Om säkerhetsinnehållet i programuppdatering iOS 4.2.7 för iPhone

I det här dokumentet beskrivs säkerhetsinnehållet i programuppdatering iOS 4.2.7.

I det här dokumentet beskriver säkerhetsinnehållet i programuppdatering iOS 4.2.7, som kan hämtas och installeras mediTunes.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen för Apples Product Security.

Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om andra säkerhetsuppdateringar finns i Säkerhetsuppdateringar från Apple."

Programuppdatering iOS 4.2.7 för iPhone

• Certificate Trust Policy

  Tillgängligt för: iOS 4.2.5 till 4.2.6 för iPhone 4 (CDMA)

  Effekt: En angripare med en privilegierad nätverksposition kan fånga upp inloggningsuppgifter eller annan känslig information

  Beskrivning: Flera bedrägliga SSL-certifikat utfärdades av en registreringsmyndighet som samarbetar med Comodo. Det kan låta en MTM-angripare (man in the middle) att dirigera om anslutningar och fånga upp inloggningsuppgifter eller annan känslig information. Det här problemet åtgärdades genom att blockera de bedrägliga certifikaten.

  Obs! För Mac OS X-system åtgärdas det här problemet med Säkerhetsuppdatering 2011-002. För Windows-system förlitar sig Safari på certifikatsbutiken av operativsystemet som är värd för att fastställa om ett SSL-servercertifikat är pålitligt. Om uppdateringen som beskrivs i Microsofts kunskapsbas, artikel 2524375, tillämpas kommer Safari att betrakta dessa certifikat som opålitliga. Den här artikeln finns på http://support.microsoft.com/kb/2524375

• QuickLook

  Tillgängligt för: iOS 4.2.5 till 4.2.6 för iPhone 4 (CDMA)

  Effekt: Visning av en skadlig Microsoft Office-fil kan leda till att program oväntat avslutas eller att opålitlig kod körs

  Beskrivning: Det förekom ett problem med minnesfel i QuickLooks hantering av Microsoft Office-filer. Visning av en uppsåtligt skapad Microsoft Office-fil kan leda till att program avslutas oväntat eller körning av opålitlig kod.

  CVE-ID

  CVE-2011-1417: Charlie Miller och Dion Blazakis i samarbete med TippingPoints Zero Day Initiative

• WebKit

  Tillgängligt för: iOS 4.2.5 till 4.2.6 för iPhone 4 (CDMA)

  Effekt: Visning av en skadlig webbplats kan leda till att program oväntat avslutas eller att opålitlig kod körs

  Beskrivning: Det förekom ett problem med heltalsspill i hanteringen av noduppsättningar. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller körning av opålitlig kod.

  CVE-ID

  CVE-2011-1290: Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp Weinmann och en anonym forskare som arbetar med TippingPoint's Zero Day Initiative

• WebKit

  Tillgängligt för: iOS 4.2.5 till 4.2.6 för iPhone 4 (CDMA)

  Effekt: Visning av en skadlig webbplats kan leda till att program oväntat avslutas eller att opålitlig kod körs

  Beskrivning: Det förekom ett UAF-fel i hanteringen av textnoder. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller körning av opålitlig kod.

  CVE-ID

  CVE-2011-1344: Vupen Security som arbetar medTippingPoint's Zero Day Initiative, och Martin Barbella