Om sikkerhetsinnholdet i iPhone-oppdatering 1.1.1

Dette dokumentet beskriver sikkerhetsinnholdet i iPhone-oppdatering 1.1.1

Av hensyn til kundenes sikkerhet er det Apples praksis å ikke videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige programoppgraderinger eller -versjoner er tilgjengelige. Du finner mer informasjon om Apples produktsikkerhet på nettstedet Apples produktsikkerhet.

Du finner mer informasjon om PGP-nøkkelen for Apples produktsikkerhet under "Slik bruker du PGP-nøkkelen for Apples produktsikkerhet."

CVE-ID brukes der det er mulig som en henvisning til svakheter for ytterligere informasjon.

Du finner mer informasjon om andre sikkerhetsoppdateringer under "Apples sikkerhetsoppdateringer."

iPhone-oppdatering 1.1.1

  • Bluetooth

    CVE-ID: CVE-2007-3753

    Effekt: En angriper innen Bluetooth-området kan forårsake uventet avslutning av et program eller at arbitrær kode kjøres

    Beskrivelse: Det foreligger et kontrollproblem med inndata i iPhones Bluetooth-server. Ved å sende en skadelig SDP-pakke (Service Discovery Protocol) til en iPhone med Bluetooth aktivert, kan en angriper utløse problemet, som igjen kan føre til at et program avsluttes uventet eller at arbitrær kode kjøres. Denne oppdateringen løser problemet ved å gjennomføre ytterligere kontroll og godkjenning av SDP-pakker. En takk til Kevin Mahaffey og John Hering hos Flexilis Mobile Security som meldte fra om dette problemet.

  • Mail

    CVE-ID: CVE-2007-3754

    Effekt: Sjekking av e-post over upålitelige nettverk kan føre til avdekking av informasjon via et angrep fra en mellommann

    Beskrivelse: Når Mail blir konfigurert til å bruke SSL til innkommende og utgående forbindelser, blir ikke brukeren varslet når identiteten til postserveren er endret eller ikke er pålitelig. En angriper som er i stand til å avskjære forbindelsen, kan klare å etterlikne brukerens postserver og få tak i brukerens legitimasjonsbeskrivelse for e-post eller annen sensitiv informasjon. Denne oppdateringen løser problemet ved å advare når identiteten til den eksterne postserveren er endret.

  • Mail

    CVE-ID: CVE-2007-3755

    Effekt: Når man følger en telefonkobling ("tel:") i Mail, vil et telefonnummer oppringes uten bekreftelse

    Beskrivelse: Mail støtter telefonkoblinger ("tel:") for å ringe telefonnumre. Ved å oppfordre en bruker til å følge en telefonkobling i en e-postmelding, kan en angriper få iPhone til å oppkoble en samtale uten brukerens samtykke. Denne oppdateringen løser problemet ved å vise et bekreftelsesvindu før et telefonnummer oppringes via en telefonkobling i Mail. En takk til Andi Baritchi hos McAfee som meldte fra om dette problemet.

  • Safari

    CVE-ID: CVE-2007-3756

    Effekt: Besøk på et skadelig nettsted kan føre til avdekking av URL-innhold

    Beskrivelse: Et designproblem i Safari gjør det mulig for en nettside å lese URL-en som vises i øyeblikket i det overordnede vinduet. Ved å oppfordre en bruker til å besøke en skadelig nettside, kan en angriper få tak i URL-en til en urelatert side. Denne oppdateringen løser problemet gjennom en forbedret sikkerhetssjekk mellom domener. En takk til Michal Zalewski hos Google Inc. og Secunia Research som meldte fra om dette problemet.

  • Safari

    CVE-ID: CVE-2007-3757

    Effekt: Besøk på et skadelig nettsted kan føre til utilsiktet oppringing, eller oppringing av et annet nummer enn det som var forventet

    Beskrivelse: Safari støtter telefonkoblinger ("tel:") for å ringe telefonnumre. Når det er valgt en telefonkolbling, vil Safari bekrefte at nummeret skal oppringes. En skadelig telefonkobling kan føre til at et annet nummer blir vist ved bekreftelse enn det som faktisk ble oppringt. Avlutter du Safari under bekreftelsesprosessen, kan det føre til en utilsiktet bekreftelse. Denne oppdateringen løser problemet ved å vise nummeret som vil bli oppringt, og det kreves at du bekrefter telefonkoblinger. En takk til Billy Hoffman og Bryan Sullivan hos HP Security Labs (tidligere SPI Labs) og Eduardo Tang som meldte fra om dette problemet.

  • Safari

    CVE-ID: CVE-2007-3758

    Effekt: Besøk på et skadelig nettsted kan føre til skripting mellom nettsteder

    Beskrivelse: Det forekommer en svakhet i Safari med skripting mellom nettsteder, slik at skadelige nettsteder kan innstille JavaScript-vindusegenskaper til nettsteder som betjenes fra et annet domene. Ved å oppfordre en bruker til å besøke et skadelig nettsted, kan en angriper utløse problemet, som igjen kan føre til henting eller innstilling av vindusstatusen og -plasseringen til sider som betjenes fra andre nettsteder. Denne oppdateringen løser problemet ved å gi forbedrede tilgangskontroller for disse egenskapene. En takk til Michal Zalewski hos Google Inc. som meldte fra om dette problemet.

  • Safari

    CVE-ID: CVE-2007-3759

    Effekt: Deaktivering av JavaScript trer ikke i kraft før Safari blir omstartet

    Beskrivelse: Safari kan konfigurerers til å aktivere eller deaktivere JavaScript. Denne innstillingen trer ikke i kraft før neste gang Safari blir omstartet Dette skjer vanligvis når iPhone blir omstartet. Dette kan villede brukere til å tro at JavaScript er deaktivert når det ikke er det. Denne oppdateringen løser problemet ved å bruke de nye innstillingene før nye nettsider blir lastet.

  • Safari

    CVE-ID: CVE-2007-3760

    Effekt: Besøk på et skadelig nettsted kan resultere i skripting mellom nettsteder

    Beskrivelse: Et problem med skripting mellom nettsteder gjør det mulig for et skadelig nettsted å omgå retningslinjene om samme opprinnelse ved hjelp av "rammekoder". Ved å oppfordre en bruker til å besøke et skadelig nettsted, kan en angriper utløse problemet, som igjen kan føre til kjøring av JavaScript i konteksten til et annet nettsted. Denne oppdateringen løser dette problemet ved å forkaste JavaScript som en "iframe"-kilde, og begrenser JavaScript i rammekoder til den samme tilgangen som nettstedet den ble betjent fra. En takk til Michal Zalewski hos Google Inc. og Secunia Research som meldte fra om dette problemet.

  • Safari

    CVE-ID: CVE-2007-3761

    Effekt: Besøk på et skadelig nettsted kan resultere i skripting mellom nettsteder

    Beskrivelse: Et problem med skripting mellom nettsteder i Safari gjør det mulig for JavaScript-hendelser å bli forbundet med feil ramme. Ved å oppfordre en bruker til å besøke et skadelig nettsted, kan en angriper starte kjøring av JavaScript i konteksten til et annet nettsted. Denne oppdateringen løser problemet ved å forbinde JavaScript-hendelser med den riktige kilderammen.

  • Safari

    CVE-ID: CVE-2007-4671

    Effekt: JavaScript på nettsteder kan få tilgang til eller manipulere innholdet av dokumenter som leveres over HTTPS

    Beskrivelse: Et problem i Safari gjør det mulig for innhold som leveres over HTTP, til å endre eller få tilgang til innhold som leveres over HTTPS i det samme domenet. Ved å oppfordre en bruker til å besøke et skadelig nettsted, kan en angriper starte kjøring av JavaScript i konteksten av HTTPS-nettsider i det aktuelle domenet. Denne oppdateringen løser problemet ved å begrense tilgang mellom JavaScript-kjøring i HTTP- og HTTPS-rammer. En takk til Keigo Yamazaki hos LAC Co., Ltd. (Little eArth Corporation Co., Ltd.) som meldte fra om dette problemet.

Installasjonsmerknad:

Denne oppdateringen er bare tilgjengelig gjennom iTunes, og vil ikke fremkomme i datamaskinens programvareoppdatering eller på Apples nettsted for nedlastinger. Påse at du har Internett-forbindelse og har installert den nyeste versjonen av iTunes fra www.apple.com/no/itunes

iTunes sjekker automatisk Apples oppdateringsserver hver uke. Når det blir oppdaget en oppdatering, blir den lastet ned. Når iPhone står i docken, vil iTunes gi brukeren tilbudet om å installere oppdateringen. Vi anbefaler at du installerer oppdateringen umiddelbart hvis det er mulig. Velger du "Ikke installer (Don't install)", vil du få tilbudet neste gang du tilkobler iPhone.

Den automatiske oppdateringsprosessen kan ta opptil en uke, avhengig av hvilken dag iTunes sjekker om det foreligger oppdateringer. Du kan skaffe oppdateringen manuelt via knappen "Søk etter oppdateringer (Check for Update)" i iTunes. Deretter kan oppdateringen installeres når iPhone blir koblet til datamaskinen.

Slik kontrollerer du om iPhone er oppdatert:

  1. Bla til Settings (Innstillinger)
  2. Klikk General (Generelt)
  3. Klikk About (Om). Versjonen etter installering av denne oppdateringen vil være "1.1.1 (3A109a)"
Publiseringsdato: