Om sikkerhetsinnholdet i iOS 4.3

Dette dokumentet beskriver sikkerhetsinnholdet i iOS 4.3.

Dette dokumentet beskriver sikkerhetsinnholdet i iOS 4.3, som kan lastes ned og installeres ved bruk av iTunes.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.

Du finner mer informasjon om PGP-nøkkelen fra Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen fra Apple Product Security.

Der det er mulig, brukes CVE-ID-er som henvisning til svakhetene, slik at man kan finne mer informasjon.

Hvis du vil ha mer informasjon om sikkerhetsoppdateringer, kan du se Apple sikkerhetsoppdateringer.

iOS 4.3

  • CoreGraphics

    Tilgjengelig for: iOS 3.0 til og med 4.2.1 for iPhone 3GS og nyere, iOS 3.1 til og med 4.2.1 for iPod touch (3. generasjon) og nyere, iOS 3.2 til og med 4.2.1 for iPad

    Virkning: Flere sårbarheter i FreeType

    Beskrivelse: Det varr flere sårbarheter i FreeType, og den mest alvorlige kan føre til vilkårlig utførelse av kode ved tilgang til en skadelig font. Disse problemene løses ved å oppdatere FreeType til versjon 2.4.3. Ytterligere informasjon kan fås på nettsidene til FreeType på http://www.freetype.org/

    CVE-ID

    CVE-2010-3855

  • ImageIO

    Tilgjengelig for: iOS 3.0 til og med 4.2.1 for iPhone 3GS og nyere, iOS 3.1 til og med 4.2.1 for iPod touch (3. generasjon) og nyere, iOS 3.2 til og med 4.2.1 for iPad

    Virkning: Visning av et skadelig TIFF-bilde kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode

    Beskrivelse: Det var bufferoverflyt i libTIFFs håndtering av JPEG-kodede TIFF-bilder. Visning av et skadelig TIFF-bilde kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode.

    CVE-ID

    CVE-2011-0191: Apple

  • ImageIO

    Tilgjengelig for: iOS 3.0 til og med 4.2.1 for iPhone 3GS og nyere, iOS 3.1 til og med 4.2.1 for iPod touch (3. generasjon) og nyere, iOS 3.2 til og med 4.2.1 for iPad

    Virkning: Visning av et skadelig TIFF-bilde kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode

    Beskrivelse: Det var bufferoverflyt i libTIFFs håndtering av CCITT-gruppe 4-kodede TIFF-bilder. Visning av et skadelig TIFF-bilde kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode.

    CVE-ID

    CVE-2011-0192: Apple

  • libxml

    Tilgjengelig for: iOS 3.0 til og med 4.2.1 for iPhone 3GS og nyere, iOS 3.1 til og med 4.2.1 for iPod touch (3. generasjon) og nyere, iOS 3.2 til og med 4.2.1 for iPad

    Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var et dobbeltfrigivelsesproblem i libxmls håndtering av XPath-uttrykk. Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode.

    CVE-ID

    CVE-2010-4494: Yang Dingning ved NCNIPC, Graduate University of Chinese Academy of Sciences

  • Nettverk

    Tilgjengelig for: iOS 3.0 til og med 4.2.1 for iPhone 3GS og nyere, iOS 3.1 til og med 4.2.1 for iPod touch (3. generasjon) og nyere, iOS 3.2 til og med 4.2.1 for iPad

    Virkning: En tjener kan kunne identifisere en enhet over tilkoblinger

    Beskrivelse: IPv6-adressen som enheten har valgt, inneholder enhetens MAC-adresse ved bruk av SLAAC (Stateless Address Autoconfiguration). En IPv6-aktivert tjener som er kontaktet av enheten kan bruke adressen til å spore enheten over tilkoblinger. Denne oppdateringen implementerer IPv6-utvidelsen beskrevet i RFC 3041, ved å legge til en midlertidig vilkårlig adresse som brukes til utgående tilkoblinger.

  • Safari

    Tilgjengelig for: iOS 3.0 til og med 4.2.1 for iPhone 3GS og nyere, iOS 3.1 til og med 4.2.1 for iPod touch (3. generasjon) og nyere, iOS 3.2 til og med 4.2.1 for iPad

    Virkning: Besøk på et skadelig nettsted kan føre til at MobileSafari avsluttes ved oppstart

    Beskrivelse: Et skadelig nettsted kan inneholde javascript som gjentatte ganger fører til at et annet program på enheten starter via URL-håndtereren. Besøk på dette nettstedet med MobileSafari vil føre til at MobileSafari avsluttes, og målprogrammet startes. Denne sekvensen vil fortsette hver gang MobileSafari åpnes. Problemet håndteres ved å gå tilbake til forrige side når Safari åpnes på nytt etter at et annet program ble åpnet via URL-håndtereren.

    CVE-ID

    CVE-2011-0158 : Nitesh Dhanjani i Ernst & Young LLP

  • Safari

    Tilgjengelig for: iOS 4.0 til og med 4.2.1 for iPhone 3GS og nyere, iOS 4.0 til og med 4.2.1 for iPod touch (3. generasjon) og nyere, iOS 4.2 til og med 4.2.1 for iPad

    Virkning: Fjerning av informasjonskapsler i Safari-innstillingene har ingen effekt

    Beskrivelse: I noen tilfeller har fjerning av informasjonskapsler i Safari-innstillingene mens Safari kjører, ingen effekt. Dette problemet løses ved bedre behandling av informasjonskapsler. Dette problemet berører ikke systemer før iOS 4.0.

    CVE-ID

    CVE-2011-0159 : Erik Wong i Google Inc.

  • WebKit

    Tilgjengelig for: iOS 3.0 til og med 4.2.1 for iPhone 3GS og nyere, iOS 3.1 til og med 4.2.1 for iPod touch (3. generasjon) og nyere, iOS 3.2 til og med 4.2.1 for iPad

    Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det er flere problemer med ødelagt hukommelse i WebKit. Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode.

    CVE-ID

    CVE-2010-1792

    CVE-2010-1824 : kuzzcc og wushi i team509 hos TippingPoints Zero Day Initiative

    CVE-2011-0111 : Sergey Glazunov

    CVE-2011-0112 : Yuzo Fujishima i Google Inc.

    CVE-2011-0113 : Andreas Kling i Nokia

    CVE-2011-0114 : Chris Evans i Google Chrome Security Team

    CVE-2011-0115 : J23 hos TippingPoints Zero Day Initiative og Emil A Eklund i Google, Inc.

    CVE-2011-0116 : en anonym forsker hos TippingPoints Zero Day Initiative

    CVE-2011-0117 : Abhishek Arya (Inferno) i Google, Inc.

    CVE-2011-0118 : Abhishek Arya (Inferno) i Google, Inc.

    CVE-2011-0119 : Abhishek Arya (Inferno) i Google, Inc.

    CVE-2011-0120 : Abhishek Arya (Inferno) i Google, Inc.

    CVE-2011-0121 : Abhishek Arya (Inferno) i Google, Inc.

    CVE-2011-0122 : Slawomir Blazek

    CVE-2011-0123 : Abhishek Arya (Inferno) i Google, Inc.

    CVE-2011-0124 : Yuzo Fujishima i Google Inc.

    CVE-2011-0125 : Abhishek Arya (Inferno) i Google, Inc.

    CVE-2011-0126 : Mihai Parparita i Google, Inc.

    CVE-2011-0127 : Abhishek Arya (Inferno) i Google, Inc.

    CVE-2011-0128 : David Bloom

    CVE-2011-0129 : Famlam

    CVE-2011-0130 : Apple

    CVE-2011-0131 : wushi i team509

    CVE-2011-0132 : wushi i team509 hos TippingPoints Zero Day Initiative

    CVE-2011-0133 : wushi i team509 hos TippingPoints Zero Day Initiative

    CVE-2011-0134 : Jan Tosovsky

    CVE-2011-0135 : en anonym reporter

    CVE-2011-0136 : Sergey Glazunov

    CVE-2011-0137 : Sergey Glazunov

    CVE-2011-0138 : kuzzcc

    CVE-2011-0140 : Sergey Glazunov

    CVE-2011-0141 : Chris Rohlf i Matasano Security

    CVE-2011-0142 : Abhishek Arya (Inferno) i Google, Inc.

    CVE-2011-0143 : Slawomir Blazek og Sergey Glazunov

    CVE-2011-0144 : Emil A Eklund i Google, Inc.

    CVE-2011-0145 : Abhishek Arya (Inferno) i Google, Inc.

    CVE-2011-0146 : Abhishek Arya (Inferno) i Google, Inc.

    CVE-2011-0147 : Dirk Schulze

    CVE-2011-0148 : Michal Zalewski i Google, Inc.

    CVE-2011-0149 : wushi i team509 hos TippingPoints Zero Day Initiative og SkyLined i Google Chrome Security Team

    CVE-2011-0150 : Michael Gundlach i safariadblock.com

    CVE-2011-0151 : Abhishek Arya (Inferno) i Google, Inc.

    CVE-2011-0152 : SkyLined i Google Chrome Security Team

    CVE-2011-0153 : Abhishek Arya (Inferno) i Google, Inc.

    CVE-2011-0154 : en anonym forsker hos TippingPoints Zero Day Initiative

    CVE-2011-0155 : Aki Helin i OUSPG

    CVE-2011-0156 : Abhishek Arya (Inferno) i Google, Inc.

    CVE-2011-0157 : Benoit Jacob i Mozilla

    CVE-2011-0168 : Sergey Glazunov

  • WebKit

    Tilgjengelig for: iOS 3.0 til og med 4.2.1 for iPhone 3GS og nyere, iOS 3.1 til og med 4.2.1 for iPod touch (3. generasjon) og nyere, iOS 3.2 til og med 4.2.1 for iPad

    Virkning: Grunnleggende HTTP-autentiseringsinformasjon kan ved en feiltagelse bli avslørt til et annet nettsted

    Beskrivelse: Hvis et nettsted bruker grunnleggende HTTP-autentiseringsinformasjon og omdirigerer til et annet nettsted, kan autentiseringsinformasjonen bli sendt til det andre stedet. Problemet løses ved forbedret håndtering av akkreditiver.

    CVE-ID

    CVE-2011-0160: McIntosh Cooey hos Twelve Hundred Group, Harald Hanche-Olsen, Chuck Hohn hos 1111 Internet LLC som arbeider med CERT og Paul Hinze hos Braintree

  • WebKit

    Tilgjengelig for: iOS 3.0 til og med 4.2.1 for iPhone 3GS og nyere, iOS 3.1 til og med 4.2.1 for iPod touch (3. generasjon) og nyere, iOS 3.2 til og med 4.2.1 for iPad

    Virkning: Besøk på et skadelig nettsted kan føre til deklarasjon av stiler på tvers av nettsteder

    Beskrivelse: Det var et problem på tvers av opprinnelsessteder i WebKits håndtering av Attr.style-aksessoren. Besøk på skadelig nettsted kan føre til at stedet setter inn CSS i andre dokumenter. Problemet løses ved å fjerne Attr.style-aksessoren.

    CVE-ID

    CVE-2011-0161: Apple

  • WebKit

    Tilgjengelig for: iOS 3.0 til og med 4.2.1 for iPhone 3GS og nyere, iOS 3.1 til og med 4.2.1 for iPod touch (3. generasjon) og nyere, iOS 3.2 til og med 4.2.1 for iPad

    Virkning: Et skadelig nettsted kan hindre at andre steder ber om bestemte ressurser

    Beskrivelse: Det var et problem med bufferinfisering i WebKits håndtering av bufrede ressurser. Et skadelig nettsted kan hindre at andre nettsteder ber om bestemte ressurser. Problemet løses ved forbedret typekontroll.

    CVE-ID

    CVE-2011-0163: Apple

  • Wi-Fi

    Tilgjengelig for: iOS 3.0 til og med 4.2.1 for iPhone 3GS og nyere, iOS 3.1 til og med 4.2.1 for iPod touch (3. generasjon) og nyere, iOS 3.2 til og med 4.2.1 for iPad

    Virkning: Når tilkoblet Wi-Fi, kan en angriper i samme nettverk føre til at enheten nullstilles

    Beskrivelse: Det var et grensekontrollproblem i håndteringen av Wi-Fi-rammer. Når tilkoblet Wi-Fi, kan en angriper i samme nettverk føre til at enheten nullstilles.

    CVE-ID

    CVE-2011-0162 : Scott Boyd i ePlus Technology, inc.

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: