Om sikkerhetsinnholdet i iOS 4.2

Dette dokumentet beskriver sikkerhetsinnholdet i iOS 4.2, som kan lastes ned og installeres ved bruk av iTunes.

Dette dokumentet beskriver sikkerhetsinnholdet i iOS 4.2, som kan lastes ned og installeres ved bruk av iTunes.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.

Du finner mer informasjon om PGP-nøkkelen fra Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen fra Apple Product Security.

Der det er mulig, brukes CVE-ID-er som henvisning til svakhetene, slik at man kan finne mer informasjon.

Hvis du vil ha mer informasjon om sikkerhetsoppdateringer, kan du se Apple sikkerhetsoppdateringer.

iOS 4.2

  • Konfigurasjonsprofiler

    CVE-ID: CVE-2010-3827

    Tilgjengelig for: iOS 2.0 til og med 4.1 for iPhone 3G og nyere, iOS 2.1 til og med 4.1 for iPod touch (2. generasjon) og nyere, iOS 3.2 til og med 3.2.2 for iPad

    Virkning: En bruker kan bli villedet til å installere en skadelig konfigurasjonsprofil

    Beskrivelse: Det finnes et signaturvalideringsproblem i håndteringen av konfigurasjonsprofiler. En skadelig konfigurasjonsprofil kan se ut til å ha en gyldig signatur i konfigurasjonsinstalleringsverktøyet. Dette problemet er løst gjennom forbedret validering av profilsignaturer. Takk til Barry Simpson i Bomgar Corporation for å ha rapportert dette problemet.

  • CoreGraphics

    CVE-ID: CVE-2010-2805, CVE-2010-2806, CVE-2010-2807, CVE-2010-2808, CVE-2010-3053, CVE-2010-3054

    Tilgjengelig for: iOS 2.0 til og med 4.1 for iPhone 3G og nyere, iOS 2.1 til og med 4.1 for iPod touch (2. generasjon) og nyere, iOS 3.2 til og med 3.2.2 for iPad

    Virkning: Flere sårbarheter i FreeType 2.4.1

    Beskrivelse: Det foreligger flere sårbarheter i FreeType 2.4.1, og den mest alvorlige kan føre til vilkårlig utførelse av kode ved tilgang til en skadelig font. Disse problemene løses ved å oppdatere FreeType til versjon 2.4.2. Ytterligere informasjon kan fås på nettsidene til FreeType på http://www.freetype.org/

  • FreeType

    CVE-ID: CVE-2010-3814

    Tilgjengelig for: iOS 2.0 til og med 4.1 for iPhone 3G og nyere, iOS 2.1 til og med 4.1 for iPod touch (2. generasjon) og nyere, iOS 3.2 til og med 3.2.2 for iPad

    Virkning: Visning av et PDF-dokument med skadelige innebygde fonter kan føre til kjøring av vilkårlig kode.

    Beskrivelse: Det foreligger heap-bufferoverflyt i FreeTypes behandling av TrueType-opkoder. Visning av et PDF-dokument med skadelige innebygde fonter kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres. Denne oppdateringen løser problemet ved forbedret grensekontroll.

  • iAd-innholdsvisning

    CVE-ID: CVE-2010-3828

    Tilgjengelig for: iOS 2.0 til og med 4.1 for iPhone 3G og nyere, iOS 2.1 til og med 4.1 for iPod touch (2. generasjon) og nyere, iOS 3.2 til og med 3.2.2 for iPad

    Virkning: En angriper i en privilegert nettverksposisjon kan være i stand til å initiere et kall

    Beskrivelse: Det finnes et problem med URL-håndteringen i iAd-innholdsvisningen. En iAd initieres av et program, enten automatisk eller gjennom en eksplisitt brukerhandling. Ved å utstyre innholdet i en ønsket reklame med en kobling som inneholder et URL-oppsett som brukes til å initiere et kall, kan en angriper i en privilegert nettverksposisjon være i stand til å initiere et kall. Dette problemet er løst ved å påse at brukeren blir underrettet før et kall initieres fra en kobling. Takk til Aaron Sigel i vtty.com som meldte fra om dette problemet.

  • ImageIO

    CVE-ID: CVE-2010-2249, CVE-2010-1205

    Tilgjengelig for: iOS 2.0 til og med 4.1 for iPhone 3G og nyere, iOS 2.1 til og med 4.1 for iPod touch (2. generasjon) og nyere, iOS 3.2 til og med 3.2.2 for iPad

    Virkning: Flere svakhetspunkter i libpng

    Beskrivelse: libpng oppdateres til versjon 1.4.3 for å rette flere sårbarheter, der den mest alvorlige kan føre til at vilkårlig kode utføres. Ytterligere informasjon er tilgjengelig på libpng-nettstedet http://www.libpng.org/pub/png/libpng.html

  • libxml

    CVE-ID: CVE-2010-4008

    Tilgjengelig for: iOS 2.0 til og med 4.1 for iPhone 3G og nyere, iOS 2.1 til og med 4.1 for iPod touch (2. generasjon) og nyere, iOS 3.2 til og med 3.2.2 for iPad

    Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det er et problem med ødelagt hukommelse i libxmls håndtering av xpath-uttrykk. Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode. Problemet er løst gjennom forbedret håndtering av xpath-uttrykk. Takk til Bui Quang Minh på Bkis (www.bkis.com) for å ha rapportert dette problemet.

  • E-post

    CVE-ID: CVE-2010-3829

    Tilgjengelig for: iOS 2.0 til og med 4.1 for iPhone 3G og nyere, iOS 2.1 til og med 4.1 for iPod touch (2. generasjon) og nyere, iOS 3.2 til og med 3.2.2 for iPad

    Virkning: Mail kan tolke DNS-navn når ekstern bildelasting er deaktivert

    Beskrivelse: Når WebKit støter på et HTML-koblingsobjekt som ber om DNS-forhåndshenting, vil operasjonen bli utført selv om ekstern bildelasting er deaktivert. Det kan føre til uønskede forespørsler til eksterne tjenere. Avsenderen av en HTML-formatert e-postmelding kan bruke dette til å finne ut om meldingen ble sett. Dette problemet er løst ved å deaktivere DNS-forhåndshenting når ekstern bildelasting er deaktivert. Takk til Mike Cardwell i Cardwell IT Ltd. for å ha rapport dette problemet.

  • Nettverk

    CVE-ID: CVE-2010-1843

    Tilgjengelig for: iOS 4.0 til og med 4.1 for iPhone 3GS og nyere, iOS 4.0 til og med 4.1 for iPod touch (3. generasjon), iOS 3.2 til og med 3.2.2 for iPad

    Virkning: En ekstern angriper kan forårsake at systemet avsluttes uventet

    Beskrivelse: Det er et problem med nullpeker-dereferanse i håndteringen av PIM (Protocol Independent Multicast)-pakker. Ved å sende en skadelig PIM-pakke kan en ekstern angriper forårsake at et program avsluttes uventet. Problemet løses gjennom forbedret validering av PIM-pakker. Takk til en anonym forsker fra TippingPoints Zero Day Initiative for rapportering av dette problemet. Dette problemet berører ikke enheter som kjører iOS-versjoner eldre enn 3.2.

  • Nettverk

    CVE-ID: CVE-2010-3830

    Tilgjengelig for: iOS 2.0 til og med 4.1 for iPhone 3G og nyere, iOS 2.1 til og med 4.1 for iPod touch (2. generasjon) og nyere, iOS 3.2 til og med 3.2.2 for iPad

    Virkning: Skadelig kode kan få systemrettigheter

    Beskrivelse: Det finnes en ugyldig pekerreferanse i Nettverk ved håndtering av pakkefilterregler. Det kan gjøre det mulig for skadelig kode å kjøre i brukerens økt for å få tilgang til systemrettigheter. Dette problemet er løst gjennom forbedret håndtering av pakkefilterregler.

  • OfficeImport

    CVE-ID: CVE-2010-3786

    Tilgjengelig for: iOS 3.2 til og med 3.2.2 for iPad

    Virkning: Visning av en skadelig Excel-fil kan føre uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det er et problem med ødelagt hukommelse i OfficeImports håndtering av Excel-filer. Visning av en skadelig Excel-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres. Dette problemet er løst gjennom forbedret grensekontroll. Dette problemet ble løst på iPhones in iOS 4. Takk til Tobias Klein som arbeider for VeriSign iDefense Labs for å ha rapportert dette problemet.

  • Kodelås

    CVE-ID: CVE-2010-4012

    Tilgjengelig for: iOS 4.0 til og med 4.1 for iPhone 3G og nyere

    Virkning: Det er mulig at en person med fysisk tilgang til en enhet kan få tilgang til brukerens data

    Beskrivelse: Det er et "race"-tilstandsproblem i håndteringen av nødsamtaler. Ved å trykke på Dvale/vekke-knappen rett etter å ha startet et anrop fra Nødsamtale-skjermen er det mulig for en person å omgå kodelåsen. Dette problemet er løst gjennom forbedret kontroll av låstilstanden.

  • Bilder

    CVE-ID: CVE-2010-3831

    Tilgjengelig for: iOS 2.0 til og med 4.1 for iPhone 3G og nyere, iOS 2.1 til og med 4.1 for iPod touch (2. generasjon) og nyere, iOS 3.2 til og med 3.2.2 for iPad

    Virkning: "Send til MobileMe" kan føre til avdekking av passordet for MobileMe-kontoen

    Beskrivelse: Bilder-programmet gjør det mulig for brukere å dele bilder og filmer på forskjellige måter. En måte er "Send til MobileMe"-knappen, som laster opp det valgte innholdet til brukerens MobileMe-galleri. Bilder-programmet vil bruke grunnleggende HTTP-godkjenning hvis ingen annen godkjenningsmekanisme presenteres som tilgjengelig av tjeneren. En angriper med privilegert nettverksposisjon kan panipulere responsen fra MobileMe-galleriet for å be om grunnleggende godkjenning, slik at passordet for MobileMe-kontoen avdekkes. Dette problemet løses ved å deaktivere støtte for grunnleggende godkjenning. Takk til Aaron Sigel ved vtty.com for å ha rapportert dette problemet.

  • Safari

    CVE-ID: CVE-2009-1707

    Tilgjengelig for: iOS 2.0 til og med 4.1 for iPhone 3G og nyere, iOS 2.1 til og med 4.1 for iPod touch (2. generasjon) og nyere, iOS 3.2 til og med 3.2.2 for iPad

    Virkning: «Nullstill Safari» fjerner kanskje ikke nettstedspassord fra hukommelsen umiddelbart

    Beskrivelse: Etter å ha klikket på «Nullstill»-knappen for «Fjern arkiverte navn og passord» under menyvalget «Nullstill Safari...», kan det ta opptil 30 sekunder før Safari fjerner passordene. En bruker som har tilgang til enheten i det tidsvinduet, kan få tilgang til de aktiverte navnene og passordene. Dette problemet løses ved å løse "race"-tilstanden som førte til forsinkelsen. Takk til Philippe Couturier fra izypage.com og Andrew Wellington ved Australian National University for å ha rapportert dette problemet.

  • Telefoni

    CVE-ID: CVE-2010-3832

    Tilgjengelig for: iOS 2.0 til og med 4.1 for iPhone 3G og nyere, iOS 3.2 til og med 3.2.2 for iPad

    Virkning: En ekstern angriper kan være i stand utføre vilkårlig kode

    Beskrivelse: Det finnes en heap-bufferoverflyt i håndteringen av TMSI-felter (Temporary Mobile Subscriber Identity) i GSM-mobilitetsadministrasjonen. Det kan gjøre det mulig for en ekstern angriper å utføre vilkårlig kode på basisbåndprosessoren. Dette problemet er løst gjennom forbedret grensekontroll. Takk til Ralf-Philipp Weinmann ved University of Luxembourg for å ha rapportert dette problemet.

  • WebKit

    CVE-ID: CVE-2010-3803

    Tilgjengelig for: iOS 2.0 til og med 4.1 for iPhone 3G og nyere, iOS 2.1 til og med 4.1 for iPod touch (2. generasjon) og nyere, iOS 3.2 til og med 3.2.2 for iPad

    Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det er heltallsoverflyt i WebKits håndtering av strenger. Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode. Dette problemet er løst gjennom forbedret grensekontroll. En takk til J23 som meldte fra om dette problemet.

  • WebKit

    CVE-ID: CVE-2010-3824

    Tilgjengelig for: iOS 2.0 til og med 4.1 for iPhone 3G og nyere, iOS 2.1 til og med 4.1 for iPod touch (2. generasjon) og nyere, iOS 3.2 til og med 3.2.2 for iPad

    Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det er et bruk-etter-frigivelse-problem i WebKits håndtering av «use»-objekter i SVG-dokumenter. Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode. Problemet er løst gjennom forbedret hukommelseshåndtering. Takk til wushi i team509 som meldte fra om dette problemet.

  • WebKit

    CVE-ID: CVE-2010-3816

    Tilgjengelig for: iOS 2.0 til og med 4.1 for iPhone 3G og nyere, iOS 2.1 til og med 4.1 for iPod touch (2. generasjon) og nyere, iOS 3.2 til og med 3.2.2 for iPad

    Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det er et bruk-etter-frigivelse-problem i WebKits håndtering av rullefelter. Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode. Problemet er løst gjennom forbedret hukommelseshåndtering. Takk tilRohit Makasana i Google Inc. som meldte fra om dette problemet.

  • WebKit

    CVE-ID: CVE-2010-3809

    Tilgjengelig for: iOS 2.0 til og med 4.1 for iPhone 3G og nyere, iOS 2.1 til og med 4.1 for iPod touch (2. generasjon) og nyere, iOS 3.2 til og med 3.2.2 for iPad

    Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det er et problem med ugyldig tildeling i WebKits håndtering av tekstbundne stiler. Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode. Problemet er løst gjennom forbedret håndtering av tekstbundne stiler. Takk til Abhishek Arya (Inferno) i Google Chrome Security Team som meldte fra om dette problemet.

  • WebKit

    CVE-ID: CVE-2010-3810

    Tilgjengelig for: iOS 2.0 til og med 4.1 for iPhone 3G og nyere, iOS 2.1 til og med 4.1 for iPod touch (2. generasjon) og nyere, iOS 3.2 til og med 3.2.2 for iPad

    Virkning: Et skadelig nettsted kan være i stand til å forandre adressen på adresselinjen eller legge inn vilkårlige steder i loggen

    Beskrivelse: Det er et problem med flere opphav i WebKits håndtering av Logg-objektet. Et skadelig nettsted kan være i stand til å forandre adressen på adresselinjen eller legge inn vilkårlige steder i loggen. Problemet er løst gjennom forbedret sporing av sikkerhetsopprinnelser. En takk til Mike Taylor i Opera Software som meldte fra om dette problemet.

  • WebKit

    CVE-ID: CVE-2010-3805

    Tilgjengelig for: iOS 2.0 til og med 4.1 for iPhone 3G og nyere, iOS 2.1 til og med 4.1 for iPod touch (2. generasjon) og nyere, iOS 3.2 til og med 3.2.2 for iPad

    Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det er heltallsunderflyt i WebKits håndtering av WebSockets. Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode. Dette problemet er løst gjennom forbedret grensekontroll. En takk til Keith Campbell og Cris Neckar i Google Chrome Security Team som meldte fra om dette problemet.

  • WebKit

    CVE-ID: CVE-2010-3823

    Tilgjengelig for: iOS 2.0 til og med 4.1 for iPhone 3G og nyere, iOS 2.1 til og med 4.1 for iPod touch (2. generasjon) og nyere, iOS 3.2 til og med 3.2.2 for iPad

    Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det er et bruk-etter-frigivelse-problem i WebKits håndtering av Geolocation-objekter. Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode. Problemet er løst gjennom forbedret hukommelseshåndtering. En takk til kuzzcc som meldte fra om dette problemet.

  • WebKit

    CVE-ID: CVE-2010-3116

    Tilgjengelig for: iOS 2.0 til og med 4.1 for iPhone 3G og nyere, iOS 2.1 til og med 4.1 for iPod touch (2. generasjon) og nyere, iOS 3.2 til og med 3.2.2 for iPad

    Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det er flere bruk-etter-frigivelse-problemer i WebKits håndtering av pluginmoduler. Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode. Problemene er løst gjennom forbedret hukommelseshåndtering.

  • WebKit

    CVE-ID: CVE-2010-3812

    Tilgjengelig for: iOS 2.0 til og med 4.1 for iPhone 3G og nyere, iOS 2.1 til og med 4.1 for iPod touch (2. generasjon) og nyere, iOS 3.2 til og med 3.2.2 for iPad

    Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det er heltallsoverflyt i WebKits håndtering av tekstobjekter. Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode. Dette problemet er løst gjennom forbedret grensekontroll. Takk til J23 som arbeider med TippingPoints Zero Day Initiative, som meldte fra om dette problemet.

  • WebKit

    CVE-ID: CVE-2010-3808

    Tilgjengelig for: iOS 2.0 til og med 4.1 for iPhone 3G og nyere, iOS 2.1 til og med 4.1 for iPod touch (2. generasjon) og nyere, iOS 3.2 til og med 3.2.2 for iPad

    Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det er et problem med ugyldig tildeling i WebKits håndtering av redigeringskommandoer. Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode. Problemet er løst gjennom forbedret håndtering av redigeringskommandoer. Takk til wushi i team509 som meldte fra om dette problemet.

  • WebKit

    CVE-ID: CVE-2010-3259

    Tilgjengelig for: iOS 2.0 til og med 4.1 for iPhone 3G og nyere, iOS 2.1 til og med 4.1 for iPod touch (2. generasjon) og nyere, iOS 3.2 til og med 3.2.2 for iPad

    Virkning: Besøk på et skadelig nettsted kan føre til avsløring av bildedata på et annet nettsted

    Beskrivelse: Det er et problem med flere opphav i WebKits håndtering av bilder som er laget på grunnlag av «canvas»-objekter. Besøk på et skadelig nettsted kan føre til avsløring av bildedata på et annet nettsted. Problemet er løst gjennom forbedret sporing av sikkerhetsopprinnelser. En takk til Isaac Dawson og James Qiu i Microsoft og Microsoft Vulnerability Research (MSVR) som meldte fra om dette problemet.

  • WebKit

    CVE-ID: CVE-2010-1822

    Tilgjengelig for: iOS 2.0 til og med 4.1 for iPhone 3G og nyere, iOS 2.1 til og med 4.1 for iPod touch (2. generasjon) og nyere, iOS 3.2 til og med 3.2.2 for iPad

    Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse:Det er et problem med ugyldig tildeling i WebKits håndtering av SVG-objekter i ikke-SVG-dokumenter. Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode. Problemet er løst gjennom forbedret håndtering av SVG-objekter. Takk til wushi i team509 som meldte fra om dette problemet.

  • WebKit

    CVE-ID: CVE-2010-3811

    Tilgjengelig for: iOS 2.0 til og med 4.1 for iPhone 3G og nyere, iOS 2.1 til og med 4.1 for iPod touch (2. generasjon) og nyere, iOS 3.2 til og med 3.2.2 for iPad

    Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det er et bruk-etter-frigivelse-problem i WebKits håndtering av objektegenskaper. Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode. Problemet er løst gjennom forbedret hukommelseshåndtering. Takk til Michal Zalewski som meldte fra om dette problemet.

  • WebKit

    CVE-ID: CVE-2010-3817

    Tilgjengelig for: iOS 2.0 til og med 4.1 for iPhone 3G og nyere, iOS 2.1 til og med 4.1 for iPod touch (2. generasjon) og nyere, iOS 3.2 til og med 3.2.2 for iPad

    Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det er et problem med ugyldig tildeling i WebKits håndtering av CSS 3D-konvertering. Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode. Problemet er løst gjennom forbedret håndtering av CSS 3D-konvertering. Takk til Abhishek Arya (Inferno) i Google Chrome Security Team som meldte fra om dette problemet.

  • WebKit

    CVE-ID: CVE-2010-3818

    Tilgjengelig for: iOS 2.0 til og med 4.1 for iPhone 3G og nyere, iOS 2.1 til og med 4.1 for iPod touch (2. generasjon) og nyere, iOS 3.2 til og med 3.2.2 for iPad

    Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det er et bruk-etter-frigivelse-problem i WebKits håndtering av tekstbundne tekstruter. Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode. Problemet er løst gjennom forbedret hukommelseshåndtering. Takk til Abhishek Arya (Inferno) i Google Chrome Security Team som meldte fra om dette problemet.

  • WebKit

    CVE-ID: CVE-2010-3819

    Tilgjengelig for: iOS 2.0 til og med 4.1 for iPhone 3G og nyere, iOS 2.1 til og med 4.1 for iPod touch (2. generasjon) og nyere, iOS 3.2 til og med 3.2.2 for iPad

    Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det er et problem med ugyldig tildeling i WebKits håndtering av CSS-ruter. Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode. Problemet er løst gjennom forbedret håndtering av CSS-ruter. Takk til Abhishek Arya (Inferno) i Google Chrome Security Team som meldte fra om dette problemet.

  • WebKit

    CVE-ID: CVE-2010-3820

    Tilgjengelig for: iOS 2.0 til og med 4.1 for iPhone 3G og nyere, iOS 2.1 til og med 4.1 for iPod touch (2. generasjon) og nyere, iOS 3.2 til og med 3.2.2 for iPad

    Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det er et problem med uinitialisert hukommelsestilgang i WebKits håndtering av redigerbare objekter. Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode. Problemet er løst gjennom forbedret håndtering av redigerbare objekter. Takk til: Apple.

  • WebKit

    CVE-ID: CVE-2010-1789

    Tilgjengelig for: iOS 2.0 til og med 4.1 for iPhone 3G og nyere, iOS 2.1 til og med 4.1 for iPod touch (2. generasjon) og nyere, iOS 3.2 til og med 3.2.2 for iPad

    Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det er en heap-bufferoverflyt i WebKits håndtering av JavaScript-strengobjekter. Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode. Dette problemet er løst gjennom forbedret grensekontroll. Takk til: Apple.

  • WebKit

    CVE-ID: CVE-2010-1806

    Tilgjengelig for: iOS 2.0 til og med 4.1 for iPhone 3G og nyere, iOS 2.1 til og med 4.1 for iPod touch (2. generasjon) og nyere, iOS 3.2 til og med 3.2.2 for iPad

    Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det er et bruk-etter-frigivelse-problem i WebKits håndtering av objekter med løpende tekst. Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode. Problemet er løst gjennom forbedret håndtering av objektpekere. Takk til wushi i team509 som arbeider med TippingPoints Zero Day Initiative, som meldte fra om dette problemet.

  • WebKit

    CVE-ID: CVE-2010-3257

    Tilgjengelig for: iOS 2.0 til og med 4.1 for iPhone 3G og nyere, iOS 2.1 til og med 4.1 for iPod touch (2. generasjon) og nyere, iOS 3.2 til og med 3.2.2 for iPad

    Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det er et bruk-etter-frigivelse-problem i WebKits håndtering av objektfokus. Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode. Problemet er løst gjennom forbedret hukommelsesstyring. Takk til VUPEN Vulnerability Research Team som meldte fra om dette problemet.

  • WebKit

    CVE-ID: CVE-2010-3826

    Tilgjengelig for: iOS 2.0 til og med 4.1 for iPhone 3G og nyere, iOS 2.1 til og med 4.1 for iPod touch (2. generasjon) og nyere, iOS 3.2 til og med 3.2.2 for iPad

    Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det er et problem med ugyldig tildeling i WebKits håndtering av farger i SVG-dokumenter. Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode. Problemet er løst gjennom forbedret håndtering av farger i SVG-dokumenter. Takk til Abhishek Arya (Inferno) i Google Chrome Security Team som meldte fra om dette problemet.

  • WebKit

    CVE-ID: CVE-2010-1807

    Tilgjengelig for: iOS 2.0 til og med 4.1 for iPhone 3G og nyere, iOS 2.1 til og med 4.1 for iPod touch (2. generasjon) og nyere, iOS 3.2 til og med 3.2.2 for iPad

    Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det er et problem med inndatagodkjenning i WebKits håndtering av flyttalldatatyper. Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode. Dette problemet er løst gjennom forbedret håndtering av flyttallverdier. Takk til Luke Wagner i Mozilla som meldte fra om dette problemet.

  • WebKit

    CVE-ID: CVE-2010-3821

    Tilgjengelig for: iOS 2.0 til og med 4.1 for iPhone 3G og nyere, iOS 2.1 til og med 4.1 for iPod touch (2. generasjon) og nyere, iOS 3.2 til og med 3.2.2 for iPad

    Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det er et problem med ødelagt hukommelse i WebKits håndtering av pseudoobjektet «:first-letter» i CSS (Cascading Style Sheets). Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode. Problemet er løst gjennom forbedret håndtering av pseudoobjektet «:first-letter». Takk til Cris Neckar og Abhishek Arya (Inferno) i Google Chrome Security Team som meldte fra om dette problemet.

  • WebKit

    CVE-ID: CVE-2010-3804

    Tilgjengelig for: iOS 2.0 til og med 4.1 for iPhone 3G og nyere, iOS 2.1 til og med 4.1 for iPod touch (2. generasjon) og nyere, iOS 3.2 til og med 3.2.2 for iPad

    Virkning: Nettsteder kan i smug spore brukere

    Beskrivelse: Safari genererer vilkårlige tall for JavaScript-programmer ved å bruke en forutsigbar algoritme. Det kan gjøre det mulig for et nettsted å spore en bestemt Safari-økt uten bruk av informasjonskapsler, skjulte skjemaelementer, IP-adresser eller andre teknikker. Denne oppdateringen løser problemet ved å bruke en bedre generator for vilkårlige tall. Takk til Amit Klein i Trusteer som meldte fra om dette problemet.

  • WebKit

    CVE-ID: CVE-2010-3813

    Tilgjengelig for: iOS 2.0 til og med 4.1 for iPhone 3G og nyere, iOS 2.1 til og med 4.1 for iPod touch (2. generasjon) og nyere, iOS 3.2 til og med 3.2.2 for iPad

    Virkning: WebKit kan utføre DNS-forhåndshenting selv om funksjonen er deaktivert

    Beskrivelse: Når WebKit støter på et HTML-koblingsobjekt som ber om DNS-forhåndshenting, vil operasjonen bli utført selv om forhåndshenting er deaktivert. Det kan føre til uønskede forespørsler til eksterne tjenere. For eksempel kan avsenderen av en HTML-formatert e-postmelding bruke dette for å finne ut om meldingen er lest. Problemet er løst gjennom forbedret håndtering av forespørsler om DNS-forhåndshenting. En takk til Jeff Johnson i Rogue Amoeba Software som meldte fra om dette problemet.

  • WebKit

    CVE-ID: CVE-2010-3822

    Tilgjengelig for: iOS 2.0 til og med 4.1 for iPhone 3G og nyere, iOS 2.1 til og med 4.1 for iPod touch (2. generasjon) og nyere, iOS 3.2 til og med 3.2.2 for iPad

    Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det er et problem med en ikke-initialisert peker i WebKits håndtering av CSS-tellerstiler. Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode. Problemet er løst gjennom forbedret håndtering av CSS-tellerstiler. En takk til kuzzcc som meldte fra om dette problemet.

  • WebKit

    Tilgjengelig for: iOS 2.0 til og med 4.1 for iPhone 3G og nyere, iOS 2.1 til og med 4.1 for iPod touch (2. generasjon) og nyere, iOS 3.2 til og med 3.2.2 for iPad

    Virkning: Et skadelig nettsted kan finne ut hvilke nettsteder en bruker har besøkt

    Beskrivelse: Det er et designproblem i WebKits håndtering av CSS-pseudoklassen «:visited». Et skadelig nettsted kan finne ut hvilke nettsteder en bruker har besøkt. Denne oppdateringen begrenser nettsiders mulighet for bruk av stiler basert på om koblinger har blitt besøkt.

  • Flere komponenter

    CVE-ID: CVE-2010-0051, CVE-2010-0544, CVE-2010-0042, CVE-2010-1384, CVE-2010-1387, CVE-2010-1392, CVE-2010-1394, CVE-2010-1403, CVE-2010-1405, CVE-2010-1407, CVE-2010-1408, CVE-2010-1410, CVE-2010-1414, CVE-2010-1415, CVE-2010-1416, CVE-2010-1417, CVE-2010-1418, CVE-2010-1421, CVE-2010-1422, CVE-2010-1757, CVE-2010-1758, CVE-2010-1764, CVE-2010-1770, CVE-2010-1771, CVE-2010-1780, CVE-2010-1781, CVE-2010-1782, CVE-2010-1783, CVE-2010-1784, CVE-2010-1785, CVE-2010-1786, CVE-2010-1787, CVE-2010-1788, CVE-2010-1791, CVE-2010-1793, CVE-2010-1811, CVE-2010-1812, CVE-2010-1813, CVE-2010-1814, CVE-2010-1815

    Tilgjengelig for: iOS 3.2 til og med 3.2.2 for iPad

    Virkning: Flere sikkerhetsrettelser i iOS for iPad

    Beskrivelse: Denne oppdateringen inneholder sikkerhetsrettelser for iPhone og iPod touch i iOS 4 og iOS 4.1.

 

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: