iPhone-oppdatering 1.1.1
-
Bluetooth
CVE-ID: CVE-2007-3753
Effekt: En angriper innen Bluetooth-området kan forårsake uventet avslutning av et program eller at arbitrær kode kjøres
Beskrivelse: Det foreligger et kontrollproblem med inndata i iPhones Bluetooth-server. Ved å sende en skadelig SDP-pakke (Service Discovery Protocol) til en iPhone med Bluetooth aktivert, kan en angriper utløse problemet, som igjen kan føre til at et program avsluttes uventet eller at arbitrær kode kjøres. Denne oppdateringen løser problemet ved å gjennomføre ytterligere kontroll og godkjenning av SDP-pakker. En takk til Kevin Mahaffey og John Hering hos Flexilis Mobile Security som meldte fra om dette problemet.
-
Mail
CVE-ID: CVE-2007-3754
Effekt: Sjekking av e-post over upålitelige nettverk kan føre til avdekking av informasjon via et angrep fra en mellommann
Beskrivelse: Når Mail blir konfigurert til å bruke SSL til innkommende og utgående forbindelser, blir ikke brukeren varslet når identiteten til postserveren er endret eller ikke er pålitelig. En angriper som er i stand til å avskjære forbindelsen, kan klare å etterlikne brukerens postserver og få tak i brukerens legitimasjonsbeskrivelse for e-post eller annen sensitiv informasjon. Denne oppdateringen løser problemet ved å advare når identiteten til den eksterne postserveren er endret.
-
Mail
CVE-ID: CVE-2007-3755
Effekt: Når man følger en telefonkobling ("tel:") i Mail, vil et telefonnummer oppringes uten bekreftelse
Beskrivelse: Mail støtter telefonkoblinger ("tel:") for å ringe telefonnumre. Ved å oppfordre en bruker til å følge en telefonkobling i en e-postmelding, kan en angriper få iPhone til å oppkoble en samtale uten brukerens samtykke. Denne oppdateringen løser problemet ved å vise et bekreftelsesvindu før et telefonnummer oppringes via en telefonkobling i Mail. En takk til Andi Baritchi hos McAfee som meldte fra om dette problemet.
-
Safari
CVE-ID: CVE-2007-3756
Effekt: Besøk på et skadelig nettsted kan føre til avdekking av URL-innhold
Beskrivelse: Et designproblem i Safari gjør det mulig for en nettside å lese URL-en som vises i øyeblikket i det overordnede vinduet. Ved å oppfordre en bruker til å besøke en skadelig nettside, kan en angriper få tak i URL-en til en urelatert side. Denne oppdateringen løser problemet gjennom en forbedret sikkerhetssjekk mellom domener. En takk til Michal Zalewski hos Google Inc. og Secunia Research som meldte fra om dette problemet.
-
Safari
CVE-ID: CVE-2007-3757
Effekt: Besøk på et skadelig nettsted kan føre til utilsiktet oppringing, eller oppringing av et annet nummer enn det som var forventet
Beskrivelse: Safari støtter telefonkoblinger ("tel:") for å ringe telefonnumre. Når det er valgt en telefonkolbling, vil Safari bekrefte at nummeret skal oppringes. En skadelig telefonkobling kan føre til at et annet nummer blir vist ved bekreftelse enn det som faktisk ble oppringt. Avlutter du Safari under bekreftelsesprosessen, kan det føre til en utilsiktet bekreftelse. Denne oppdateringen løser problemet ved å vise nummeret som vil bli oppringt, og det kreves at du bekrefter telefonkoblinger. En takk til Billy Hoffman og Bryan Sullivan hos HP Security Labs (tidligere SPI Labs) og Eduardo Tang som meldte fra om dette problemet.
-
Safari
CVE-ID: CVE-2007-3758
Effekt: Besøk på et skadelig nettsted kan føre til skripting mellom nettsteder
Beskrivelse: Det forekommer en svakhet i Safari med skripting mellom nettsteder, slik at skadelige nettsteder kan innstille JavaScript-vindusegenskaper til nettsteder som betjenes fra et annet domene. Ved å oppfordre en bruker til å besøke et skadelig nettsted, kan en angriper utløse problemet, som igjen kan føre til henting eller innstilling av vindusstatusen og -plasseringen til sider som betjenes fra andre nettsteder. Denne oppdateringen løser problemet ved å gi forbedrede tilgangskontroller for disse egenskapene. En takk til Michal Zalewski hos Google Inc. som meldte fra om dette problemet.
-
Safari
CVE-ID: CVE-2007-3759
Effekt: Deaktivering av JavaScript trer ikke i kraft før Safari blir omstartet
Beskrivelse: Safari kan konfigurerers til å aktivere eller deaktivere JavaScript. Denne innstillingen trer ikke i kraft før neste gang Safari blir omstartet Dette skjer vanligvis når iPhone blir omstartet. Dette kan villede brukere til å tro at JavaScript er deaktivert når det ikke er det. Denne oppdateringen løser problemet ved å bruke de nye innstillingene før nye nettsider blir lastet.
-
Safari
CVE-ID: CVE-2007-3760
Effekt: Besøk på et skadelig nettsted kan resultere i skripting mellom nettsteder
Beskrivelse: Et problem med skripting mellom nettsteder gjør det mulig for et skadelig nettsted å omgå retningslinjene om samme opprinnelse ved hjelp av "rammekoder". Ved å oppfordre en bruker til å besøke et skadelig nettsted, kan en angriper utløse problemet, som igjen kan føre til kjøring av JavaScript i konteksten til et annet nettsted. Denne oppdateringen løser dette problemet ved å forkaste JavaScript som en "iframe"-kilde, og begrenser JavaScript i rammekoder til den samme tilgangen som nettstedet den ble betjent fra. En takk til Michal Zalewski hos Google Inc. og Secunia Research som meldte fra om dette problemet.
-
Safari
CVE-ID: CVE-2007-3761
Effekt: Besøk på et skadelig nettsted kan resultere i skripting mellom nettsteder
Beskrivelse: Et problem med skripting mellom nettsteder i Safari gjør det mulig for JavaScript-hendelser å bli forbundet med feil ramme. Ved å oppfordre en bruker til å besøke et skadelig nettsted, kan en angriper starte kjøring av JavaScript i konteksten til et annet nettsted. Denne oppdateringen løser problemet ved å forbinde JavaScript-hendelser med den riktige kilderammen.
-
Safari
CVE-ID: CVE-2007-4671
Effekt: JavaScript på nettsteder kan få tilgang til eller manipulere innholdet av dokumenter som leveres over HTTPS
Beskrivelse: Et problem i Safari gjør det mulig for innhold som leveres over HTTP, til å endre eller få tilgang til innhold som leveres over HTTPS i det samme domenet. Ved å oppfordre en bruker til å besøke et skadelig nettsted, kan en angriper starte kjøring av JavaScript i konteksten av HTTPS-nettsider i det aktuelle domenet. Denne oppdateringen løser problemet ved å begrense tilgang mellom JavaScript-kjøring i HTTP- og HTTPS-rammer. En takk til Keigo Yamazaki hos LAC Co., Ltd. (Little eArth Corporation Co., Ltd.) som meldte fra om dette problemet.
Installasjonsmerknad:
Denne oppdateringen er bare tilgjengelig gjennom iTunes, og vil ikke fremkomme i datamaskinens programvareoppdatering eller på Apples nettsted for nedlastinger. Påse at du har Internett-forbindelse og har installert den nyeste versjonen av iTunes fra www.apple.com/no/itunes
iTunes sjekker automatisk Apples oppdateringsserver hver uke. Når det blir oppdaget en oppdatering, blir den lastet ned. Når iPhone står i docken, vil iTunes gi brukeren tilbudet om å installere oppdateringen. Vi anbefaler at du installerer oppdateringen umiddelbart hvis det er mulig. Velger du "Ikke installer (Don't install)", vil du få tilbudet neste gang du tilkobler iPhone.
Den automatiske oppdateringsprosessen kan ta opptil en uke, avhengig av hvilken dag iTunes sjekker om det foreligger oppdateringer. Du kan skaffe oppdateringen manuelt via knappen "Søk etter oppdateringer (Check for Update)" i iTunes. Deretter kan oppdateringen installeres når iPhone blir koblet til datamaskinen.
Slik kontrollerer du om iPhone er oppdatert:
- Bla til Settings (Innstillinger)
- Klikk General (Generelt)
- Klikk About (Om). Versjonen etter installering av denne oppdateringen vil være "1.1.1 (3A109a)"