Om säkerhetsinnehållet i iPhone 2.0 och iPod touch 2.0

I det här dokumentet beskrivs säkerhetsinnehållet i iPhone 2.0 och iPod touch 2.0.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen för Apples Product Security.

Information om PGP-nyckeln från Apple Product Security finns i ”Så här använder du en PGP-nyckel från Apple Product Security”.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om andra säkerhetsuppdateringar finns i ”Säkerhetsuppdateringar från Apple”.

iPhone 2.0 och iPod touch 2.0

  • CFNetwork

    CVE-ID: CVE-2008-0050

    Tillgängligt för: iPhone 1.0 till 1.1.4, iPod touch 1.1 till 1.1.4

    Effekt: En skadlig proxyserver kan förfalska säkra webbplatser

    Beskrivning: En skadlig HTTPS-proxyserver kan returnera opålitliga data till CFNetwork i felmeddelandet 502 Bad Gateway, vilken kan tillåta att en säker webbplats förfalskas. Den här uppdateringen åtgärdar problemet genom att inte returnera proxy-levererade data i ett fel.

  • Kernel

    CVE-ID: CVE-2008-0177

    Tillgängligt för: iPhone 1.0 till 1.1.4, iPod touch 1.1 till 1.1.4

    Effekt: En fjärrangripare kan orsaka att en enhet oväntat nollställs

    Beskrivning: Det finns ett oupptäckt fel i hanteringen av paket med en IPComp-rubrik. En angripare kan orsaka oväntad enhetsnollställning genom att skicka ett skadligt paket till ett system som konfigurerats för användning med IPSec eller IPv6. Den här uppdateringen åtgärdar problemet genom korrekt upptäck av feltillståndet.

  • Safari

    CVE-ID: CVE-2008-1588

    Tillgängligt för: iPhone 1.0 till 1.1.4, iPod touch 1.1 till 1.1.4

    Effekt: Unicode-ideografiska utrymmen kan användas för att förfalska en webbplats

    Beskrivning: När Safari visar den nuvarande webbadressen i adressfältet renderas Unicode-ideografiska utrymmen. Det gör att skadliga webbplatser kan dirigera användaren till en förfalskad webbplats som visuellt verkar vara en legitim domän. Den här uppdateringen åtgärdar problemet genom att inte rendera Unicode-ideografiska utrymmen i adressfältet.

  • Safari

    CVE-ID: CVE-2008-1589

    Tillgängligt för: iPhone 1.0 till1.1.4, iPod touch 1.1 till1.1.4

    Effekt: Besök på en skadlig webbplats kan leda till att känslig information avslöjas

    Beskrivning: När Safari kommer åt en webbplats som använder självsignerade eller ogiltiga certifikat uppmanar den användaren att acceptera eller avvisa certifikatet. Om användaren trycker på menyknappen under uppmaningen accepteras certifikatet utan uppmaning vid nästa besök på webbplatsen. Detta kan leda till att känslig information avslöjas. Den här uppdateringen åtgärdar problemet genom förbättrad hantering av certifikat. Tack till Hiromitsu Takagi som rapporterade problemet.

  • Safari

    CVE-ID: CVE-2008-2303

    Tillgängligt för: iPhone 1.0 till 1.1.4, iPod touch 1.1 till 1.1.4

    Effekt: Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller att opålitlig kod körs

    Beskrivning: Ett signeringsproblem i Safaris hantering av JavaScript-radindikatorer kan resultera i minnesåtkomst utanför gränserna. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller att opålitlig kod körs. Den här uppdateringen åtgärdar problemet genom att utföra ytterligare validering av JavaScript-radindikatorer. Tack till SkyLined på Google som rapporterade problemet.

  • Safari

    CVE-ID: CVE-2006-2783

    Tillgängligt för: iPhone 1.0 till 1.1.4, iPod touch 1.1 till 1.1.4

    Effekt: Besök på en skadlig webbplats kan leda till skriptkörning över flera webbplatser

    Beskrivning: Safari ignorerar markeringssekvenser av Unicode-byteordning när webbsidor tolkas. Vissa webbplatser och filter på webbinnehåll försöker rengöra inmatning genom att blockera specifika HTML-taggar. Den här filtermetoden kan kringgås och leda till skriptkörning över flera webbplatser i kontakt med skadliga HTML-taggar som innehåller markeringssekvenser av byteordning. Den här uppdateringen åtgärdar problemet genom förbättrad hantering av markeringssekvenser av byteordning. Tack till Chris Weber på Casaba Security, LLC som rapporterade problemet.

  • Safari

    CVE-ID: CVE-2008-2307

    Tillgängligt för: iPhone 1.0 till 1.1.4, iPod touch 1.1 till 1.1.4

    Effekt: Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller att opålitlig kod körs

    Beskrivning: Ett problem med minneskorruption finns i WebKits hantering av JavaScript-rader. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller körning av opålitlig kod. Den här uppdateringen åtgärdar problemet genom förbättrad kontroll av gränserna. Tack till James Urquhart som rapporterade det här problemet.

  • Safari

    CVE-ID: CVE-2008-2317

    Tillgängligt för: iPhone 1.0 till 1.1.4, iPod touch 1.1 till 1.1.4

    Effekt: Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller att opålitlig kod körs

    Beskrivning: Ett problem med minneskorruption finns i WebCores hantering av aspekt i formatmallar. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller körning av opålitlig kod. Den här uppdateringen åtgärdar problemet genom förbättrad insamling av skräp. Tack till en anonym forskare från TippingPoints Zero Day Initiative som rapporterade problemet.

  • Safari

    CVE-ID: CVE-2007-6284

    Tillgängligt för: iPhone 1.0 till 1.1.4, iPod touch 1.1 till 1.1.4

    Effekt: Bearbetning av ett XML-dokument kan leda till att en tjänst nekas

    Beskrivning: Det finns ett problem med minnesanvändning i hanteringen av XML-dokument som innehåller ogiltiga UTF-8-sekvenser, vilket kan leda till att en tjänst nekas. Den här uppdateringen åtgärdar problemet genom att uppdatera libxml2-systembiblioteket till version 2.6.16.

  • Safari

    CVE-ID: CVE-2008-1767

    Tillgängligt för: iPhone 1.0 till 1.1.4, iPod touch 1.1 till 1.1.4

    Effekt: Bearbetning av ett XML-dokument kan leda till att program avslutas oväntat eller att opålitlig kod körs

    Beskrivning: Ett problem med minneskorruption finns i WebCores libxslt-bibliotek. Visning av en skadlig HTML-sida kan leda till oväntad programavslutning eller körning av opålitlig kod. Mer information om den tillämpade korrigeringen finns på webbplatsen xmlsoft.orghttp://xmlsoft.org/XSLT/ Tack till Anthony de Almeida Lopes på Outpost24 AB och Chris Evans på Google Security Team som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2008-1590

    Tillgängligt för: iPhone 1.0 till 1.1.4, iPod touch 1.1 till 1.1.4

    Effekt: Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller att opålitlig kod körs

    Beskrivning: Ett problem med minneskorruption finns i JavaScriptCores hantering av skräpinsamling under exekvering. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller körning av opålitlig kod. Den här uppdateringen åtgärdar problemet genom förbättrad insamling av skräp. Tack till Itzik Kotler och Jonathan Rom på Radware som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2008-1025

    Tillgängligt för: iPhone 1.0 till 1.1.4, iPod touch 1.1 till 1.1.4

    Effekt: Åtkomst till en skadlig webbadress kan resultera i skriptkörning över flera webbplatser

    Beskrivning: Ett problem finns i WebKits hantering av webbadresser som innehåller ett kolon i värdnamnet. Åtkomst till en skadlig webbadress kan det leda till en skriptattack över flera webbplatser. Den här uppdateringen åtgärdar problemet genom förbättrad hantering av webbadresser. Tack till Robert Swiecki på Google Security Team och David Bloom som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2008-1026

    Tillgängligt för: iPhone 1.0 till 1.1.4, iPod touch 1.1 till 1.1.4

    Effekt: Om du visar en skadlig webbplats kan det leda till att program avslutas oväntat eller att opålitlig kod körs

    Beskrivning: Det finns ett heap-buffertspill i WebKits hantering av JavaScripts regelbundna uttryck. Problemet kan utlösas via JavaScript när regelbundna uttryck bearbetas med stora, nästlade repetitionsvärden. Detta kan leda till oväntad programavslutning eller körning av opålitlig kod. Den här uppdateringen åtgärdar problemet genom att utföra ytterligare validering av regelbundna JavaScript-uttryck. Tack till Charlie Miller på Independent Security Evaluators som rapporterade problemet.

Viktigt! Omnämnandet av webbplatser och produkter från tredje part görs endast i informationssyfte och är inte att betrakta som rekommendationer eller stöd. Apple tar inget ansvar för valet eller nyttjandet av information eller produkter från tredje part och inte heller för produkternas prestanda. Apple tillhandahåller detta endast för att underlätta för våra användare. Apple har inte testat informationen på dessa webbplatser och garanterar inte att den är korrekt eller tillförlitlig. Det finns risker med användningen av all information och alla produkter som finns på internet, och Apple tar inget ansvar i detta avseende. Observera att en tredje parts webbplats är oberoende av Apple och att Apple inte har någon kontroll över innehållet på den webbplatsen. Kontakta säljaren för ytterligare information.

Publiceringsdatum: