Dette dokumentet beskriver sikkerhetsinnholdet i iOS 5.1-programvareoppdateringen som kan lastes ned og installeres ved bruk av iTunes.
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.
Du finner mer informasjon om PGP-nøkkelen fra Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen fra Apple Product Security.
Der det er mulig, brukes CVE-ID-er som henvisning til svakhetene, slik at man kan finne mer informasjon.
Hvis du vil ha mer informasjon om sikkerhetsoppdateringer, kan du se Apple sikkerhetsoppdateringer.
iOS 5.1-programvareoppdatering
- 

- 

CFNetwork

Tilgjengelig for: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generasjon) og nyere, iPad, iPad 2

Virkning: Besøk på et skadelig nettsted kan føre til avsløring av sensitiv informasjon

Beskrivelse: Det var et problem med CFNetworks håndtering av feilaktige URL-adresser. Ved tilgang til en skadelig URL-adresse kunne CFNetwork sende uventede forespørselshoder.

CVE-ID

CVE-2012-0641: Erling Ellingsen fra Facebook

 

- 

- 

HFS

Tilgjengelig for: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generasjon) og nyere, iPad, iPad 2

Virkning: Aktivering av en skadelig diskfil kan føre til at en enhet slås av eller at vilkårlig kode kjøres

Beskrivelse: Det var et problem med heltallsunderflyt i håndteringen av HFS-katalogfiler.

CVE-ID

CVE-2012-0642: pod2g

 

- 

- 

Kjerne

Tilgjengelig for: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generasjon) og nyere, iPad, iPad 2

Virkning: Et skadelig program kunne omgå sandkasserestriksjonene

Beskrivelse: Det var et logikkproblem i håndteringen av feilsøkingssystemkall. Dette kan tillate at et skadelig program kan kjøre kode i andre programmer med samme brukerrettigheter.

CVE-ID

CVE-2012-0643: 2012 iOS Jailbreak Dream Team

 

- 

- 

libresolv

Tilgjengelig for: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generasjon) og nyere, iPad, iPad 2

Virkning: Programmer som bruker libresolv-biblioteket, kan være utsatt for at et program uventet avsluttes eller at vilkårlig kode kjøres

Beskrivelse: Det var en heltallsoverflyt i håndteringen av DNS-ressursoppføringer, som kan føre til ødeleggelse av heap-hukommelse.

CVE-ID

CVE-2011-3453: Ilja van Sprundel hos IOActive

 

- 

- 

Kodelås

Tilgjengelig for: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generasjon) og nyere, iPad, iPad 2

Virkning: Det er mulig at en person med fysisk tilgang til enheten, delvis kan omgå skjermlåsen

Beskrivelse: Det var et race-tilstandsproblem i håndteringen av bevegelser for å ringe. Dette kan tillate at en person som har fysisk tilgang til enheten, kan forbigå Kodelås-skjermen.

CVE-ID

CVE-2012-0644: Roland Kohler fra German Federal Ministry for Economics and Technology

 

- 

- 

Safari

Tilgjengelig for: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generasjon) og nyere, iPad, iPad 2

Virkning: Besøk på Internett-sider kan ha blitt registrert i nettleserloggen selv om Privat nettlesing er aktiv

Beskrivelse: Privat nettlesing i Safari er laget for å hindre registrering av nettleserøkter. Sider som ble besøkt som følge av at et nettsted brukte JavaScript-metoden pushState eller replaceState, ble registrert i nettleserloggen selv om Privat nettlesing var aktivert. Dette problemet er løst ved ikke å registrere slike besøk når Privat nettlesing er aktivert.

CVE-ID

CVE-2012-0585: Eric Melville fra American Express

 

- 

- 

Siri

Tilgjengelig for: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generasjon) og nyere, iPad, iPad 2

Virkning: En angriper med fysisk tilgang til en låst telefon, kunne få tilgang til øverste e-postmelding

Beskrivelse: Det var et designproblem i Siris restriksjoner for låst skjerm. Hvis Siri var aktivert for å bruke låst skjerm og Mail var åpen med en melding valgt bak den låste skjermen, kunne en talekommando brukes til å sende denne meldingen til en vilkårlig mottaker. Dette problemet løses ved å deaktivere videresending av aktive meldinger fra den låste skjermen.

CVE-ID

CVE-2012-0645

 

- 

- 

VPN

Tilgjengelig for: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generasjon) og nyere, iPad, iPad 2

Virkning: En skadelig systemkonfigurasjonsfil kan føre til at vilkårlig kode kjøres med systemrettigheter

Beskrivelse: Det var en formatstrengsårbarhet i håndteringen av racoon-konfigurasjonsfiler.

CVE-ID

CVE-2012-0646: pod2g

 

- 

- 

WebKit

Tilgjengelig for: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generasjon) og nyere, iPad, iPad 2

Virkning: Besøk på et skadelig websted kan føre til avsløring av informasjonskapsler

Beskrivelse: Det fantes et problem med opphavssteder i WebKit, slik at informasjonskapsler kunne bli avslørt på feil sted.

CVE-ID

CVE-2011-3887: Sergey Glazunov

 

- 

- 

WebKit

Tilgjengelig for: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generasjon) og nyere, iPad, iPad 2

Virkning: Besøk på et skadelig websted der innhold dras med musen, kan føre til et angrep med skripting mellom websteder

Beskrivelse: Det fantes et problem med opphavssteder i WebKit, slik at innhold kan dras og slippes på tvers av nettsteder.

CVE-ID

CVE-2012-0590: Adam Barth i Google Chrome Security Team

 

- 

- 

WebKit

Tilgjengelig for: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generasjon) og nyere, iPad, iPad 2

Virkning: Besøk på et skadelig websted kan føre til et angrep med skripting mellom websteder

Det var flere problemer på tvers av opprinnelsessteder i WebKit.

CVE-ID

CVE-2011-3881: Sergey Glazunov

CVE-2012-0586: Sergey Glazunov

CVE-2012-0587: Sergey Glazunov

CVE-2012-0588: Jochen Eisinger i Google Chrome Team

CVE-2012-0589: Alan Austin i polyvore.com

 

- 

- 

WebKit

Tilgjengelig for: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generasjon) og nyere, iPad, iPad 2

Virkning: Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

Beskrivelse: Det er flere problemer med ødelagt hukommelse i WebKit.

CVE-ID

CVE-2011-2825: wushi fra team509 som arbeider for TippingPoints Zero Day Initiative

CVE-2011-2833: Apple

CVE-2011-2846: Arthur Gerkis, miaubiz

CVE-2011-2847: miaubiz, Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer

CVE-2011-2854: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer

CVE-2011-2855: Arthur Gerkis, wushi i team509 som arbeider for iDefense VCP

CVE-2011-2857: miaubiz

CVE-2011-2860: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer

CVE-2011-2867: Dirk Schulze

CVE-2011-2868: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer

CVE-2011-2869: Cris Neckar fra Google Chrome Security Team ved bruk av AddressSanitizer

CVE-2011-2870: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer

CVE-2011-2871: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer

CVE-2011-2872: Abhishek Arya (Inferno) og Cris Neckar fra Google Chrome Security Team ved bruk av AddressSanitizer

CVE-2011-2873: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer

CVE-2011-2877: miaubiz

CVE-2011-3885: miaubiz

CVE-2011-3888: miaubiz

CVE-2011-3897: pa_kt som arbeider for TippingPoints Zero Day Initiative

CVE-2011-3908: Aki Helin i OUSPG

CVE-2011-3909: Google Chrome Security Team (scarybeasts) og Chu

CVE-2011-3928: wushi fra team509 som arbeider for TippingPoints Zero Day Initiative

CVE-2012-0591: miaubiz og Martin Barbella

CVE-2012-0592: Alexander Gavrun som arbeider for TippingPoints Zero Day Initiative

CVE-2012-0593: Lei Zhang i Chromium development community

CVE-2012-0594: Adam Klein i Chromium development community

CVE-2012-0595: Apple

CVE-2012-0596: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer

CVE-2012-0597: miaubiz

CVE-2012-0598: Sergey Glazunov

CVE-2012-0599: Dmytro Gorbunov fra SaveSources.com

CVE-2012-0600: Marshall Greenblatt, Dharani Govindan fra Google Chrome, miaubiz, Aki Helin fra OUSPG, Apple

CVE-2012-0601: Apple

CVE-2012-0602: Apple

CVE-2012-0603: Apple

CVE-2012-0604: Apple

CVE-2012-0605: Apple

CVE-2012-0606: Apple

CVE-2012-0607: Apple

CVE-2012-0608: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer

CVE-2012-0609: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer

CVE-2012-0610: miaubiz, Martin Barbella ved bruk av AddressSanitizer

CVE-2012-0611: Martin Barbella ved bruk av AddressSanitizer

CVE-2012-0612: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer

CVE-2012-0613: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer

CVE-2012-0614: miaubiz, Martin Barbella ved bruk av AddressSanitizer

CVE-2012-0615: Martin Barbella ved bruk av AddressSanitizer

CVE-2012-0616: miaubiz

CVE-2012-0617: Martin Barbella ved bruk av AddressSanitizer

CVE-2012-0618: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer

CVE-2012-0619: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer

CVE-2012-0620: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer

CVE-2012-0621: Martin Barbella ved bruk av AddressSanitizer

CVE-2012-0622: Dave Levin og Abhishek Arya fra Google Chrome Security Team

CVE-2012-0623: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer

CVE-2012-0624: Martin Barbella ved bruk av AddressSanitizer

CVE-2012-0625: Martin Barbella

CVE-2012-0626: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer

CVE-2012-0627: Apple

CVE-2012-0628: Slawomir Blazek, miaubiz, Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer

CVE-2012-0629: Abhishek Arya (Inferno) fra Google Chrome Security Team

CVE-2012-0630: Sergio Villar Senin i Igalia

CVE-2012-0631: Abhishek Arya (Inferno) fra Google Chrome Security Team

CVE-2012-0632: Cris Neckar fra Google Chrome Security Team ved bruk av AddressSanitizer

CVE-2012-0633: Apple

CVE-2012-0635: Julien Chaffraix fra Chromium utviklingsfellesskap, Martin Barbella ved bruk av AddressSanitizer