Om sikkerhetsinnholdet i iOS 3.1.3 og iOS 3.1.3 for iPod touch
Dette dokumentet beskriver sikkerhetsinnholdet i iOS 3.1.3 og iOS 3.1.3 for iPod touch.
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apple-produktsikkerhet på nettstedet for Apple-produktsikkerhet.
Hvis du vil ha mer informasjon om PGP-nøkkelen for Apple-produktsikkerhet, kan du lese «Slik bruker du PGP-nøkkelen for Apple-produktsikkerhet.»
Der det er mulig, brukes CVE-ID-er som henvisning for ytterligere informasjon om svakhetene.
Mer informasjon om andre sikkerhetsoppdateringer finnes her: Apple sikkerhetsoppdateringer.
iOS 3.1.3 og iOS 3.1.3 for iPod touch
CoreAudio
CVE-ID: CVE-2010-0036
Tilgjengelig for: iOS 1.0 til og med 3.1.2, iOS for iPod touch 1.1 til og med 3.1.2
Virkning: Avspilling av en skadelig mp4 lydfil kan føre til at programmet avsluttes uventet eller utføring av vilkårlig kode
Beskrivelse: Det foreligger en bufferoverflyt i håndteringen av mp4-lydfiler. Avspilling av en skadelig mp4-lydfil kan føre til at programmet avsluttes uventet, eller at vilkårlig kode utføres. Dette problemet løses gjennom forbedret grensekontroll. Takk til Tobias Klein hos trapkit.de for rapportering av dette problemet.
ImageIO
CVE-ID: CVE-2009-2285
Tilgjengelig for: iOS 1.0 til og med 3.1.2, iOS for iPod touch 1.1 til og med 3.1.2
Virkning: Visning av et skadelig TIFF-bilde kan føre til at et program uventet avsluttes eller utføring av vilkårlig kode
Beskrivelse: Det foreligger bufferunderflyt i ImageIOs håndtering av TIFF-bilder. Visning av et skadelig TIFF-bilde kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode. Dette problemet løses ved forbedret grensekontroll.
Recovery Mode
CVE-ID: CVE-2010-0038
Tilgjengelig for: iOS 1.0 til og med 3.1.2, iOS for iPod touch 1.1 til og med 3.1.2
Virkning: Det er mulig at en person med fysisk tilgang til en låst enhet kan få tilgang til brukerens data
Beskrivelse: Det er et problem med skadet minne i håndteringen av en viss USB-kontrollmelding. En person med fysisk tilgang til enheten kan bruke dette til å forbigå tilgangskoden og få tilgang til brukerens data. Dette problemet er løst gjennom forbedret håndtering av USB-kontrollmeldingen.
WebKit
CVE-ID: CVE-2009-3384
Tilgjengelig for: iOS 1.0 til og med 3.1.2, iOS for iPod touch 1.1 til og med 3.1.2
Virkning: Tilgang til en skadelig FTP-tjener kan føre til uventet avslutning av et program, deling av informasjon eller utføring av vilkårlig kode
Beskrivelse: Det finnes flere problemer med validering av inndata i WebKits håndtering av FTP-katalogoversikter. Tilgang til en skadelig FTP-tjener kan føre til deling av informasjon, uventet avslutning av et program eller utføring av vilkårlig kode. Denne oppdateringen løser problemene gjennom forbedret analyse av FTP-katalogoversikter. Takk til Michal Zalewski fra Google Inc. for rapportering av disse problemene.
WebKit
CVE-ID: CVE-2009-2841
Tilgjengelig for: iOS 1.0 til og med 3.1.2, iOS for iPod touch 1.1 til og med 3.1.2
Virkning: Mail kan laste eksternt lyd- og videoinnhold når ekstern bildelasting er deaktivert
Beskrivelse: Når WebKit støter på et HTML 5-medieobjekt som peker til en ekstern ressurs, utstedes ingen callbackfunksjon for ressurslasting for å finne ut om ressursen skal lastes. Det kan føre til uønskede forespørsler til eksterne servere. For eksempel kan avsenderen av en HTML-formatert e-postmelding bruke dette for å finne ut om meldingen er lest. Dette problemet løses ved å generere callbackfunksjoner for ressurslasting når WebKit støter på HTML 5-medieobjekter.
Viktig: Nevnte tredjepartsnettsteder og -produkter er bare for informasjonsformål og utgjør ingen godkjenning eller anbefaling. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av informasjon eller produkter som finnes på tredjepartsnettsteder. Apple oppgir denne informasjonen kun som en praktisk tjeneste for brukerne våre. Apple har ikke testet informasjonen som finnes på disse nettstedene, og gir ingen garanti angående nøyaktigheten eller påliteligheten. Det er alltid risiko involvert når det gjelder bruk av informasjon eller produkter som finnes på internett, og Apple påtar seg ikke noe ansvar i forbindelse med dette. Vær oppmerksom på at tredjepartsnettsteder er uavhengig av Apple, og at Apple ikke har kontroll over innholdet på disse nettstedene. Du kan kontakte leverandøren for å få mer informasjon.