iPhone v1.1.1 Update
-
Bluetooth
CVE-ID: CVE-2007-3753
Inverkan: En angripare inom räckhåll för Bluetooth kan få möjlighet att orsaka oväntad programavslutning eller exekvering av opålitlig kod
Beskrivning: Det föreligger ett indataverifieringsproblem i Bluetooth-servern i iPhone. Genom att skicka uppsåtligt skapad SDP-paket (Service Discovery Protocol) till en iPhone med Bluetooth aktiverat kan en angripare utlösa problemet, vilket kan leda till oväntad programavslutning eller exekvering av opålitlig kod. Denna uppdatering åtgärdar problemet genom att utföra ytterligare verifiering av SDP-paket. Tack till Kevin Mahaffey och John Hering på Flexilis Mobile Security som rapporterade detta problem.
-
Mail
CVE-ID: CVE-2007-3754
Inverkan: Läsning av e-post över opålitliga nätverk kan leda till att information sprids via en mellanhandsattack
Beskrivning: När Mail är konfigurerat för att använda SSL för inkommande och utgående anslutningar får användaren ingen varning när e-postserverns identitet har ändrats eller är opålitlig. En angripare med möjlighet att fånga upp anslutningen kan få möjlighet att imitera användarens e-postserver och få tillgång till användarens inloggningsinformation och annan känslig information. Denna uppdatering åtgärdar problemet genom att ge användaren en lämplig varning när e-postserverns identitet har ändrats.
-
Mail
CVE-ID: CVE-2007-3755
Inverkan: Om en telefonlänk ("tfn:") följs i Mail rings ett telefonnummer upp utan bekräftelse
Beskrivning: Mail har stöd för telefonlänkar ("tfn:") för att ringa upp telefonnummer. Genom att locka en användare till att följa en telefonlänk i ett e-postmeddelande kan en angripare förmå en iPhone att ringa ett samtal utan bekräftelse från användaren. Denna uppdatering åtgärdar problemet genom att visa ett bekräftelsefönster innan ett telefonnummer rings upp via en telefonlänk i Mail. Tack till Andi Baritchi på McAfee som rapporterade detta problem.
-
Safari
CVE-ID: CVE-2007-3756
Inverkan: Besök på illvilliga webbplaster kan leda till spridning av URL-innehåll
Beskrivning: Ett designproblem i Safari ger en webbsida möjlighet att läsa den URL som visas i det överordnade fönstret. Genom att locka en användare att besöka en uppsåtligt skapad webbsida kan en angripare skaffa URL-adressen till en orelaterad sida. Denna uppdatering åtgärdar problemet genom förbättrad säkerhetskontroll över flera domäner. Tack till Michal Zalewski på Google Inc. och Secunia Research som rapporterade detta problem.
-
Safari
CVE-ID: CVE-2007-3757
Inverkan: Besök på illvilliga webbplaster kan leda till oavsiktlig uppringning eller uppringning av andra nummer än förväntade
Beskrivning: Safari har stöd för telefonlänkar ("tfn:") för att ringa upp telefonnummer. När en telefonlänk väljs bekräftar Safari att numret ska ringas upp. En uppsåtligt skapad telefonlänk kan leda till ett annat nummer än det som rings upp visas under bekräftelsen. Om Safari avslutas under bekräftelseprocessen kan en oavsiktlig bekräftelse inträffa. Denna uppdatering åtgärdar problemet genom att visa det telefonnummer som verkligen kommer att ringas upp samt att kräva bekräftelse för telefonlänkar. Tack till Billy Hoffman och Bryan Sullivan på HP Security Labs (tidigare SPI Labs) och Eduardo Tang som rapporterade detta problem.
-
Safari
CVE-ID: CVE-2007-3758
Inverkan: Besök på illvilliga webbplaster kan leda till manuskörning över flera platser
Beskrivning: Det föreligger en sårbarhet med manuskörning över flera platser i Safari, som ger uppsåtliga webbplatser möjlighet att ställa in JavaScript-fönstergenskaper för webbplatser som skickas från andra domäner. Genom att locka en användare till att besöka en uppsåtligt skapad webbsida kan en angripare utlösa problemet, vilket kan leda till inläsning eller inställning av fönsterstatus och -plats för sidor som kommer från andra webbplatser. Denna uppdatering åtgärdar problemet genom att tillhandahålla förbättrade åtkomstbehörighetskontroller för dessa egenskaper. Tack till Michal Zalewski på Google Inc. som rapporterade detta problem.
-
Safari
CVE-ID: CVE-2007-3759
Inverkan: Avaktivering av JavaScript träder inte i kraft förrän Safari startas om
Beskrivning: Safari kan konfigureras för att aktivera eller avaktivera JavaScript. Denna inställning träder inte i kraft förrän Safari startas om, vilket vanligtvis inträffar när iPhone startas om. Detta kan innebära att användaren tror att JavaScript är avaktiverat när så inte är fallet. Denna uppdatering åtgärdar problemet genom att använda den nya inställningen innan nya webbsidor läses in.
-
Safari
CVE-ID: CVE-2007-3760
Inverkan: Besök på illvilliga webbplaster kan leda till manuskörning över flera platser
Beskrivning: En sårbarhet med manuskörning över flera platser i Safari, ger uppsåtligt skapade webbplatser möjlighet att förbigå regeln om samma ursprung med hjälp av "frame"-koder. Genom att locka en användare till att besöka en uppsåtligt skapad webbsida kan en angripare utlösa problemet, som i sin tur kan leda till exekvering av JavaScript i sammanhanget för en annan webbplats. Denna uppdatering åtgärdar problemet genom att förhindra att JavaScript fungerar som en "iframe"-källa och begränsar JavaScript i "frame"-koder till samma behörighet som den webbplats där det har sitt ursprung. Tack till Michal Zalewski på Google Inc. och Secunia Research som rapporterade detta problem.
-
Safari
CVE-ID: CVE-2007-3761
Inverkan: Besök på illvilliga webbplaster kan leda till manuskörning över flera platser
Beskrivning: En sårbarhet med manuskörning över flera platser i Safari, innebär att JavaScript-händelser kan förknippas med fel "frame". Genom att locka en användare till att besöka en uppsåtligt skapad webbsida kan en angripare orsaka exekvering av JavaScript i sammanhanget för en annan webbplats. Denna uppdatering åtgärdar problemet genom att associera JavaScript-händelser med rätt käll-"frame".
-
Safari
CVE-ID: CVE-2007-4671
Inverkan: JavaScript på webbplatser kan få åtkomst till eller manipulera innehållet i dokument som överförs via HTTPS
Beskrivning: Ett problem i Safari gör det möjligt för innehåll som överförs via HTTP att ändra eller skaffa åtkomst till innehåll i samma domän som överförs via HTTPS. Genom att locka en användare till att besöka en uppsåtligt skapad webbsida kan en angripare orsaka exekvering av JavaScript i sammanhanget för HTTPS-webbsidor i domänen i fråga. Denna uppdatering åtgärdar problemet genom att begränsa åtkomsten mellan JavaScript som körs i HTTP- och HTTPS-sammanhang. Tack till Keigo Yamazaki på LAC Co., Ltd. (Little eArth Corporation Co., Ltd.) som rapporterade detta problem.
Installationsanmärkning:
Denna uppdatering är endast tillgänglig via iTunes och visas inte i programmet Programuppdatering eller på hämtningsplatsen Apple Downloads. Se till att du har en Internet-anslutning och att du har installerat den senaste versionen av iTunes från www.apple.com/se/itunes
iTunes kontrollerar Apples uppdateringsserver automatiskt en gång i veckan. Detekterade uppdateringar hämtas till datorn. När du kopplar in din iPhone i dockningskontakten uppmanar iTunes dig att installera uppdateringen. Vi rekommenderar att du om möjligt installerar denna uppdatering omedelbart. Om du klickar på "Installera inte (Don't Install)" visas uppmaningen på nytt nästa gång du kopplar in din iPhone.
Den automatiska uppdateringsprocessen kan ta upp till en vecka, beroende på vilken dag iTunes söker efter uppdateringar. Du kan hämta uppdateringen manuellt via knappen "Leta efter uppdateringar (Check for Update)" i iTunes. När du har gjort detta kan uppdateringen installeras när din iPhone inkopplad i datorn.
Så här kontrollerar du att din iPhone har uppdaterats:
- Navigera till Inställningar (Settings)
- Klicka på Allmänt (General)
- Klicka på Om (About). Efter installationen av denna uppdatering ska versionen vara "1.1.1 (3A109a)"