Om sikkerhetsinnholdet i oppdateringen for iPhone 1.1.1
Dette dokumentet beskriver sikkerhetsinnholdet i oppdateringen for iPhone v1.1.1.
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apple-produktsikkerhet på nettstedet for Apple-produktsikkerhet.
Hvis du vil ha mer informasjon om PGP-nøkkelen for Apple-produktsikkerhet, kan du lese «Slik bruker du PGP-nøkkelen for Apple-produktsikkerhet.»
Der det er mulig, brukes CVE-ID-er som henvisning for ytterligere informasjon om svakhetene.
Hvis du vil ha mer informasjon om andre sikkerhetsoppdateringer, kan du se «sikkerhetsoppdateringer fra Apple».
Oppdatering for iPhone v1.1.1
Bluetooth
CVE-ID: CVE-2007-3753
Virkning: En angriper innenfor Bluetooth-området kan forårsake en uventet avslutning av et program eller utføring av vilkårlig kode.
Beskrivelse: Det finnes et problem med validering av inndata i iPhone-enhetens Bluetooth-server. Ved å sende skadelige SDP-pakker (Service Discovery Protocol) til en iPhone med Bluetooth aktivert, kan en angriper utløse problemet, noe som kan føre til uventet avslutning av et program eller utføring av vilkårlig kode. Denne oppdateringen løser problemet ved å utføre ytterligere validering av SDP-pakker. Takk til Kevin Mahaffey og John Hering fra Flebilis Mobile Security for å ha rapportert dette problemet.
CVE-ID: CVE-2007-3754
Virkning: Sjekking av e-post over ikke-godkjente nettverk kan føre til informasjonsavsløring via et «man-in-the-middle»-angrep.
Beskrivelse: Når Mail er konfigurert til å bruke SSL for innkommende og utgående tilkoblinger, advarer den ikke brukeren når identiteten til e-postserveren er endret eller ikke er pålitelig. En angriper som kan fange opp tilkoblingen, kan være i stand til å etterligne brukerens e-postserver og få brukerens påloggingsinformasjon for e-post eller annen sensitiv informasjon. Denne oppdateringen løser problemet ved å advare når identiteten til den eksterne e-postserveren er endret.
CVE-ID: CVE-2007-3755
Virkning: Å følge en telefon («tlf.:»)-kobling i Mail ringer opp et telefonnummer uten bekreftelse.
Beskrivelse: Mail støtter telefon («tlf.:»)-koblinger for å ringe til telefonnumre. Ved å lokke en bruker til å følge en telefonkobling i en e-postmelding, kan en angriper få iPhone til å utføre et anrop uten brukerbekreftelse. Denne oppdateringen løser problemet ved å gi et bekreftelsesvindu før du ringer et telefonnummer via en telefonkobling i Mail. Takk til Andi Baritchi fra McAfee for å ha rapportert dette problemet.
Safari
CVE-ID: CVE-2007-3756
Virkning: Besøk på et skadelig nettsted kan føre til avsløring av URL-innhold.
Beskrivelse: Et designproblem i Safari gjør det mulig for en nettside å lese nettadressen som vises i det overordnede vinduet. Ved å lokke en bruker til å gå til en skadelig nettside, kan en angriper få tilgang til nettadressen til en ikke-relatert side. Denne oppdateringen løser problemet gjennom en forbedret sikkerhetskontroll på tvers av domener. Takk til Michal Zalewski fra Google Inc. og Secunia Research for å ha rapportert dette problemet.
Safari
CVE-ID: CVE-2007-3757
Virkning: Besøk på et skadelig nettsted kan føre til utilsiktet oppringing eller oppringing av et annet nummer enn forventet.
Beskrivelse: Safari støtter telefon («tlf.:»)-koblinger for å ringe til telefonnumre. Når en telefonkobling er valgt, bekrefter Safari at nummeret skal ringes. En skadelig telefonkobling kan føre til at et annet nummer vises under bekreftelsen enn det som faktisk ble oppringt. Hvis du avslutter Safari under bekreftelsesprosessen, kan det føre til utilsiktet bekreftelse. Denne oppdateringen løser problemet ved å vise nummeret som skal ringes, og krever bekreftelse for telefonkoblinger. Takk til Billy Hoffman og Bryan Sullivan fra HP Security Labs (tidligere SPI Labs) og Eduardo Tang for å ha rapportert dette problemet.
Safari
CVE-ID: CVE-2007-3758
Virkning: Besøk på et skadelig nettsted kan føre til skripting på tvers av nettsteder.
Beskrivelse: Det finnes et sikkerhetsproblem med skripting på tvers av nettsteder i Safari som gjør det mulig for skadelige nettsteder å angi vinduegenskaper i JavaScript for nettsteder som blir levert fra et annet domene. Ved å lokke en bruker til å gå til et skadelig nettsted kan en angriper utløse problemet, noe som kan føre til at du får eller angir vinduets status og plassering av sider fra andre nettsteder. Denne oppdateringen løser problemet ved å gi forbedrede tilgangskontroller for disse egenskapene. Takk til Michal Zalewski fra Google Inc. for å ha rapportert dette problemet.
Safari
CVE-ID: CVE-2007-3759
Virkning: Deaktivering av JavaScript trer ikke i kraft før Safari startes på nytt.
Beskrivelse: Safari kan konfigureres til å aktivere eller deaktivere JavaScript. Denne innstillingen trer ikke i kraft før neste gang Safari startes på nytt. Dette skjer vanligvis når iPhone startes på nytt. Dette kan feilaktig lede til at brukere tror JavaScript er deaktivert når det ikke er det. Denne oppdateringen løser problemet ved å bruke den nye innstillingen før du laster inn nye nettsider.
Safari
CVE-ID: CVE-2007-3760
Virkning: Besøk på et skadelig nettsted kan føre til skripting på tvers av nettsteder.
Beskrivelse: Et problem med skripting på tvers av nettsteder i Safari gjør det mulig for et skadelig nettsted å omgå retningslinjene for samme opphav ved hjelp av «ramme»-koder. Ved å lokke en bruker til å gå til en skadelig nettside kan en angriper utløse problemet, noe som kan føre til kjøring av JavaScript i konteksten til en annen side. Denne oppdateringen løser problemet ved å deaktivere JavaScript som en «iframe»-kilde, og begrense JavaScript i rammekoder til samme tilgang som nettstedet den ble levert fra. Takk til Michal Zalewski fra Google Inc. og Secunia Research for å ha rapportert dette problemet.
Safari
CVE-ID: CVE-2007-3761
Virkning: Besøk på et skadelig nettsted kan føre til skripting på tvers av nettsteder.
Beskrivelse: Et problem med skripting på tvers av nettsteder i Safari gjør at JavaScript-hendelser kan knyttes til feil ramme. Ved å lokke en bruker til å gå til en skadelig nettside, kan en angriper forårsake kjøring av JavaScript i konteksten til et annet område. Denne oppdateringen løser problemet ved å knytte JavaScript-hendelser til riktig kilderamme.
Safari
CVE-ID: CVE-2007-4671
Virkning: JavaScript på nettsteder kan få tilgang til eller manipulere innholdet i dokumenter som leveres via HTTPS.
Beskrivelse: Et problem i Safari gjør at innhold som leveres over HTTP, kan endre eller få tilgang til innhold som leveres over HTTPS i samme domene. Ved å lokke en bruker til å gå til en skadelig nettside, kan en angriper forårsake kjøring av JavaScript i forbindelse med HTTPS-nettsider i det domenet. Denne oppdateringen løser problemet ved å begrense tilgangen mellom JavaScript-kjøring i HTTP- og HTTPS-rammer. Takk til Keigo Yamazaki fra LAC Co., Ltd. (Little eArth Corporation Co., Ltd.) for å ha rapportert dette problemet.
Installasjonsnotat:
Denne oppdateringen er bare tilgjengelig via iTunes, og den vises ikke i datamaskinens program for programvareoppdatering eller på Apples Nedlastinger-nettsted. Sørg for at du har en internettilkobling og har installert den nyeste versjonen av iTunes fra www.apple.com/itunes.
iTunes sjekker automatisk Apples oppdateringsserver etter den ukentlige planen. Når en oppdatering oppdages, lastes den ned. Når iPhone er dokket, får brukeren muligheten av iTunes til å installere oppdateringen. Vi anbefaler at du tar i bruk oppdateringen umiddelbart hvis det er mulig. Hvis du velger «ikke installer», vises alternativet neste gang du kobler til iPhone.
Den automatiske oppdateringsprosessen kan ta opptil en uke, avhengig av dagen iTunes ser etter oppdateringer. Du kan hente oppdateringen manuelt via «Søk etter oppdatering»-knappen i iTunes. Etter at du har gjort dette, kan oppdateringen brukes når du har koblet iPhone til datamaskinen.
Slik sjekker du at iPhone er oppdatert:
Gå til Innstillinger
Klikk på Generelt
Klikk på Om. Versjonen etter at denne oppdateringen er tatt i bruk, er «1.1.1 (3A109a)».