Om säkerhetsinnehållet i iOS 4.1 för iPhone och iPod touch
Det här dokumentet beskriver säkerhetsinnehållet i iOS 4.1 för iPhone och iPod touch.
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen Apple produktsäkerhet.
Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.
Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.
Mer information om andra säkerhetsuppdateringar finns i Säkerhetsuppdateringar från Apple.
iOS 4.1 för iPhone och iPod touch
Hjälpmedel
CVE-ID: CVE-2010-1809
Tillgängligt för: iOS 3.0 till 4.0.2 för iPhone 3GS och senare, iOS 3.0 till 4.0.2 för iPod touch (3:e generationen)
Effekt: Ett programs användning av platstjänster kanske inte meddelas via VoiceOver
Beskrivning: Ett problem med ett användargränssnitts hjälpmedel finns i inställningspanelen för Platstjänster. VoiceOver meddelar inte visningen av symbolen för platstjänster som visas bredvid ett program som har begärt användarens plats under de senaste 24 timmarna. Problemet åtgärdas genom säkerställning av att VoiceOver meddelar att symbolen visas. Tack till Robin Kipp på Forever Living Products Europe som rapporterade problemet.
FaceTime
CVE-ID: CVE-2010-1810
Tillgängligt för: iOS 2.0 till 4.0.2 för iPhone 3G och senare, iOS 2.1 till 4.0.2 för iPod touch (2:a generationen) och senare
Effekt: En angripare med privilegierad nätverksposition kan dirigera om FaceTime-samtal
Beskrivning: Ett problem med hanteringen av ogiltiga certifikat kan tillåta en angripare i en privilegierad nätverksposition att dirigera om FaceTime-samtal. Det här problemet åtgärdas genom förbättrad hantering av certifikat. Tack till Aaron Sigel på vtty.com som rapporterade problemet.
ImageIO
CVE-ID: CVE-2010-1811
Tillgängligt för: iOS 2.0 till 4.0.2 för iPhone 3G och senare, iOS 2.1 till 4.0.2 för iPod touch (2:a generationen) och senare
Effekt: Visning av en TIFF-bild med skadligt innehåll kan leda till att program avslutas oväntat eller att opålitlig kod körs
Beskrivning: Ett problem med skadat minnesinnehåll förekommer i hanteringen av TIFF-bilder. Bearbetning av en illvilligt skapad TIFF-bild kan leda till att program avslutas oväntat eller att opålitlig kod körs. Det här problemet åtgärdas genom förbättrad hantering av TIFF-bilder. Tack till: Apple.
ImageIO
CVE-ID: CVE-2010-1817
Tillgängligt för: iOS 2.0 till 4.0.2 för iPhone 3G och senare, iOS 2.1 till 4.0.2 för iPod touch (2:a generationen) och senare
Effekt: Visning av en GIF-bild med skadligt innehåll kan leda till att program avslutas oväntat eller att opålitlig kod körs
Beskrivning: Buffertspill förekommer i hanteringen av GIF-bilder. Bearbetning av en uppsåtligt skapad GIF-bild kan leda till att program avslutas oväntat eller att opålitlig kod körs. Det här problemet avhjälps genom förbättrad gränskontroll. Tack till Tom Ferris på Adobe PSIRT som rapporterade problemet.
WebKit
CVE-ID: CVE-2010-1786
Tillgängligt för: iOS 2.0 till 4.0.2 för iPhone 3G och senare, iOS 2.1 till 4.0.2 för iPod touch (2:a generationen) och senare
Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras
Beskrivning: Ett use-after-free-problem förekommer i WebKits hantering av främmande objekt-element i SVG-dokument. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller exekvering av godtycklig kod. Det här problemet åtgärdas genom ytterligare validering av SVG-dokument. Tack till wushi från team509 i samarbete med TippingPoint's Zero Day Initiative som rapporterade det här problemet.
WebKit
CVE-ID: CVE-2010-1770
Tillgängligt för: iOS 2.0 till 4.0.2 för iPhone 3G och senare, iOS 2.1 till 4.0.2 för iPod touch (2:a generationen) och senare
Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras
Beskrivning: Ett teckensnittskontrollproblem förekommer i WebKits hantering av textnoder. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller exekvering av godtycklig kod. Det här problemet åtgärdas genom förbättrad teckensnittskontroll. Tack till wushi från team509 i samarbete med TippingPoint's Zero Day Initiative som rapporterade det här problemet.
WebKit
CVE-ID: CVE-2010-1785
Tillgängligt för: iOS 2.0 till 4.0.2 för iPhone 3G och senare, iOS 2.1 till 4.0.2 för iPod touch (2:a generationen) och senare
Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras
Beskrivning: Det finns ett problem med icke-initierad minnesåtkomst i WebKits hantering av :first-letter- och :first-line-pseudoelement i SVG-textelement. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller exekvering av godtycklig kod. Problemet åtgärdas genom att inte hantera :first-letter- och :first-line-pseudoelement i SVG-textelement. Tack till wushi från team509 i samarbete med TippingPoint's Zero Day Initiative som rapporterade det här problemet.
WebKit
CVE-ID: CVE-2010-1780
Tillgängligt för: iOS 2.0 till 4.0.2 för iPhone 3G och senare, iOS 2.1 till 4.0.2 för iPod touch (2:a generationen) och senare
Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras
Beskrivning: Ett problem med användning av tidigare använt minne förekommer i WebKits hantering av elementfokus. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller exekvering av godtycklig kod. Det här problemet åtgärdas genom förbättrad hantering av elementfokus. Tack till Tony Chang vid Google Inc. som rapporterade problemet.
WebKit
CVE-ID: CVE-2010-1793
Tillgängligt för: iOS 2.0 till 4.0.2 för iPhone 3G och senare, iOS 2.1 till 4.0.2 för iPod touch (2:a generationen) och senare
Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras
Beskrivning: Ett free-after-use-problem finns i WebKits hantering av ”font-face”- och ”use”-element i SVG-dokument. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller exekvering av godtycklig kod. Det här problemet åtgärdas genom förbättrad hantering av ”font-face”- och ”use”-element i SVG-dokument. Tack till Aki Helin vid OUSPG som rapporterade problemet.
WebKit
CVE-ID: CVE-2010-1421
Tillgängligt för: iOS 2.0 till 4.0.2 för iPhone 3G och senare, iOS 2.1 till 4.0.2 för iPod touch (2:a generationen) och senare
Effekt: En webbplats med skadligt innehåll kan ändra innehållet i Urklipp
Beskrivning: Ett designfel förekommer i implementeringen av JavaScripts execCommand-funktion. En webbplats med skadligt innehåll kan ändra innehållet i urklipp utan användarens inblandning. Det här problemet åtgärdas genom att tillåta urklippskommandon endast om de initierats av användaren. Tack till: Apple.
WebKit
CVE-ID: CVE-2010-1422
Tillgängligt för: iOS 2.0 till 4.0.2 för iPhone 3G och senare, iOS 2.1 till 4.0.2 för iPod touch (2:a generationen) och senare
Effekt: Interaktion på webbplatser med skadligt innehåll kan orsaka oväntade åtgärder på andra webbplatser
Beskrivning: Ett implementeringsproblem förekommer i WebKits hantering av tangentbordsfokus. Om tangentbordsfokuset ändras under bearbetningen av knapptryckningar kan WebKit skicka en händelse till den nya ramen i stället för till den ram som var i fokus när knapptryckningen gjordes. Användare på webbplatser med skadligt innehåll kan förmås att utföra oväntade åtgärder, som att initiera köp. Det här problemet åtgärdas genom att sändningen av knapptryckshändelser förhindras om knapptrycksfokuset ändras under bearbetningen. Tack till Michal Zalewski vid Google Inc. som rapporterade problemet.
WebKit
CVE-ID: CVE-2010-1771
Tillgängligt för: iOS 2.0 till 4.0.2 för iPhone 3G och senare, iOS 2.1 till 4.0.2 för iPod touch (2:a generationen) och senare
Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras
Beskrivning: Ett problem med användning av tidigare använt minne förekommer i WebKits hantering av teckensnitt. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller exekvering av godtycklig kod. Det här problemet åtgärdas genom förbättrad hantering av typsnitt. Tack till: Apple.
WebKit
CVE-ID: CVE-2010-1783
Tillgängligt för: iOS 2.0 till 4.0.2 för iPhone 3G och senare, iOS 2.1 till 4.0.2 för iPod touch (2:a generationen) och senare
Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras
Beskrivning: Det finns ett minnesfel i WebKits hantering av dynamiska ändringar av textnoder. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller exekvering av godtycklig kod. Det här problemet åtgärdas genom förbättrad minneshantering.
WebKit
CVE-ID: CVE-2010-1764
Tillgängligt för: iOS 2.0 till 4.0.2 för iPhone 3G och senare, iOS 2.1 till 4.0.2 för iPod touch (2:a generationen) och senare
Effekt: Besök på en webbplats som omdirigerar skickade formulär kan leda till spridning av information
Beskrivning: Ett designproblem förekommer i WebKits hantering av HTTP-omdirigering. När ett skickat formulär omdirigeras till en webbplats som också gör en omdirigering kan informationen i det skickade formuläret skickas till en tredje webbplats. Det här problemet åtgärdas genom förbättrad hantering av omdirigeringar av HTTP. Tack till Marc Worrell vid WhatWebWhat som rapporterade problemet.
WebKit
CVE-ID: CVE-2010-1782
Tillgängligt för: iOS 2.0 till 4.0.2 för iPhone 3G och senare, iOS 2.1 till 4.0.2 för iPod touch (2:a generationen) och senare
Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras
Beskrivning: Det finns ett minnesfel i WebKits hantering av inbäddade element. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller exekvering av godtycklig kod. Det här problemet avhjälps genom förbättrad gränskontroll. Tack till wushi från team509 som rapporterade det här problemet.
WebKit
CVE-ID: CVE-2010-1781
Tillgängligt för: iOS 2.0 till 4.0.2 för iPhone 3G och senare, iOS 2.1 till 4.0.2 för iPod touch (2:a generationen) och senare
Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras
Beskrivning: Det finns ett dubbelt fritt fel i WebKits hantering av inbäddade element. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller exekvering av godtycklig kod. Det här problemet åtgärdas genom förbättrad minneshantering. Tack till James Robinson vid Google Inc. som rapporterade problemet.
WebKit
CVE-ID: CVE-2010-1784
Tillgängligt för: iOS 2.0 till 4.0.2 för iPhone 3G och senare, iOS 2.1 till 4.0.2 för iPod touch (2:a generationen) och senare
Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras
Beskrivning: Det finns ett minnesfel i WebKits hantering av CSS-räknare. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller exekvering av godtycklig kod. Det här problemet åtgärdas genom förbättrad minneshantering. Tack till wushi från team509 i samarbete med TippingPoint's Zero Day Initiative som rapporterade det här problemet.
WebKit
CVE-ID: CVE-2010-1787
Tillgängligt för: iOS 2.0 till 4.0.2 för iPhone 3G och senare, iOS 2.1 till 4.0.2 för iPod touch (2:a generationen) och senare
Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras
Beskrivning: Ett minnesmanipuleringsproblem förekommer i WebKits hantering av flytande element i SVG-dokument. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller exekvering av godtycklig kod. Det här problemet åtgärdas genom förbättrad minneshantering.
WebKit
CVE-ID: CVE-2010-1791
Tillgängligt för: iOS 2.0 till 4.0.2 för iPhone 3G och senare, iOS 2.1 till 4.0.2 för iPod touch (2:a generationen) och senare
Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras
Beskrivning: Ett problem med signedness (variablers tecken/teckenfrihet) finns i WebKits hantering av JavaScript-matriser. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller exekvering av godtycklig kod. Det här problemet åtgärdas genom förbättrad hantering av JavaScript-matrisindex. Tack till Natalie Silvanovich som rapporterade om problemet.
WebKit
CVE-ID: CVE-2010-1788
Tillgängligt för: iOS 2.0 till 4.0.2 för iPhone 3G och senare, iOS 2.1 till 4.0.2 för iPod touch (2:a generationen) och senare
Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras
Beskrivning: Ett minnesmanipuleringsproblem förekommer i WebKits hantering av ”use”-element i SVG-dokument. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller exekvering av godtycklig kod. Det här problemet åtgärdas genom förbättrad hantering av ”use”-element i SVG-dokument. Tack till Justin Schuh vid Google Inc. som rapporterade problemet.
WebKit
CVE-ID: CVE-2010-1812
Tillgängligt för: iOS 2.0 till 4.0.2 för iPhone 3G och senare, iOS 2.1 till 4.0.2 för iPod touch (2:a generationen) och senare
Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras
Beskrivning: Ett problem med användning av tidigare använt minne förekommer i WebKits hantering av urval. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller exekvering av godtycklig kod. Det här problemet åtgärdas genom förbättrad hantering av urval. Tack till chipplyman som rapporterade problemet.
WebKit
CVE-ID: CVE-2010-1813
Tillgängligt för: iOS 2.0 till 4.0.2 för iPhone 3G och senare, iOS 2.1 till 4.0.2 för iPod touch (2:a generationen) och senare
Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras
Beskrivning: Ett minnesfel förekommer i WebKits hantering av outlines för HTML-objekt. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller exekvering av godtycklig kod. Det här problemet åtgärdas genom förbättrad minneshantering. Tack till Jose A. Vazquez på spa-s3c.blogspot.com som rapporterade problemet.
WebKit
CVE-ID: CVE-2010-1814
Tillgängligt för: iOS 2.0 till 4.0.2 för iPhone 3G och senare, iOS 2.1 till 4.0.2 för iPod touch (2:a generationen) och senare
Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras
Beskrivning: Det finns ett minnesfel i WebKits funktion för hantering av formulärmenyer. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller exekvering av godtycklig kod. Problemet åtgärdas med bättre hantering av formulärmenyer. Tack till Csaba Osztrogonac på University of Szeged som rapporterade problemet.
WebKit
CVE-ID: CVE-2010-1815
Tillgängligt för: iOS 2.0 till 4.0.2 för iPhone 3G och senare, iOS 2.1 till 4.0.2 för iPod touch (2:a generationen) och senare
Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras
Beskrivning: Ett problem med användning av tidigare använt minne förekommer i WebKits hantering av rullningsfält. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller exekvering av godtycklig kod. Det här problemet åtgärdas genom förbättrad minneshantering. Tack till thabermann som rapporterade problemet.
FaceTime är inte tillgängligt i alla länder och regioner.
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.