Om sikkerhetsinnholdet i oppdateringer for iPhone v2.0 og iPod touch v2.0
Dette dokumentet beskriver sikkerhetsinnholdet for iPhone v2.0 og iPod touch v2.0.
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apple-produktsikkerhet på nettstedet for Apple-produktsikkerhet.
Mer informasjon finnes her: Slik bruker du PGP-nøkkelen for Apple-produktsikkerhet.
Der det er mulig, brukes CVE-ID-er som henvisning for ytterligere informasjon om svakhetene.
Mer informasjon om andre sikkerhetsoppdateringer finnes her: Apple-sikkerhetsoppdateringer.
iPhone v2.0 og iPod touch v2.0
CFNetwork
CVE-ID: CVE-2008-0050
Tilgjengelig for: iPhone v1.0 til v1.1.4, iPod touch v1.1 til v1.1.4
Virkning: En ondsinnet proxyserver kan forfalske sikre nettsteder
Beskrivelse: En ondsinnet HTTPS-proxyserver kan returnere vilkårlige data til CFNetwork i en 502 Bad Gateway-feil, noe som kan tillate forfalskning av et sikkert nettsted. Denne oppdateringen løser problemet ved å ikke returnere dataene som proxyen har levert ved en feiltilstand.
Kernel
CVE-ID: CVE-2008-0177
Tilgjengelig for: iPhone v1.0 til v1.1.4, iPod touch v1.1 til v1.1.4
Virkning: En ekstern angriper kan potensielt forårsake en uventet tilbakestilling av enheten
Beskrivelse: Det eksisterer en uoppdaget feiltilstand i håndteringen av pakker med en IPComp-overskrift. Sending av en ondsinnet utformet pakke til et system konfigurert for å bruke IPSec eller IPv6 kan føre til en uventet tilbakestilling av enheten. Denne oppdateringen løser problemet ved å fange opp feiltilstanden ordentlig.
Safari
CVE-ID: CVE-2008-1588
Tilgjengelig for: iPhone v1.0 til v1.1.4, iPod touch v1.1 til v1.1.4
Virkning: Ideografiske Unicode-mellomrom kan brukes til å forfalske et nettsted
Beskrivelse: Når Safari viser den gjeldende nettadressen i adressefeltet, blir ideografiske Unicode-mellomrom gjengitt. Dette tillater et ondsinnet utformet nettsted å dirigere brukeren til et forfalsket nettsted som visuelt ser ut til å være et legitimt domene. Denne oppdateringen løser problemet ved å ikke gjengi ideografiske Unicode-mellomrom i adressefeltet.
Safari
CVE-ID: CVE-2008-1589
Tilgjengelig for: iPhone v1.0 til v1.1.4, iPod touch v1.1 til v1.1.4
Virkning: Besøk på et ondsinnet utformet nettsted kan føre til avsløring av sensitiv informasjon
Beskrivelse: Når Safari besøker et nettsted som bruker et selvsignert eller ugyldig sertifikat, ber det brukeren om å akseptere eller avvise sertifikatet. Hvis brukeren trykker på menyknappen mens de ser meldingen, vil sertifikatet deretter bli akseptert uten noen melding ved neste besøk på nettstedet. Dette kan føre til avsløring av sensitiv informasjon. Denne oppdateringen løser problemet gjennom forbedret håndtering av sertifikater. Takk til Hiromitsu Takagi for rapportering av problemet.
Safari
CVE-ID: CVE-2008-2303
Tilgjengelig for: iPhone v1.0 til v1.1.4, iPod touch v1.1 til v1.1.4
Virkning: Besøk på et ondsinnet utformet nettsted kan føre til uventet avslutning av app eller utføring av vilkårlig kode
Beskrivelse: Et problem med fortegn i Safaris håndtering av JavaScript-arrayindekser kan resultere i en tilgang til minne utenfor grensene. Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av en app eller utilsiktet kodekjøring. Denne oppdateringen løser problemet ved å utføre ytterligere validering av JavaScript-arrayindekser Takk til SkyLined hos Google for rapportering av problemet.
Safari
CVE-ID: CVE-2006-2783
Tilgjengelig for: iPhone v1.0 til v1.1.4, iPod touch v1.1 til v1.1.4
Virkning: Besøk på et ondsinnet utformet nettsted kan føre til skripting på tvers av nettsteder.
Beskrivelse: Safari ignorerer byteordenmarkeringsrekkefølger for Unicode når nettsider analyseres. Noen nettsteder og filtre for nettinnhold forsøker å rense inndata ved å blokkere spesifikke HTML-koder. Denne tilnærmingen til filtrering kan omgås og føre til kryss-skripting når den støter på ondsinnet utformede HTML-koder som inneholder byteordenmarkeringsrekkefølger. Denne oppdateringen løser problemet ved å forbedre håndteringen av byteordenmarkeringsrekkefølger. Takk til Chris Weber hos Casaba Security, LLC for rapportering av problemet.
Safari
CVE-ID: CVE-2008-2307
Tilgjengelig for: iPhone v1.0 til v1.1.4, iPod touch v1.1 til v1.1.4
Virkning: Besøk på et ondsinnet utformet nettsted kan føre til uventet avslutning av app eller utføring av vilkårlig kode
Beskrivelse: Det eksisterer et minnekorrupsjonsproblem i WebKits håndtering av JavaScript-arrayer. Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av en app eller utilsiktet kodekjøring. Denne oppdateringen løser problemet gjennom forbedret grensekontroll. Takk til James Urquhart for rapportering av problemet.
Safari
CVE-ID: CVE-2008-2317
Tilgjengelig for: iPhone v1.0 til v1.1.4, iPod touch v1.1 til v1.1.4
Virkning: Besøk på et ondsinnet utformet nettsted kan føre til uventet avslutning av app eller utføring av vilkårlig kode
Beskrivelse: Det eksisterer et minnekorrupsjonsproblem i WebCores håndtering av stildokumentelementer. Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av en app eller utilsiktet kodekjøring. Denne oppdateringen løser problemet gjennom forbedret søppelinnsamling. Takk til en anonym forsker i samarbeid med TippingPots Zero Day Initiative for å ha rapportert dette problemet.
Safari
CVE-ID: CVE-2007-6284
Tilgjengelig for: iPhone v1.0 til v1.1.4, iPod touch v1.1 til v1.1.4
Virkning: Behandling av et XML-dokument kan føre til tjenestenekt
Beskrivelse: Det eksisterer et problem med minnebruk i håndteringen av XML-dokumenter som inneholder ugyldige UTF-8-sekvenser, noe som kan føre til tjenestenekt. Denne oppdateringen løser problemet ved å oppdatere systembiblioteket libxml2 til versjon 2.6.16.
Safari
CVE-ID: CVE-2008-1767
Tilgjengelig for: iPhone v1.0 til v1.1.4, iPod touch v1.1 til v1.1.4
Virkning: Behandling av et XML-dokument kan føre til uventet avslutning av app eller utføring av vilkårlig kode
Beskrivelse: Det eksisterer et minnekorrupsjonsproblem i libxslt-biblioteket. Visning av en skadelig HTML-side kan føre til uventet avslutning av app eller utføring av vilkårlig kode. Mer informasjon om den påførte oppdateringen er tilgjengelig via nettstedet xmlsoft.org http://xmlsoft.org/XSLT/ Takk til Anthony de Almeida Lopes fra Outpost24 AB og Chris Evans fra Google Security Team for å rapportere dette problemet.
Safari
CVE-ID: CVE-2008-2317
Tilgjengelig for: iPhone v1.0 til v1.1.4, iPod touch v1.1 til v1.1.4
Virkning: Besøk på et ondsinnet utformet nettsted kan føre til uventet avslutning av app eller utføring av vilkårlig kode
Beskrivelse: Det eksisterer et problem med minnekorrupsjon i JavaScriptCores håndtering av driftstiden av søppelinnsamling. Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av en app eller utilsiktet kodekjøring. Denne oppdateringen løser problemet gjennom forbedret søppelinnsamling. Takk til Itzik Kotler og Jonathan Rom fra Radware for å rapportere dette problemet
WebKit
CVE-ID: CVE-2008-1025
Tilgjengelig for: iPhone v1.0 til v1.1.4, iPod touch v1.1 til v1.1.4
Virkning: Åpning av en ondsinnet utformet nettadresse kan føre til kryss-skripting
Beskrivelse: Det eksisterer et problem i WebKits håndtering av nettadresser som inneholder kolontegn i vertsnavnet. Åpning av en skadelig nettadresse kan føre til et skriptangrep på tvers av nettsteder. Denne oppdateringen løser problemet ved forbedret håndtering av URL-adresser. Takk til Robert Swiecki fra Google Security Team og David Bloom for å ha rapportert dette problemet.
WebKit
CVE-ID: CVE-2008-1026
Tilgjengelig for: iPhone v1.0 til v1.1.4, iPod touch v1.1 til v1.1.4
Virkning: Visning av en ondsinnet utformet nettside kan føre til uventet avslutning av app eller utføring av vilkårlig kode
Beskrivelse: Det eksisterer en heap-bufferoverflyt i WebKits håndtering av JavaScript-regulære uttrykk. Problemet kan utløses via JavaScript under behandling av vanlige uttrykk med store, integrerte repetisjoner. Dette kan føre til uventet avslutning av et program eller utføring av vilkårlig kode. Denne oppdateringen løser problemet ved å utføre ytterligere validering av vanlige uttrykk i Javascript. Takk til Charlie Miller fra Independent Security Evaluators for å rapportert dette problemet.
Viktig: Nevnte tredjepartsnettsteder og -produkter er bare for informasjonsformål og utgjør ingen godkjenning eller anbefaling. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av informasjon eller produkter som finnes på tredjepartsnettsteder. Apple oppgir denne informasjonen kun som en praktisk tjeneste for brukerne våre. Apple har ikke testet informasjonen som finnes på disse nettstedene, og gir ingen garanti angående nøyaktigheten eller påliteligheten. Det er alltid risiko involvert når det gjelder bruk av informasjon eller produkter som finnes på internett, og Apple påtar seg ikke noe ansvar i forbindelse med dette. Vær oppmerksom på at tredjepartsnettsteder er uavhengig av Apple, og at Apple ikke har kontroll over innholdet på disse nettstedene. Du kan kontakte leverandøren for å få mer informasjon.