 1111 Internet LLC som arbeider med CERT og Paul Hinze hos Braintree
WebKit
Tilgjengelig for: iOS 3.0 til og med 4.2.1 for iPhone 3GS og nyere, iOS 3.1 til og med 4.2.1 for iPod touch (3. generasjon) og nyere, iOS 3.2 til og med 4.2.1 for iPad
Virkning: Besøk på et skadelig nettsted kan føre til deklarasjon av stiler på tvers av nettsteder
Beskrivelse: Det var et problem på tvers av opprinnelsessteder i WebKits håndtering av Attr.style-aksessoren. Besøk på skadelig nettsted kan føre til at stedet setter inn CSS i andre dokumenter. Problemet løses ved å fjerne Attr.style-aksessoren.
CVE-ID
CVE-2011-0161: Apple
WebKit
Tilgjengelig for: iOS 3.0 til og med 4.2.1 for iPhone 3GS og nyere, iOS 3.1 til og med 4.2.1 for iPod touch (3. generasjon) og nyere, iOS 3.2 til og med 4.2.1 for iPad
Virkning: Et skadelig nettsted kan hindre at andre steder ber om bestemte ressurser
Beskrivelse: Det var et problem med bufferinfisering i WebKits håndtering av bufrede ressurser. Et skadelig nettsted kan hindre at andre nettsteder ber om bestemte ressurser. Problemet løses ved forbedret typekontroll.
CVE-ID
CVE-2011-0163: Apple
Wi-Fi
Tilgjengelig for: iOS 3.0 til og med 4.2.1 for iPhone 3GS og nyere, iOS 3.1 til og med 4.2.1 for iPod touch (3. generasjon) og nyere, iOS 3.2 til og med 4.2.1 for iPad
Virkning: Når tilkoblet Wi-Fi, kan en angriper i samme nettverk føre til at enheten nullstilles
Beskrivelse: Det var et grensekontrollproblem i håndteringen av Wi-Fi-rammer. Når tilkoblet Wi-Fi, kan en angriper i samme nettverk føre til at enheten nullstilles.
CVE-ID
CVE-2011-0162 : Scott Boyd i ePlus Technology, inc.
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.