Om sikkerhetsinnholdet i iOS 5.0.1-programvareoppdateringen

Dette dokumentet beskriver sikkerhetsinnholdet i iOS 5.0.1.

Dette dokumentet beskriver sikkerhetsinnholdet i iOS 5.0.1, som kan lastes ned og installeres ved bruk av iTunes.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.

Du finner mer informasjon om PGP-nøkkelen fra Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen fra Apple Product Security.

Der det er mulig, brukes CVE-ID-er som henvisning til svakhetene, slik at man kan finne mer informasjon.

Hvis du vil ha mer informasjon om sikkerhetsoppdateringer, kan du se Apple sikkerhetsoppdateringer.

iOS 5.0.1-programvareoppdatering

• CFNetwork

  Tilgjengelig for: iOS 3.0 til og med 5.0 for iPhone 3GS, iPhone 4 og iPhone 4S, iOS 3.1 til og med 5.0 for iPod touch (3. generasjon) og nyere, iOS 3.2 til og med 5.0 for iPad, iOS 4.3 til og med 5.0 for iPad 2

  Virkning: Besøk på et skadelig nettsted kan føre til avsløring av følsom informasjon

  Beskrivelse: Det var et problem med CFNetworks håndtering av skadelige URL-adresser. Ved åpning av en skadelig HTTP eller HTTPS URL kunne CFNetwork gå til feil tjener.

  CVE-ID

  CVE-2011-3246 : Erling Ellingsen fra Facebook

• CoreGraphics

  Tilgjengelig for: iOS 3.0 til og med 5.0 for iPhone 3GS, iPhone 4 og iPhone 4S, iOS 3.1 til og med 5.0 for iPod touch (3. generasjon) og nyere, iOS 3.2 til og med 5.0 for iPad, iOS 4.3 til og med 5.0 for iPad 2

  Virkning: Visning av et dokument som inneholder en skadelig font, kan føre til vilkårlig utføring av kode

  Beskrivelse: Det var flere forekomster av ødelagt hukommelse i FreeType, og den mest alvorlige kunne føre til vilkårlig utførelse av kode ved tilgang til en skadelig font.

  CVE-ID

  CVE-2011-3439: Apple

• Datasikkerhet

  Tilgjengelig for: iOS 3.0 til og med 5.0 for iPhone 3GS, iPhone 4 og iPhone 4S, iOS 3.1 til og med 5.0 for iPod touch (3. generasjon) og nyere, iOS 3.2 til og med 5.0 for iPad, iOS 4.3 til og med 5.0 for iPad 2

  Virkning: En angriper i en privilegert nettverksposisjon kan fange opp påloggingsopplysninger eller annen sensitiv informasjon

  Beskrivelse: To sertifikatautoriteter på listen over godkjente rotsertifikater har uavhengig av hverandre utstedt intermediære sertifikater til DigiCert Malaysia. DigiCert Malaysia har utstedt sertifikater med svake nøkler som ikke kan tilbakekalles. En angriper i en privilegert nettverksposisjon kan fange opp påloggingsopplysninger eller annen sensitiv informasjon som er tiltenkt et nettsted med et sertifikat utstedt av DigiCert Malaysia. Dette problemet løses ved å konfigurere standardinnstillingene for systemgodkjenning slik at DigiCert Malaysias sertifikater ikke godkjennes. Takk til Bruce Morton hos Entrust, Inc. for å ha meldt fra om dette problemet.

• Kjerne

  Tilgjengelig for: iOS 3.0 til og med 5.0 for iPhone 3GS, iPhone 4 og iPhone 4S, iOS 3.1 til og med 5.0 for iPod touch (3. generasjon) og nyere, iOS 3.2 til og med 5.0 for iPad, iOS 4.3 til og med 5.0 for iPad 2

  Virkning: Et program kan utføre usignert kode

  Beskrivelse: Det var en logisk feil i mmap-systemkallets kontroll av gyldige flaggkombinasjoner. Dette problemet kan føre til forbigåelse av kodesigneringskontroller. Dette problemet berører ikke enheter som kjører eldre iOS-versjoner enn 4.3.

  CVE-ID

  CVE-2011-3442 : Charlie Miller i Accuvant Labs

• libinfo

  Tilgjengelig for: iOS 3.0 til og med 5.0 for iPhone 3GS, iPhone 4 og iPhone 4S, iOS 3.1 til og med 5.0 for iPod touch (3. generasjon) og nyere, iOS 3.2 til og med 5.0 for iPad, iOS 4.3 til og med 5.0 for iPad 2

  Virkning: Besøk på et skadelig nettsted kan føre til avsløring av følsom informasjon

  Beskrivelse: Det var et problem med libinfos håndtering av DNS-navneoppslag. Libinfo kunne returnere et feilaktig resultat ved tolking av skadelige vertsnavn.

  CVE-ID

  CVE-2011-3441 : Erling Ellingsen i Facebook, Per Johansson i Blocket AB

• Kodelås

  Tilgjengelig for: iOS 4.3 til og med 5.0 for iPad 2

  Virkning: Det er mulig at en person med fysisk tilgang til en låst iPad 2 kan få tilgang til noe av brukerens data

  Beskrivelse: Hvis et Smart Cover åpnes mens iPad 2 bekrefter avslåing i låst tilstand, ber ikke iPad om noen sikkerhetskode. Dette gir en viss tilgang til iPad, men data som beskyttes av Databeskyttelse ikke er tilgjengelig og programmer kan ikke åpnes.

  CVE-ID

  CVE-2011-3440