Denne artikkelen har blitt arkivert og oppdateres ikke lenger av Apple.

Om sikkerhetsinnholdet i oppdateringer for iPhone v2.0 og iPod touch v2.0

Dette dokumentet beskriver sikkerhetsinnholdet for iPhone v2.0 og iPod touch v2.0.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apple-produktsikkerhet på nettstedet for Apple-produktsikkerhet.

Mer informasjon finnes her: Slik bruker du PGP-nøkkelen for Apple-produktsikkerhet.

Der det er mulig, brukes CVE-ID-er som henvisning for ytterligere informasjon om svakhetene.

Mer informasjon om andre sikkerhetsoppdateringer finnes her: Apple-sikkerhetsoppdateringer.

iPhone v2.0 og iPod touch v2.0

  • CFNetwork

    CVE-ID: CVE-2008-0050

    Tilgjengelig for: iPhone v1.0 til v1.1.4, iPod touch v1.1 til v1.1.4

    Virkning: En ondsinnet proxyserver kan forfalske sikre nettsteder

    Beskrivelse: En ondsinnet HTTPS-proxyserver kan returnere vilkårlige data til CFNetwork i en 502 Bad Gateway-feil, noe som kan tillate forfalskning av et sikkert nettsted. Denne oppdateringen løser problemet ved å ikke returnere dataene som proxyen har levert ved en feiltilstand.

  • Kernel

    CVE-ID: CVE-2008-0177

    Tilgjengelig for: iPhone v1.0 til v1.1.4, iPod touch v1.1 til v1.1.4

    Virkning: En ekstern angriper kan potensielt forårsake en uventet tilbakestilling av enheten

    Beskrivelse: Det eksisterer en uoppdaget feiltilstand i håndteringen av pakker med en IPComp-overskrift. Sending av en ondsinnet utformet pakke til et system konfigurert for å bruke IPSec eller IPv6 kan føre til en uventet tilbakestilling av enheten. Denne oppdateringen løser problemet ved å fange opp feiltilstanden ordentlig.

  • Safari

    CVE-ID: CVE-2008-1588

    Tilgjengelig for: iPhone v1.0 til v1.1.4, iPod touch v1.1 til v1.1.4

    Virkning: Ideografiske Unicode-mellomrom kan brukes til å forfalske et nettsted

    Beskrivelse: Når Safari viser den gjeldende nettadressen i adressefeltet, blir ideografiske Unicode-mellomrom gjengitt. Dette tillater et ondsinnet utformet nettsted å dirigere brukeren til et forfalsket nettsted som visuelt ser ut til å være et legitimt domene. Denne oppdateringen løser problemet ved å ikke gjengi ideografiske Unicode-mellomrom i adressefeltet.

  • Safari

    CVE-ID: CVE-2008-1589

    Tilgjengelig for: iPhone v1.0 til v1.1.4, iPod touch v1.1 til v1.1.4

    Virkning: Besøk på et ondsinnet utformet nettsted kan føre til avsløring av sensitiv informasjon

    Beskrivelse: Når Safari besøker et nettsted som bruker et selvsignert eller ugyldig sertifikat, ber det brukeren om å akseptere eller avvise sertifikatet. Hvis brukeren trykker på menyknappen mens de ser meldingen, vil sertifikatet deretter bli akseptert uten noen melding ved neste besøk på nettstedet. Dette kan føre til avsløring av sensitiv informasjon. Denne oppdateringen løser problemet gjennom forbedret håndtering av sertifikater. Takk til Hiromitsu Takagi for rapportering av problemet.

  • Safari

    CVE-ID: CVE-2008-2303

    Tilgjengelig for: iPhone v1.0 til v1.1.4, iPod touch v1.1 til v1.1.4

    Virkning: Besøk på et ondsinnet utformet nettsted kan føre til uventet avslutning av app eller utføring av vilkårlig kode

    Beskrivelse: Et problem med fortegn i Safaris håndtering av JavaScript-arrayindekser kan resultere i en tilgang til minne utenfor grensene. Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av en app eller utilsiktet kodekjøring. Denne oppdateringen løser problemet ved å utføre ytterligere validering av JavaScript-arrayindekser Takk til SkyLined hos Google for rapportering av problemet.

  • Safari

    CVE-ID: CVE-2006-2783

    Tilgjengelig for: iPhone v1.0 til v1.1.4, iPod touch v1.1 til v1.1.4

    Virkning: Besøk på et ondsinnet utformet nettsted kan føre til skripting på tvers av nettsteder.

    Beskrivelse: Safari ignorerer byteordenmarkeringsrekkefølger for Unicode når nettsider analyseres. Noen nettsteder og filtre for nettinnhold forsøker å rense inndata ved å blokkere spesifikke HTML-koder. Denne tilnærmingen til filtrering kan omgås og føre til kryss-skripting når den støter på ondsinnet utformede HTML-koder som inneholder byteordenmarkeringsrekkefølger. Denne oppdateringen løser problemet ved å forbedre håndteringen av byteordenmarkeringsrekkefølger. Takk til Chris Weber hos Casaba Security, LLC for rapportering av problemet.

  • Safari

    CVE-ID: CVE-2008-2307

    Tilgjengelig for: iPhone v1.0 til v1.1.4, iPod touch v1.1 til v1.1.4

    Virkning: Besøk på et ondsinnet utformet nettsted kan føre til uventet avslutning av app eller utføring av vilkårlig kode

    Beskrivelse: Det eksisterer et minnekorrupsjonsproblem i WebKits håndtering av JavaScript-arrayer. Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av en app eller utilsiktet kodekjøring. Denne oppdateringen løser problemet gjennom forbedret grensekontroll. Takk til James Urquhart for rapportering av problemet.

  • Safari

    CVE-ID: CVE-2008-2317

    Tilgjengelig for: iPhone v1.0 til v1.1.4, iPod touch v1.1 til v1.1.4

    Virkning: Besøk på et ondsinnet utformet nettsted kan føre til uventet avslutning av app eller utføring av vilkårlig kode

    Beskrivelse: Det eksisterer et minnekorrupsjonsproblem i WebCores håndtering av stildokumentelementer. Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av en app eller utilsiktet kodekjøring. Denne oppdateringen løser problemet gjennom forbedret søppelinnsamling. Takk til en anonym forsker i samarbeid med TippingPots Zero Day Initiative for å ha rapportert dette problemet.

  • Safari

    CVE-ID: CVE-2007-6284

    Tilgjengelig for: iPhone v1.0 til v1.1.4, iPod touch v1.1 til v1.1.4

    Virkning: Behandling av et XML-dokument kan føre til tjenestenekt

    Beskrivelse: Det eksisterer et problem med minnebruk i håndteringen av XML-dokumenter som inneholder ugyldige UTF-8-sekvenser, noe som kan føre til tjenestenekt. Denne oppdateringen løser problemet ved å oppdatere systembiblioteket libxml2 til versjon 2.6.16.

  • Safari

    CVE-ID: CVE-2008-1767

    Tilgjengelig for: iPhone v1.0 til v1.1.4, iPod touch v1.1 til v1.1.4

    Virkning: Behandling av et XML-dokument kan føre til uventet avslutning av app eller utføring av vilkårlig kode

    Beskrivelse: Det eksisterer et minnekorrupsjonsproblem i libxslt-biblioteket. Visning av en skadelig HTML-side kan føre til uventet avslutning av app eller utføring av vilkårlig kode. Mer informasjon om den påførte oppdateringen er tilgjengelig via nettstedet xmlsoft.org http://xmlsoft.org/XSLT/ Takk til Anthony de Almeida Lopes fra Outpost24 AB og Chris Evans fra Google Security Team for å rapportere dette problemet.

  • Safari

    CVE-ID: CVE-2008-2317

    Tilgjengelig for: iPhone v1.0 til v1.1.4, iPod touch v1.1 til v1.1.4

    Virkning: Besøk på et ondsinnet utformet nettsted kan føre til uventet avslutning av app eller utføring av vilkårlig kode

    Beskrivelse: Det eksisterer et problem med minnekorrupsjon i JavaScriptCores håndtering av driftstiden av søppelinnsamling. Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av en app eller utilsiktet kodekjøring. Denne oppdateringen løser problemet gjennom forbedret søppelinnsamling. Takk til Itzik Kotler og Jonathan Rom fra Radware for å rapportere dette problemet

  • WebKit

    CVE-ID: CVE-2008-1025

    Tilgjengelig for: iPhone v1.0 til v1.1.4, iPod touch v1.1 til v1.1.4

    Virkning: Åpning av en ondsinnet utformet nettadresse kan føre til kryss-skripting

    Beskrivelse: Det eksisterer et problem i WebKits håndtering av nettadresser som inneholder kolontegn i vertsnavnet. Åpning av en skadelig nettadresse kan føre til et skriptangrep på tvers av nettsteder. Denne oppdateringen løser problemet ved forbedret håndtering av URL-adresser. Takk til Robert Swiecki fra Google Security Team og David Bloom for å ha rapportert dette problemet.

  • WebKit

    CVE-ID: CVE-2008-1026

    Tilgjengelig for: iPhone v1.0 til v1.1.4, iPod touch v1.1 til v1.1.4

    Virkning: Visning av en ondsinnet utformet nettside kan føre til uventet avslutning av app eller utføring av vilkårlig kode

    Beskrivelse: Det eksisterer en heap-bufferoverflyt i WebKits håndtering av JavaScript-regulære uttrykk. Problemet kan utløses via JavaScript under behandling av vanlige uttrykk med store, integrerte repetisjoner. Dette kan føre til uventet avslutning av et program eller utføring av vilkårlig kode. Denne oppdateringen løser problemet ved å utføre ytterligere validering av vanlige uttrykk i Javascript. Takk til Charlie Miller fra Independent Security Evaluators for å rapportert dette problemet.

Viktig: Nevnte tredjepartsnettsteder og -produkter er bare for informasjonsformål og utgjør ingen godkjenning eller anbefaling. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av informasjon eller produkter som finnes på tredjepartsnettsteder. Apple oppgir denne informasjonen kun som en praktisk tjeneste for brukerne våre. Apple har ikke testet informasjonen som finnes på disse nettstedene, og gir ingen garanti angående nøyaktigheten eller påliteligheten. Det er alltid risiko involvert når det gjelder bruk av informasjon eller produkter som finnes på internett, og Apple påtar seg ikke noe ansvar i forbindelse med dette. Vær oppmerksom på at tredjepartsnettsteder er uavhengig av Apple, og at Apple ikke har kontroll over innholdet på disse nettstedene. Du kan kontakte leverandøren for å få mer informasjon.

Publiseringsdato: