Om säkerhetsinnehållet i uppdateringen för iPhone 1.0.1
I det här dokumentet beskrivs säkerhetsinnehållet i uppdateringen för iPhone 1.0.1, som kan hämtas och installeras via iTunes enligt beskrivningen nedan.
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen för Apples produktsäkerhet.
Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.
Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.
Mer information om andra säkerhetsuppdateringar finns i Säkerhetsuppdateringar från Apple.
iPhone-uppdatering 1.0.1
Safari
CVE-ID: CVE-2007-2400
Tillgänglig för: iPhone 1.0
Effekt: Besök på en skadlig webbplats kan tillåta skriptkörning på flera webbplatser.
Beskrivning: Safaris säkerhetsmodell förhindrar att JavaScript på fjärrwebbsidor ändrar sidor utanför sin domän. Ett konkurrenstillstånd i siduppdatering i kombination med HTTP-omdirigering kan tillåta JavaScript från en sida att ändra en omdirigerad sida. Detta kan tillåta att cookies och sidor kan läsas eller godtycktligt ändras. Den här uppdateringen åtgärdar problemet genom att korrigera åtkomstkontroll till fönsteregenskaper. Tack till Lawrence Lai, Stan Switzer och Ed Rowe från Adobe Systems, Inc. som rapporterade det här problemet.
Safari
CVE-ID: CVE-2007-3944
Tillgänglig för: iPhone 1.0
Effekt: Visning av en skadlig webbsida kan leda till att opålitlig kod körs.
Beskrivning: Heap-buffertspill finns i PCRE-biblioteket (Perl Compatible Regular Expressions) som används av JavaScript-motorn i Safari. Genom att uppmana en användare att besöka en skadlig webbsida kan en angripare utlösa problemet, vilket kan leda till att opålitlig kod körs. Den här uppdateringen åtgärdar problemet genom att utföra ytterligare validering av regelbundna JavaScript-uttryck. Tack till Charlie Miller och Jake Honoroff på Independent Security Evaluators som rapporterade dessa problem.
WebCore
CVE-ID: CVE-2007-2401
Tillgänglig för: iPhone 1.0
Effekt: Besök på en skadlig webbplats kan tillåta förfrågningar på flera webbplatser.
Beskrivning: Ett HTTP-problem med inmatning finns i XMLHttpRequest när rubriker serialiseras till en HTTP-begäran. Genom att uppmana en användare att besöka en skadlig webbsida kan en angripare utlösa ett problem med skriptkörning på flera webbplatser. Den här uppdateringen åtgärdar problemet genom att utföra ytterligare validering av rubrikparametrar. Tack till Richard Moore från Westpoint Ltd. som rapporterade det här problemet.
WebKit
CVE-ID: CVE-2007-3742
Tillgänglig för: iPhone 1.0
Effekt: Liknande tecken i en webbadress kan användas för att imitera en webbplats.
Beskrivning: Stödet för internationaliserade domännamn (IDN) och Unicode-teckensnitt inbäddade i Safari kan användas för att skapa en webbadress som innehåller liknande tecken. Dessa kan användas på en skadlig webbplats för att leda användaren till en falsk webbplats som visuellt verkar vara en legitim domän. Den här uppdateringen åtgärdar problemet genom en förbättrad giltighetskontroll av domännamn. Tack till Tomohito Yoshino på Business Architects Inc. som rapporterade det här problemet.
WebKit
CVE-ID: CVE-2007-2399
Tillgänglig för: iPhone 1.0
Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller opålitlig kod köras.
Beskrivning: En ogiltig typkonvertering vid rendering av ramuppsättningar kan leda till minneskorruption. Effekt: Visning av en webbsida med skadligt innehåll kan leda till att program oväntat avslutas eller att opålitlig kod körs. Tack till Rhys Kidd från Westnet som rapporterade det här problemet.
Anmärkning om installation
Den här uppdateringen är endast tillgänglig via iTunes och kommer inte att visas i din dators programppdateringsprogram eller på Apples supportwebbplats för hämtningar. Se till att du har en internetanslutning och att du har installerat den senaste versionen av iTunes från (https://www.apple.com/se/itunes/).
iTunes kontrollerar automatiskt Apples uppdateringsserver enligt sitt veckoschema. När en uppdatering upptäcks hämtas den. När iPhone-enheten dockas ger iTunes användaren möjligheten att installera uppdateringen. Vi rekommenderar att du tillämpar uppdateringen omedelbart om det går. Om du väljer Installera inte visas alternativet nästa gång du ansluter din iPhone. Den automatiska uppdateringsprocessen kan ta upp till en vecka beroende på vilken dag iTunes söker efter uppdateringar.
Du kan hämta uppdateringen manuellt via knappen Sök efter uppdateringar eller menyval i iTunes. När du har gjort detta kan uppdateringen tillämpas när din iPhone är dockad till datorn.
Så här kontrollerar du att din iPhone har uppdaterats:
Navigera till Inställningar på iPhone.
Klicka på Allmänt.
Klicka på Om. När den här uppdateringen har tillämpats kommer versionen att vara 1.0.1 (1C25).