Om säkerhetsinnehållet i uppdateringen 1.1.1 för iPhone
I det här dokumentet beskrivs säkerhetsinnehållet i uppdatering 1.1.1 för iPhone.
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apple Produktsäkerhet finns på webbplatsen för Apple Produktsäkerhet.
Information om PGP-nyckeln från Apple Produktsäkerhet finns i ”Så här använder du en PGP-nyckel från Apple Produktsäkerhet”.
Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.
Mer information om andra säkerhetsuppdateringar finns i ”Säkerhetsuppdateringar från Apple”.
Uppdatering 1.1.1 för iPhone
Bluetooth
CVE-ID: CVE-2007-3753
Effekt: En angripare inom Bluetooth-räckvidd kan orsaka oväntade programavslut eller köra opålitlig kod.
Beskrivning: Det finns ett problem med indatavalidering iPhone-enhetens Bluetooth-server. Genom att skicka SDP-paket (Service Discovery Protocol) med skadligt innehåll till en Bluetooth-aktiverad iPhone-enhet kan en angripare utlösa problemet, vilket kan leda till oväntat programavslut eller körning av opålitlig kod. Den här uppdateringen åtgärdar problemet genom att utföra ytterligare validering av SDP-paket. Tack till Kevin Mahaffey och John Hering på Flexilis Mobile Security som rapporterade problemet.
CVE-ID: CVE-2007-3754
Effekt: Kontroll av e-post över obetrodda nätverk kan leda till att information avslöjas via en mellanhandsattack.
Beskrivning: När Mail har konfigurerats att använda SSL för inkommande och utgående anslutningar varnas inte användaren när e-postserverns identitet har ändrats eller inte går att lita på. En angripare som kan fånga upp anslutningen kan imitera användarens e-postserver och få användarens e-postinloggningsuppgifter eller annan känslig information. Den här uppdateringen åtgärdar problemet genom att korrekt varna när identiteten på fjärrservern för e-post har ändrats.
CVE-ID: CVE-2007-3755
Effekt: Om du följer en telefonlänk (”tel:”) i Mail ringer du ett telefonnummer utan bekräftelse.
Beskrivning: Mail har stöd för telefonlänkar (”tel:”) för att ringa telefonnummer. Genom att locka en användare att följa en telefonlänk i ett e-postmeddelande kan en angripare få iPhone att ringa ett samtal utan någon bekräftelse från användaren. Den här uppdateringen åtgärdar problemet genom att tillhandahålla ett bekräftelsefönster innan du slår ett telefonnummer via en telefonlänk i Mail. Tack till Andi Baritchi på McAfee som rapporterade problemet.
Safari
CVE-ID: CVE-2007-3756
Effekt: Besök på en skadlig webbplats kan leda till att webbadressinnehåll avslöjas.
Beskrivning: Ett designproblem i Safari gör att en webbsida kan läsa webbadressen som för närvarande visas i det överordnade fönstret. Genom att locka en användare att besöka en webbsida med skadlig kod kan en angripare få tag på webbadressen till en orelaterad sida. Den här uppdateringen åtgärdar problemet genom en förbättrad säkerhetskontroll över flera domäner. Tack till Michal Zalewski på Google Inc. och Secunia Research som rapporterade problemet.
Safari
CVE-ID: CVE-2007-3757
Effekt: Besök på en skadlig webbplats kan leda till oavsiktlig uppringning eller uppringning av ett annat nummer än avsett.
Beskrivning: Safari har stöd för telefonlänkar (”tel:”) för att ringa telefonnummer. När en telefonlänk har valts bekräftar Safari att numret ska ringas. En telefonlänk med skadlig kod kan göra att ett annat nummer visas under bekräftelsen än det nummer som faktiskt rings upp. Om du avslutar Safari under bekräftelseprocessen kan det leda till oavsiktlig bekräftelse. Den här uppdateringen åtgärdar problemet genom att korrekt visa numret som kommer att ringas och kräva bekräftelse på telefonlänkar. Tack till Billy Hoffman och Bryan Sullivan på HP Security Labs (tidigare SPI Labs) och Eduardo Tang som rapporterade problemet.
Safari
CVE-ID: CVE-2007-3758
Effekt: Besök på en skadlig webbplats kan leda till skriptkörning över flera webbplatser.
Beskrivning: Det finns en sårbarhet kopplad till skriptkörning över flera webbplatser i Safari som gör det möjligt för skadliga webbplatser att ställa in egenskaper för JavaScript-fönster på webbplatser som tillhandahålls från en annan domän. Genom att locka en användare att besöka en webbplats med skadligt innehåll kan en angripare utlösa problemet, vilket resulterar i att angriparen kan hämta eller ställa in fönsterstatusen och platsen för sidor som visas från andra webbplatser. Den här uppdateringen åtgärdar problemet genom att tillhandahålla förbättrade åtkomstkontroller för dessa egenskaper. Tack till Michal Zalewski på Google Inc. som rapporterade problemet.
Safari
CVE-ID: CVE-2007-3759
Effekt: Inaktivering av JavaScript träder inte i kraft förrän Safari startas om.
Beskrivning: Safari kan konfigureras att aktivera eller inaktivera JavaScript. Den här inställningen träder inte i kraft förrän Safari startas om nästa gång. Detta inträffar vanligtvis när iPhone-enheten startas om. Detta kan vilseleda användare att tro att JavaScript är inaktiverat när det inte är det. Den här uppdateringen åtgärdar problemet genom att tillämpa den nya inställningen innan nya webbsidor läses in.
Safari
CVE-ID: CVE-2007-3760
Effekt: Besök på en skadlig webbplats kan leda till skriptkörning över flera webbplatser.
Beskrivning: Ett problem med skriptkörning över flera webbplatser i Safari gör det möjligt för en webbplats med skadligt innehåll att kringgå policyn med samma ursprung med hjälp av ”ram”-taggar. Genom att locka en användare att besöka en webbplats med skadligt innehåll kan en angripare utlösa problemet, vilket kan leda till att JavaScript körs inom en annan webbplats. Den här uppdateringen åtgärdar problemet genom att inte tillåta JavaScript som ”iframe”-källa och begränsa JavaScript i ram-taggar till samma åtkomst som den webbplats som skriptet tillhandahölls från. Tack till Michal Zalewski på Google Inc. och Secunia Research som rapporterade problemet.
Safari
CVE-ID: CVE-2007-3761
Effekt: Besök på en skadlig webbplats kan leda till skriptkörning över flera webbplatser.
Beskrivning: Ett problem med skriptkörning över flera webbplatser i Safari gör att JavaScript-händelser kan kopplas till fel ram. Genom att locka en användare att besöka en webbplats med skadligt innehåll kan en angripare orsaka körning av JavaScript inom en annan webbplats. Den här uppdateringen åtgärdar problemet genom att koppla JavaScript-händelser till rätt källram.
Safari
CVE-ID: CVE-2007-4671
Effekt: JavaScript på webbplatser kan komma åt eller manipulera innehållet i dokument som tillhandahålls över HTTPS.
Beskrivning: Ett problem i Safari gör det möjligt för innehåll som tillhandahålls via HTTP att ändra eller komma åt innehåll som tillhandahålls via HTTPS i samma domän. Genom att locka en användare att besöka en webbplats med skadligt innehåll kan en angripare orsaka körning av JavaScript inom HTTPS-webbsidor i den domänen. Den här uppdateringen åtgärdar problemet genom att begränsa åtkomsten mellan JavaScript som körs i HTTP- och HTTPS-ramar. Tack till Keigo Yamazaki på LAC Co., Ltd. (Little Earth Corporation Co., Ltd.) som rapporterade problemet.
Installationsanteckning:
Den här uppdateringen är endast tillgänglig via iTunes och visas inte i datorns program för programuppdatering eller på webbplatsen för Apple-hämtningar. Se till att du har en internetanslutning och har installerat den senaste versionen av iTunes från www.apple.com/itunes.
iTunes kontrollerar automatiskt Apples uppdateringsserver enligt veckoschemat. När en uppdatering upptäcks hämtas den. När iPhone är dockad kommer iTunes att erbjuda användaren alternativet att installera uppdateringen. Vi rekommenderar att du installerar uppdateringen omedelbart om det är möjligt. Om du väljer ”Installera inte” visas alternativet nästa gång du ansluter din iPhone.
Den automatiska uppdateringsprocessen kan ta upp till en vecka beroende på vilken dag iTunes söker efter uppdateringar. Du kan hämta uppdateringen manuellt via knappen ”Sök efter uppdatering” i iTunes. När du har gjort det kan uppdateringen installeras när din iPhone är dockad till din dator.
Så här kontrollerar du att din iPhone har uppdaterats:
Gå till Inställningar
Klicka på Allmänt
Klicka på Om Versionen efter att uppdateringen har installerats ska vara ”1.1.1 (3A109a)”.