Den här artikeln har arkiverats och uppdateras inte längre av Apple.

Om säkerhetsinnehållet i iOS 2.2 och iOS 2.2 för iPod touch

I det här dokumentet beskrivs säkerhetsinnehållet i iOS 2.2 och iOS 2.2 för iPod touch.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apple Produktsäkerhet finns på webbplatsen för Apple Produktsäkerhet.

Information om PGP-nyckeln från Apple Product Security finns i ”Så här använder du en PGP-nyckel från Apple Product Security”.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om andra säkerhetsuppdateringar finns i ”Säkerhetsuppdateringar från Apple”.

iOS 2.2 och iOS 2.2 för iPod touch

  • CoreGraphics

    CVE-ID: CVE-2008-2321

    Tillgängligt för: iOS 1.0 till 2.1, iOS för iPod touch 1.1 till 2.1

    Effekt: Besök på en webbplats med skadligt innehåll kan leda till att program oväntat avslutas eller exekvering av godtycklig kod

    Beskrivning: CoreGraphics innehåller problem med minneskorruption vid bearbetning av argument. Att skicka opålitliga inmatningar till CoreGraphics via ett program, till exempel en webbläsare, kan leda till att program oväntat avslutas eller att opålitlig kod körs. Den här uppdateringen åtgärdar problemet genom förbättrad kontroll av gränserna. Tack till Michal Zalewski på Google . som rapporterade problemet.

  • ImageIO

    CVE-ID: CVE-2008-2327

    Tillgängligt för: iOS 1.0 till 2.1, iOS för iPod touch 1.1 till 2.1

    Effekt: Visning av en skadlig TIFF-bild kan leda till att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Flera problem med oinitierad minnesåtkomst finns i libTIFFs hantering av LZW-kodade TIFF-bilder. Visning av en TIFF-bild med skadligt innehåll kan leda till att program avslutas oväntat eller att opålitlig kod körs. Den här uppdateringen åtgärdar problemet genom korrekt minnesinitiering och ytterligare validering av TIFF-bilder.

  • ImageIO

    CVE-ID: CVE-2008-1586

    Tillgängligt för: iOS 1.0 till 2.1, iOS för iPod touch 1.1 till 2.1

    Effekt: Visning av en skadlig TIFF-bild kan leda till en oväntad enhetsåterställning

    Beskrivning: Ett problem med minnesutmattning finns vid hanteringen av TIFF-bilder. Visning av en TIFF-bild med skadligt innehåll kan leda till en oväntad enhetsåterställning. Den här uppdateringen åtgärdar problemet genom att begränsa mängden minne som tilldelats för att öppna en TIFF-bild. Tack till Sergio ”shadown” Alvarez på Recurity Labs GmbH för att problemet rapporterades.

  • Networking

    CVE-ID: CVE-2008-4227

    Tillgängligt för: iOS 1.0 till 2.1, iOS för iPod touch 1.1 till 2.1

    Effekt: Krypteringsnivån för PPTP VPN-anslutningar kan vara lägre än förväntat

    Beskrivning: Krypteringsnivån för PPTP VPN-anslutningar kan återgå till en tidigare lägre inställning. Den här uppdateringen åtgärdar problemet genom att ställa in krypteringsinställningarna korrekt. Tack till Stephen Butler från University of Illinois of Urbana-Champaign för att han rapporterade det här problemet.

  • Office Viewer

    CVE-ID: CVE-2008-4211

    Tillgängligt för: iOS 1.0 till 2.1, iOS för iPod touch 1.1 till 2.1

    Effekt: Visning av en skadlig Microsoft Excel-fil kan leda till att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Ett signeringsproblem i Office Viewers hantering av kolumner i Microsoft Excel-filer kan resultera i en out-of-bound minnesåtkomst. Visning av en uppsåtligt skapad Microsoft Excel-fil kan leda till att program avslutas oväntat eller körning av opålitlig kod. Den här uppdateringen åtgärdar problemet genom att se till att de påverkade indexvärdena inte är negativa. Av: Apple.

  • Passcode Lock

    CVE-ID: CVE-2008-4228

    Tillgängligt för: iOS 1.0 till 2.1, iOS för iPod touch 1.1 till 2.1

    Effekt: Nödsamtal är inte begränsade till nödnummer

    Beskrivning: iPhone ger möjlighet att ringa nödsamtal när den är låst. För närvarande kan ett nödsamtal ringas till vilket nummer som helst. En person med fysisk tillgång till en iPhone kan dra nytta av den här funktionen för att ringa godtyckliga samtal som debiteras iPhone-ägaren. Den här uppdateringen åtgärdar problemet genom att begränsa nödsamtal till en begränsad uppsättning telefonnummer.

  • Passcode Lock

    CVE-ID: CVE-2008-4229

    Tillgänglig för: iOS 1.0 till 2.1, iOS för iPod touch 1.1 till 2.1

    Effekt: Återställning av en enhet från säkerhetskopia kanske inte återaktiverar lösenordslåset

    Beskrivning: Lösenordslåsfunktionen är utformad för att förhindra att appar startas om inte rätt lösenord har angetts. Ett tävlingstillstånd i hanteringen av enhetsinställningar kan göra att lösenordslåset tas bort när enheten återställs från en säkerhetskopia. Detta kan tillåta en person med fysisk åtkomst till enheten att starta applikationer utan lösenordet. Den här uppdateringen åtgärdar problemet genom att förbättra systemets förmåga att känna igen saknade inställningar. Det här problemet påverkar inte system före iOS 2.0 eller iOS för iPod touch 2.0. Tack till Nolen Scaife för att ha rapporterat det här problemet.

  • Passcode Lock

    CVE-ID: CVE-2008-4230

    Tillgänglig för: iOS 1.0 till 2.1, iOS för iPod touch 1.1 till 2.1

    Effekt: SMS-meddelanden (Short Message Service) kan avslöjas innan lösenordet skrivs in

    Beskrivning: Om ett SMS-meddelande kommer medan nödsamtalsskärmen är synlig visas hela SMS-meddelandet, även om inställningen ”Visa SMS-förhandsvisning” var inställd på ”AV”. Den här uppdateringen åtgärdar problemet genom att i den här situationen endast visa ett meddelande om att ett SMS-meddelande har kommit, och inte dess innehåll.

  • Safari

    CVE-ID: CVE-2008-4231

    Tillgängligt för: iOS 1.0 till 2.1, iOS för iPod touch 1.1 till 2.1

    Effekt: Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller att opålitlig kod körs

    Beskrivning: Ett problem med minneskorruption finns i HTML-tabellens hantering av aspekt. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller körning av opålitlig kod. Den här uppdateringen åtgärdar problemet genom förbättrad hantering av HTML-tabellens hantering av aspekt. Tack till Haifei Li på Fortinets FortiGuards globala säkerhetsforskningsteam för att ha rapporterat detta problem.

  • Safari

    CVE-ID: CVE-2008-4232

    Tillgängligt för: iOS 1.0 till 2.1, iOS för iPod touch 1.1 till 2.1

    Effekt: Webbplatser med inbäddade iframe-element kan vara sårbara för förfalskning av användargränssnitt

    Beskrivning: Safari tillåter att ett iframe-element visar innehåll utanför dess gränser, vilket kan leda till användargränssnittspoofing. Den här uppdateringen åtgärdar problemet genom att inte tillåta iframe-element att visa innehåll utanför sina gränser. Det här problemet påverkar inte system före iOS 2.0 eller iOS för iPod touch 2.0. Tack till John Resig på Mozilla Corporation för att ha rapporterat det här problemet.

  • CVE-ID: CVE-2008-4233 Tillgänglig för: iOS 1.0 till 2.1, iOS för iPod touch 1.1 till 2.1 Effekt: Om man besöker en uppsåtligt skapad webbplats kan ett telefonsamtal initieras utan användarinteraktion. Beskrivning: Om ett program startas via Safari medan en dialogruta för samtalsgodkännande visas kommer samtalet att starta. Detta kan tillåta en uppsåtligt skapad webbplats att initiera ett telefonsamtal utan användarinteraktion. Dessutom kan det under vissa omständigheter vara möjligt för en webbplats som skapats med uppsåt att blockera användarens möjlighet att avbryta uppringningen under en kort tidsperiod. Den här uppdateringen åtgärdar problemet genom att korrekt avvisa Safaris dialogruta för samtalsgodkännande när ett program startas via Safari. Tack till Collin Mulliner på Fraunhofer SIT som rapporterade om det här problemet.

    Safari

  • Webkit

    CVE-ID: CVE-2008-3644

    Tillgängligt för: iOS 1.0 till 2.1, iOS för iPod touch 1.1 till 2.1

    Effekt: Känslig information kan avslöjas för en person med fysisk åtkomst till en olåst enhet

    Beskrivning: Inaktivering av autofyll i ett formulärfält kanske inte hindrar data i fältet från att lagras i webbläsarens cache. Detta kan leda till att känslig information avslöjas för en person med fysisk tillgång till en olåst enhet. Den här uppdateringen åtgärdar problemet genom att rensa formulärdata korrekt. Tack till en anonym forskare som rapporterade detta problem.

Viktigt! Information om produkter som inte tillverkas av Apple ges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Kontakta säljaren för ytterligare information.

Publiceringsdatum: