Dette dokumentet beskriver sikkerhetsinnholdet i iOS 5.1-programvareoppdateringen som kan lastes ned og installeres ved bruk av iTunes.
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.
Du finner mer informasjon om PGP-nøkkelen fra Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen fra Apple Product Security.
Der det er mulig, brukes CVE-ID-er som henvisning til svakhetene, slik at man kan finne mer informasjon.
Hvis du vil ha mer informasjon om sikkerhetsoppdateringer, kan du se Apple sikkerhetsoppdateringer.
iOS 5.1-programvareoppdatering
-
CFNetwork
Tilgjengelig for: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generasjon) og nyere, iPad, iPad 2
Virkning: Besøk på et skadelig nettsted kan føre til avsløring av sensitiv informasjon
Beskrivelse: Det var et problem med CFNetworks håndtering av feilaktige URL-adresser. Ved tilgang til en skadelig URL-adresse kunne CFNetwork sende uventede forespørselshoder.
CVE-ID
CVE-2012-0641: Erling Ellingsen fra Facebook
-
HFS
Tilgjengelig for: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generasjon) og nyere, iPad, iPad 2
Virkning: Aktivering av en skadelig diskfil kan føre til at en enhet slås av eller at vilkårlig kode kjøres
Beskrivelse: Det var et problem med heltallsunderflyt i håndteringen av HFS-katalogfiler.
CVE-ID
CVE-2012-0642: pod2g
-
Kjerne
Tilgjengelig for: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generasjon) og nyere, iPad, iPad 2
Virkning: Et skadelig program kunne omgå sandkasserestriksjonene
Beskrivelse: Det var et logikkproblem i håndteringen av feilsøkingssystemkall. Dette kan tillate at et skadelig program kan kjøre kode i andre programmer med samme brukerrettigheter.
CVE-ID
CVE-2012-0643: 2012 iOS Jailbreak Dream Team
-
libresolv
Tilgjengelig for: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generasjon) og nyere, iPad, iPad 2
Virkning: Programmer som bruker libresolv-biblioteket, kan være utsatt for at et program uventet avsluttes eller at vilkårlig kode kjøres
Beskrivelse: Det var en heltallsoverflyt i håndteringen av DNS-ressursoppføringer, som kan føre til ødeleggelse av heap-hukommelse.
CVE-ID
CVE-2011-3453: Ilja van Sprundel hos IOActive
-
Kodelås
Tilgjengelig for: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generasjon) og nyere, iPad, iPad 2
Virkning: Det er mulig at en person med fysisk tilgang til enheten, delvis kan omgå skjermlåsen
Beskrivelse: Det var et race-tilstandsproblem i håndteringen av bevegelser for å ringe. Dette kan tillate at en person som har fysisk tilgang til enheten, kan forbigå Kodelås-skjermen.
CVE-ID
CVE-2012-0644: Roland Kohler fra German Federal Ministry for Economics and Technology
-
Safari
Tilgjengelig for: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generasjon) og nyere, iPad, iPad 2
Virkning: Besøk på Internett-sider kan ha blitt registrert i nettleserloggen selv om Privat nettlesing er aktiv
Beskrivelse: Privat nettlesing i Safari er laget for å hindre registrering av nettleserøkter. Sider som ble besøkt som følge av at et nettsted brukte JavaScript-metoden pushState eller replaceState, ble registrert i nettleserloggen selv om Privat nettlesing var aktivert. Dette problemet er løst ved ikke å registrere slike besøk når Privat nettlesing er aktivert.
CVE-ID
CVE-2012-0585: Eric Melville fra American Express
-
Siri
Tilgjengelig for: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generasjon) og nyere, iPad, iPad 2
Virkning: En angriper med fysisk tilgang til en låst telefon, kunne få tilgang til øverste e-postmelding
Beskrivelse: Det var et designproblem i Siris restriksjoner for låst skjerm. Hvis Siri var aktivert for å bruke låst skjerm og Mail var åpen med en melding valgt bak den låste skjermen, kunne en talekommando brukes til å sende denne meldingen til en vilkårlig mottaker. Dette problemet løses ved å deaktivere videresending av aktive meldinger fra den låste skjermen.
CVE-ID
CVE-2012-0645
-
VPN
Tilgjengelig for: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generasjon) og nyere, iPad, iPad 2
Virkning: En skadelig systemkonfigurasjonsfil kan føre til at vilkårlig kode kjøres med systemrettigheter
Beskrivelse: Det var en formatstrengsårbarhet i håndteringen av racoon-konfigurasjonsfiler.
CVE-ID
CVE-2012-0646: pod2g
-
WebKit
Tilgjengelig for: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generasjon) og nyere, iPad, iPad 2
Virkning: Besøk på et skadelig websted kan føre til avsløring av informasjonskapsler
Beskrivelse: Det fantes et problem med opphavssteder i WebKit, slik at informasjonskapsler kunne bli avslørt på feil sted.
CVE-ID
CVE-2011-3887: Sergey Glazunov
-
WebKit
Tilgjengelig for: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generasjon) og nyere, iPad, iPad 2
Virkning: Besøk på et skadelig websted der innhold dras med musen, kan føre til et angrep med skripting mellom websteder
Beskrivelse: Det fantes et problem med opphavssteder i WebKit, slik at innhold kan dras og slippes på tvers av nettsteder.
CVE-ID
CVE-2012-0590: Adam Barth i Google Chrome Security Team
-
WebKit
Tilgjengelig for: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generasjon) og nyere, iPad, iPad 2
Virkning: Besøk på et skadelig websted kan føre til et angrep med skripting mellom websteder
Det var flere problemer på tvers av opprinnelsessteder i WebKit.
CVE-ID
CVE-2011-3881: Sergey Glazunov
CVE-2012-0586: Sergey Glazunov
CVE-2012-0587: Sergey Glazunov
CVE-2012-0588: Jochen Eisinger i Google Chrome Team
CVE-2012-0589: Alan Austin i polyvore.com
-
WebKit
Tilgjengelig for: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3. generasjon) og nyere, iPad, iPad 2
Virkning: Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres
Beskrivelse: Det er flere problemer med ødelagt hukommelse i WebKit.
CVE-ID
CVE-2011-2825: wushi fra team509 som arbeider for TippingPoints Zero Day Initiative
CVE-2011-2833: Apple
CVE-2011-2846: Arthur Gerkis, miaubiz
CVE-2011-2847: miaubiz, Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer
CVE-2011-2854: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer
CVE-2011-2855: Arthur Gerkis, wushi i team509 som arbeider for iDefense VCP
CVE-2011-2857: miaubiz
CVE-2011-2860: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer
CVE-2011-2867: Dirk Schulze
CVE-2011-2868: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer
CVE-2011-2869: Cris Neckar fra Google Chrome Security Team ved bruk av AddressSanitizer
CVE-2011-2870: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer
CVE-2011-2871: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer
CVE-2011-2872: Abhishek Arya (Inferno) og Cris Neckar fra Google Chrome Security Team ved bruk av AddressSanitizer
CVE-2011-2873: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer
CVE-2011-2877: miaubiz
CVE-2011-3885: miaubiz
CVE-2011-3888: miaubiz
CVE-2011-3897: pa_kt som arbeider for TippingPoints Zero Day Initiative
CVE-2011-3908: Aki Helin i OUSPG
CVE-2011-3909: Google Chrome Security Team (scarybeasts) og Chu
CVE-2011-3928: wushi fra team509 som arbeider for TippingPoints Zero Day Initiative
CVE-2012-0591: miaubiz og Martin Barbella
CVE-2012-0592: Alexander Gavrun som arbeider for TippingPoints Zero Day Initiative
CVE-2012-0593: Lei Zhang i Chromium development community
CVE-2012-0594: Adam Klein i Chromium development community
CVE-2012-0595: Apple
CVE-2012-0596: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer
CVE-2012-0597: miaubiz
CVE-2012-0598: Sergey Glazunov
CVE-2012-0599: Dmytro Gorbunov fra SaveSources.com
CVE-2012-0600: Marshall Greenblatt, Dharani Govindan fra Google Chrome, miaubiz, Aki Helin fra OUSPG, Apple
CVE-2012-0601: Apple
CVE-2012-0602: Apple
CVE-2012-0603: Apple
CVE-2012-0604: Apple
CVE-2012-0605: Apple
CVE-2012-0606: Apple
CVE-2012-0607: Apple
CVE-2012-0608: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer
CVE-2012-0609: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer
CVE-2012-0610: miaubiz, Martin Barbella ved bruk av AddressSanitizer
CVE-2012-0611: Martin Barbella ved bruk av AddressSanitizer
CVE-2012-0612: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer
CVE-2012-0613: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer
CVE-2012-0614: miaubiz, Martin Barbella ved bruk av AddressSanitizer
CVE-2012-0615: Martin Barbella ved bruk av AddressSanitizer
CVE-2012-0616: miaubiz
CVE-2012-0617: Martin Barbella ved bruk av AddressSanitizer
CVE-2012-0618: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer
CVE-2012-0619: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer
CVE-2012-0620: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer
CVE-2012-0621: Martin Barbella ved bruk av AddressSanitizer
CVE-2012-0622: Dave Levin og Abhishek Arya fra Google Chrome Security Team
CVE-2012-0623: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer
CVE-2012-0624: Martin Barbella ved bruk av AddressSanitizer
CVE-2012-0625: Martin Barbella
CVE-2012-0626: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer
CVE-2012-0627: Apple
CVE-2012-0628: Slawomir Blazek, miaubiz, Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer
CVE-2012-0629: Abhishek Arya (Inferno) fra Google Chrome Security Team
CVE-2012-0630: Sergio Villar Senin i Igalia
CVE-2012-0631: Abhishek Arya (Inferno) fra Google Chrome Security Team
CVE-2012-0632: Cris Neckar fra Google Chrome Security Team ved bruk av AddressSanitizer
CVE-2012-0633: Apple
CVE-2012-0635: Julien Chaffraix fra Chromium utviklingsfellesskap, Martin Barbella ved bruk av AddressSanitizer