Om säkerhetsinnehållet i iOS 4.2

Det här dokumentet beskriver säkerhetsinnehållet i iOS 4.2 som kan hämtas och installeras med iTunes.

Det här dokumentet beskriver säkerhetsinnehållet i iOS 4.2 som kan hämtas och installeras med iTunes.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen Apple produktsäkerhet.

Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om säkerhetsuppdateringar finns i Säkerhetsuppdateringar från Apple.

iOS 4.2

  • Konfigurationsprofiler

    CVE-ID: CVE-2010-3827

    Tillgänglig för: iOS 2.0 genom 4.1 för iPhone 3G och senare, iOS 2.1 till 4.1 för iPod touch (2:a generationen) och senare, iOS 3.2 till 3.2.2 för iPad.

    Effekt: En användare kan förledas att installera en uppsåtligt skapad konfigurationsprofil

    Beskrivning: En validering av signatur förekommer i hanteringen av konfigurationsprofiler. En uppsåtligt skapad konfigurationsprofil kan tyckas ha en giltig signatur i installationsverktyget för konfigurationen. Det här problemet åtgärdas genom förbättrad validering av profilsignaturer. Tack till Barry Simpson i Bomgar Corporation som rapporterade detta problem.

  • CoreGraphics

    CVE-ID: CVE-2010-2805, CVE-2010-2806, CVE-2010-2807, CVE-2010-2808, CVE-2010-3053, CVE-2010-3054

    Tillgänglig för: iOS 2.0 genom 4.1 för iPhone 3G och senare, iOS 2.1 till 4.1 för iPod touch (2:a generationen) och senare, iOS 3.2 till 3.2.2 för iPad.

    Effekt: Flera sårbarheter i FreeType 2.4.1

    Beskrivning: Det finns flera sårbarheter i FreeType 2.4.1. Den allvarligaste kan leda till att opålitlig kod körs när skadliga typsnitt bearbetas. Dessa problem åtgärdas genom uppdatering av FreeType till version 2.4.2. Mer information finns på FreeType-webbplatsen http://www.freetype.org/

  • FreeType

    CVE-ID: CVE-2010-3814

    Tillgänglig för: iOS 2.0 genom 4.1 för iPhone 3G och senare, iOS 2.1 till 4.1 för iPod touch (2:a generationen) och senare, iOS 3.2 till 3.2.2 för iPad.

    Effekt: Visning av ett PDF-dokument med uppsåtligt skapade inbäddade teckensnitt kan generera exekvering av opålitlig kod

    Beskrivning: Ett stackbuffertspill förekommer i FreeTypes hantering av TrueType-opkoder. Visning av ett PDF-dokument med uppsåtligt skapade inbäddade typsnitt kan leda till oväntad programavslutning eller exekvering av opålitlig kod. Uppdateringen åtgärdar problemet genom förbättrad gränskontroll.

  • Visning av iAd-innehåll

    CVE-ID: CVE-2010-3828

    Tillgänglig för: iOS 2.0 genom 4.1 för iPhone 3G och senare, iOS 2.1 till 4.1 för iPod touch (2:a generationen) och senare, iOS 3.2 till 3.2.2 för iPad.

    Effekt: En angripare med en privilegierad nätverksposition kan eventuellt orsaka att ett samtal kan initieras

    Beskrivning: Ett URL-hanteringsproblem förekommer vid visning av iAd-innehåll. En iAd begärs av en programvara, antingen automatiskt eller genom uttrycklig åtgärd från användaren. Genom att införa en länk med ett URL-schema som kan initiera ett samtal i en annons, kan en angripare i ett privilegierat nätverksläge initiera samtal. Det här problemet åtgärdas genom att säkerställa att användaren får bekräfta innan ett samtal initieras från en länk. Tack till Aaron Sigel på vtty.com som rapporterade problemet.

  • ImageIO

    CVE-ID: CVE-2010-2249, CVE-2010-1205

    Tillgänglig för: iOS 2.0 genom 4.1 för iPhone 3G och senare, iOS 2.1 till 4.1 för iPod touch (2:a generationen) och senare, iOS 3.2 till 3.2.2 för iPad.

    Effekt: Flera sårbarheter i libpng

    Beskrivning: libpng uppdateras till version 1.4.3 för att åtgärda flera sårbarheter, varav de allvarligaste kan orsaka exekvering av opålitlig kod. Mer information finns på libpng-webbplatsen http://www.libpng.org/pub/png/libpng.html

  • libxml

    CVE-ID: CVE-2010-4008

    Tillgänglig för: iOS 2.0 genom 4.1 för iPhone 3G och senare, iOS 2.1 till 4.1 för iPod touch (2:a generationen) och senare, iOS 3.2 till 3.2.2 för iPad.

    Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras

    Beskrivning: Ett minnesfel förekommer i libxml:s hantering av xpath. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller att godtycklig kod körs. Det här problemet åtgärdas genom förbättrad hantering av xpaths. Tack till Bui Quang Minh från Bkis (www.bkis.com) som rapporterade detta problem.

  • Mail

    CVE-ID: CVE-2010-3829

    Tillgänglig för: iOS 2.0 genom 4.1 för iPhone 3G och senare, iOS 2.1 till 4.1 för iPod touch (2:a generationen) och senare, iOS 3.2 till 3.2.2 för iPad.

    Effekt: Mail kan lösa DNS-namn när bildinläsning är avaktiverat

    Beskrivning: När WebKit stöter på ett HTML-länkelement som begär DNS-förhämtning, utförs förhämtning även om bildinläsning är avaktiverat. Detta kan leda till oönskade förfrågningar hos fjärrservrar. Avsändaren av ett HTML-formaterat e-postmeddelande kan använda detta för att avgöra om meddelandet visades. Det här problemet åtgärdas genom att avaktivera DNS-förhämtning när bildinläsning är avaktiverat. Tack till Mike Cardwell i Cardwell IT Ltd som rapporterade detta problem.

  • Nätverk

    CVE-ID: CVE-2010-1843

    Tillgänglig för: iOS 4.0 till 4.1 för iPhone 3GS och senare, iOS 4.0 till 4.1 för iPod touch (3:e generationen) och senare, iOS 3.2 till 3.2.2 för iPad

    Effekt: En fjärrangripare kan orsaka oväntad systemavstängning

    Beskrivning: Ett problem med null-pekarreferenser förekommer i hanteringen av PIM-paket (Protocol Independent Multicast). Genom att skicka ett uppsåtligt skapat PIM-paket, kan fjärrangripare orsaka oväntad systemavstängning. Det här problemet åtgärdas genom förbättrad validering av PIM-paket. Tack till den anonyma medhjälpare som i samarbete med TippingPoints Zero Day Initiative rapporterade det här problemet. Detta problem påverkar inte enheter som kör iOS-versioner tidigare än 3.2.

  • Nätverk

    CVE-ID: CVE-2010-3830

    Tillgänglig för: iOS 2.0 genom 4.1 för iPhone 3G och senare, iOS 2.1 till 4.1 för iPod touch (2:a generationen) och senare, iOS 3.2 till 3.2.2 för iPad.

    Effekt: Skadlig kod kan få tillgång till systemprivilegier

    Beskrivning: En ogiltig pekare förekommer i Nätverk vid hantering av regler för paketfilter. Detta gör att opålitlig kod kan köras i användarens session för att få åtkomst till systemprivilegier. Det här problemet åtgärdas genom förbättrad hantering av regler för paketfilter.

  • OfficeImport

    CVE-ID: CVE-2010-3786

    Tillgänglig för: iOS 3.2 till 3.2.2 för iPad

    Effekt: Visning av en uppsåtligt skadlig Excel-fil kan leda till oväntad programavslutning eller exekvering av opålitlig kod

    Beskrivning: Ett minnesfel förekommer i OfficeImport-hanteringen av Excel-filer. Visning av en uppsåtligt skadlig Excel-fil kan leda till oväntad programavslutning eller exekvering av opålitlig kod. Det här problemet avhjälps genom förbättrad gränskontroll. Det här problemet avhjälptes på iPhone-enheter i iOS 4. Tack till Tobias Klein på VeriSign iDefense Labs, som rapporterade detta problem.
  • Lösenkodslås

    CVE-ID: CVE-2010-4012

    Tillgänglig för: iOS 4.0 genom 4.1 för iPhone 3G och senare

    Effekt: En person med fysisk tillgång till en enhet kan kanske komma åt användarens information

    Beskrivning: Ett konkurrenstillstånd förekommer i hanteringen av nödsamtal. Genom att trycka på vilo-/väckningsknappen strax efter att ha påbörjat ett samtal från Emergency Call skärmen kan en person kanske kringgå lösenkodslåset. Det här problemet åtgärdas genom förbättrad kontroll av låsets status.

  • Bilder

    CVE-ID: CVE-2010-3831

    Tillgänglig för: iOS 2.0 genom 4.1 för iPhone 3G och senare, iOS 2.1 till 4.1 för iPod touch (2:a generationen) och senare, iOS 3.2 till 3.2.2 för iPad.

    Effekt: ”Skicka till MobileMe” kan leda till att lösenordet till MobileMe-kontot avslöjas

    Beskrivning: Programmet Bilder ger användaren möjlighet att dela med sig av sina bilder och filmer på olika sätt. Ett sätt är Skicka till MobileMe-knappen, som laddar upp det valda innehållet till användarens MobileMe-galleri. Programmet Bilder kommer att använda grundläggande HTTP-autentisering om ingen annan autentiseringsmekanism visas som tillgänglig av servern. En angripare med ett privilegierat nätverksläge kan manipulera svaret från MobileMe-galleriet för att begära grundläggande autentisering, vilket leder till att MobileMe-kontots lösenord avslöjas. Det här problemet åtgärdas genom att stödet för grundläggande autentisering avaktiveras. Tack till Aaron Sigel via vtty.com som rapporterade detta problem.

  • Safari

    CVE-ID: CVE-2009-1707

    Tillgänglig för: iOS 2.0 genom 4.1 för iPhone 3G och senare, iOS 2.1 till 4.1 för iPod touch (2:a generationen) och senare, iOS 3.2 till 3.2.2 för iPad.

    Effekt: Kommandot Återställ Safari tar inte alltid bort lösenord till webbplatser från minnet med omedelbar verkan

    Beskrivning: Det kan ta upp till 30 sekunder att rensa lösenorden i Safari när du klickar på knappen Återställ i alternativet Återställ sparade namn och lösenord som finns i menyn Återställ Safari. En användare med åtkomst till enheten kan ha möjlighet att komma åt lagrade referenser under det tidsfönstret. Det här problemet åtgärdas genom att lösa konkurrenstillståndet som ledde till förseningen. Tack till Philippe Couturier på izypage.com och Andrew Wellington på Australian National University som rapporterade detta problem.

  • Telefoni

    CVE-ID: CVE-2010-3832

    Tillgänglig för: iOS 2.0 till 4.1 för iPhone 3G och senare, iOS 3.2 till 3.2.2 för iPad

    Effekt: En angripare kan orsaka körning av godtycklig kod

    Beskrivning: Ett buffertspill förekommer i hanteringen av TMSI-fält (fält för tillfälliga mobilabonnenter) i GSM-mobilitetshanteringen. Detta kan ge en angripare möjlighet att köra godtycklig kod på basbandsprocessorn. Det här problemet avhjälps genom förbättrad gränskontroll. Tack till Ralf-Philipp Weinmann vid Luxemburg-universitetet, som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-3803

    Tillgänglig för: iOS 2.0 genom 4.1 för iPhone 3G och senare, iOS 2.1 till 4.1 för iPod touch (2:a generationen) och senare, iOS 3.2 till 3.2.2 för iPad.

    Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras

    Beskrivning: Ett heltalsspill förekommer i WebKits hantering av strängar. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller att godtycklig kod körs. Det här problemet avhjälps genom förbättrad gränskontroll. Tack till J23 som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-3824

    Tillgänglig för: iOS 2.0 genom 4.1 för iPhone 3G och senare, iOS 2.1 till 4.1 för iPod touch (2:a generationen) och senare, iOS 3.2 till 3.2.2 för iPad.

    Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras

    Beskrivning: Ett problem med tidigare använt minne förekommer i WebKits hantering av ”use”-element i SVG-dokument. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller att godtycklig kod körs. Detta problem är åtgärdat genom förbättrad minneshantering. Tack till wushi från team509 som rapporterade det här problemet.

  • WebKit

    CVE-ID: CVE-2010-3816

    Tillgänglig för: iOS 2.0 genom 4.1 för iPhone 3G och senare, iOS 2.1 till 4.1 för iPod touch (2:a generationen) och senare, iOS 3.2 till 3.2.2 för iPad.

    Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras

    Beskrivning: Ett problem med användning av tidigare använt minne förekommer i WebKits hantering av rullningsfält. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller att godtycklig kod körs. Detta problem är åtgärdat genom förbättrad minneshantering. Tack till Rohit Makasana vid Google Inc. som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-3809

    Tillgänglig för: iOS 2.0 genom 4.1 för iPhone 3G och senare, iOS 2.1 till 4.1 för iPod touch (2:a generationen) och senare, iOS 3.2 till 3.2.2 för iPad.

    Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras

    Beskrivning: Ett problem med ogiltig toning förekommer i WebKits hantering av textbunden stilsättning. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller att godtycklig kod körs. Det här problemet åtgärdas genom förbättrad hantering av textbunden stilsättning. Tack till Abhishek Arya (Inferno) vid Google Chrome Security Team, som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-3810

    Tillgänglig för: iOS 2.0 genom 4.1 för iPhone 3G och senare, iOS 2.1 till 4.1 för iPod touch (2:a generationen) och senare, iOS 3.2 till 3.2.2 för iPad.

    Effekt: En skadlig webbplats kan förfalska adressen i adressfältet eller lägga till godtyckliga platser i historiken.

    Beskrivning: Ett problem med olika källor förekommer i WebKits hantering av objekt i historiken. En skadlig webbplats kan förfalska adressen i adressfältet eller lägga till godtyckliga platser i historiken. Problemet är åtgärdat genom förbättrad spårning av säkerhetskällor. Tack till Mike Taylor på Opera Software som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-3805

    Tillgänglig för: iOS 2.0 genom 4.1 för iPhone 3G och senare, iOS 2.1 till 4.1 för iPod touch (2:a generationen) och senare, iOS 3.2 till 3.2.2 för iPad.

    Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras

    Beskrivning: Ett heltalsunderskott förekommer i WebKits hantering av WebSockets. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller att godtycklig kod körs. Det här problemet avhjälps genom förbättrad gränskontroll. Tack till Keith Campbell och Cris Neckar vid Google Chrome Security Team, som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-3823

    Tillgänglig för: iOS 2.0 genom 4.1 för iPhone 3G och senare, iOS 2.1 till 4.1 för iPod touch (2:a generationen) och senare, iOS 3.2 till 3.2.2 för iPad.

    Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras

    Beskrivning: Ett problem med användning av tidigare använt minne förekommer i WebKits hantering av objekt i Geolocation. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller att godtycklig kod körs. Detta problem är åtgärdat genom förbättrad minneshantering. Tack till kuzzcc som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-3116

    Tillgänglig för: iOS 2.0 genom 4.1 för iPhone 3G och senare, iOS 2.1 till 4.1 för iPod touch (2:a generationen) och senare, iOS 3.2 till 3.2.2 för iPad.

    Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras

    Beskrivning: Flera problem med tidigare använt minne förekommer i WebKits hantering av insticksprogram. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller att godtycklig kod körs. Dessa problem åtgärdas genom förbättrad minneshantering.

  • WebKit

    CVE-ID: CVE-2010-3812

    Tillgänglig för: iOS 2.0 genom 4.1 för iPhone 3G och senare, iOS 2.1 till 4.1 för iPod touch (2:a generationen) och senare, iOS 3.2 till 3.2.2 för iPad.

    Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras

    Beskrivning: Ett heltalsspill förekommer i WebKits hantering av textobjekt. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller att godtycklig kod körs. Det här problemet avhjälps genom förbättrad gränskontroll. Tack till J23 working i samarbete med TippingPoints Zero Day Initiative, som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-3808

    Tillgänglig för: iOS 2.0 genom 4.1 för iPhone 3G och senare, iOS 2.1 till 4.1 för iPod touch (2:a generationen) och senare, iOS 3.2 till 3.2.2 för iPad.

    Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras

    Beskrivning: Ett problem med ogiltig toning förekommer i WebKits hantering av redigeringskommandon. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller att godtycklig kod körs. Det här problemet åtgärdas genom förbättrad hantering av redigeringskommandon. Tack till wushi från team509 som rapporterade det här problemet.

  • WebKit

    CVE-ID: CVE-2010-3259

    Tillgänglig för: iOS 2.0 genom 4.1 för iPhone 3G och senare, iOS 2.1 till 4.1 för iPod touch (2:a generationen) och senare, iOS 3.2 till 3.2.2 för iPad.

    Effekt: Besök på skadlig webbplats kan leda till spridning av bilddata från en annan webbplats.

    Beskriving: Ett problem med olika källor förekommer i WebKits hantering av bilder som skapats från kanvaselement. Besök på en skadlig webbplats kan leda till spridning av bilddata från en annan webbplats. Problemet är åtgärdat genom förbättrad spårning av säkerhetskällor. Tack till Isaac Dawson och James Qiu på Microsoft och Microsoft Vulnerability Research (MSVR) som rapporterade felet.

  • WebKit

    CVE-ID: CVE-2010-1822

    Tillgänglig för: iOS 2.0 genom 4.1 för iPhone 3G och senare, iOS 2.1 till 4.1 för iPod touch (2:a generationen) och senare, iOS 3.2 till 3.2.2 för iPad.

    Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras

    Beskrivning: Ett problem med ogiltig toning förekommer i WebKits hantering av SVG-element i icke-SVG-dokument. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller att godtycklig kod körs. Det här problemet åtgärdas genom förbättrad hantering av SVG-element. Tack till wushi från team509 som rapporterade det här problemet.

  • WebKit

    CVE-ID: CVE-2010-3811

    Tillgänglig för: iOS 2.0 genom 4.1 för iPhone 3G och senare, iOS 2.1 till 4.1 för iPod touch (2:a generationen) och senare, iOS 3.2 till 3.2.2 för iPad.

    Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras

    Beskrivning: Ett problem med användning av tidigare använt minne förekommer i WebKits hantering av elementattribut. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller att godtycklig kod körs. Detta problem är åtgärdat genom förbättrad minneshantering. Tack till Michal Zalewski som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-3817

    Tillgänglig för: iOS 2.0 genom 4.1 för iPhone 3G och senare, iOS 2.1 till 4.1 för iPod touch (2:a generationen) och senare, iOS 3.2 till 3.2.2 för iPad.

    Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras

    Beskrivning: Ett problem med ogiltig toning förekommer i WebKits hantering av CSS 3D-omvandlingar. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller att godtycklig kod körs. Problemet är åtgärdat genom förbättrad behandling av CSS 3D-omvandlingar. Tack till Abhishek Arya (Inferno) vid Google Chrome Security Team, som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-3818

    Tillgänglig för: iOS 2.0 genom 4.1 för iPhone 3G och senare, iOS 2.1 till 4.1 för iPod touch (2:a generationen) och senare, iOS 3.2 till 3.2.2 för iPad.

    Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras

    Beskrivning: Ett problem med användning av tidigare använt minne förekommer i WebKits hantering av textbundna boxar. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller att godtycklig kod körs. Detta problem är åtgärdat genom förbättrad minneshantering. Tack till Abhishek Arya (Inferno) vid Google Chrome Security Team, som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-3819

    Tillgänglig för: iOS 2.0 genom 4.1 för iPhone 3G och senare, iOS 2.1 till 4.1 för iPod touch (2:a generationen) och senare, iOS 3.2 till 3.2.2 för iPad.

    Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras

    Beskrivning: Ett problem med ogiltig toning förekommer i WebKits hantering av CSS-boxar. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller att godtycklig kod körs. Det här problemet åtgärdas genom förbättrad hantering av CSS-boxar. Tack till Abhishek Arya (Inferno) vid Google Chrome Security Team, som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-3820

    Tillgänglig för: iOS 2.0 genom 4.1 för iPhone 3G och senare, iOS 2.1 till 4.1 för iPod touch (2:a generationen) och senare, iOS 3.2 till 3.2.2 för iPad.

    Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras

    Beskrivning: Det förekommer ett problem med oinitierad minnesåtkomst i WebKits hantering av redigerbara element. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller att godtycklig kod körs. Det här problemet åtgärdas genom förbättrad hantering av redigerbara element. Tack till: Apple.

  • WebKit

    CVE-ID: CVE-2010-1789

    Tillgänglig för: iOS 2.0 genom 4.1 för iPhone 3G och senare, iOS 2.1 till 4.1 för iPod touch (2:a generationen) och senare, iOS 3.2 till 3.2.2 för iPad.

    Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras

    Beskrivning: Ett problem med buffertspill finns i WebKits hantering av JavaScript-strängobjekt. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller att godtycklig kod körs. Det här problemet avhjälps genom förbättrad gränskontroll. Tack till: Apple.

  • WebKit

    CVE-ID: CVE-2010-1806

    Tillgänglig för: iOS 2.0 genom 4.1 för iPhone 3G och senare, iOS 2.1 till 4.1 för iPod touch (2:a generationen) och senare, iOS 3.2 till 3.2.2 för iPad.

    Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras

    Beskrivning: Det finns ett minnesanvändningsproblem i WebKits hantering av ”run-in styling”. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller att godtycklig kod körs. Det här problemet åtgärdas genom förbättrad hantering av objektpekare. Tack till wushi från team509 i samarbete med TippingPoint's Zero Day Initiative som rapporterade det här problemet.

  • WebKit

    CVE-ID: CVE-2010-3257

    Tillgänglig för: iOS 2.0 genom 4.1 för iPhone 3G och senare, iOS 2.1 till 4.1 för iPod touch (2:a generationen) och senare, iOS 3.2 till 3.2.2 för iPad.

    Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras

    Beskrivning: Ett problem med användning av tidigare använt minne förekommer i WebKits hantering av elementfokus. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller att godtycklig kod körs. Det här problemet åtgärdas genom förbättrad minneshantering. Tack till VUPEN Vulnerability Research Team som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-3826

    Tillgänglig för: iOS 2.0 genom 4.1 för iPhone 3G och senare, iOS 2.1 till 4.1 för iPod touch (2:a generationen) och senare, iOS 3.2 till 3.2.2 för iPad.

    Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras

    Beskrivning: Ett problem med ogiltig toning förekommer i WebKits hantering av färger i SVG-dokument. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller att godtycklig kod körs. Det här problemet åtgärdas genom förbättrad hantering av färger i SVG-dokument. Tack till Abhishek Arya (Inferno) vid Google Chrome Security Team, som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-1807

    Tillgänglig för: iOS 2.0 genom 4.1 för iPhone 3G och senare, iOS 2.1 till 4.1 för iPod touch (2:a generationen) och senare, iOS 3.2 till 3.2.2 för iPad.

    Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras

    Beskrivning: Ett problem med validering av inmatning finns i WebKits hantering av flytande datapunkttyper. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller att godtycklig kod körs. Det här problemet åtgärdas genom förbättrad hantering av datapunktvärden. Tack till Luke Wagner på Mozilla som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-3821

    Tillgänglig för: iOS 2.0 genom 4.1 för iPhone 3G och senare, iOS 2.1 till 4.1 för iPod touch (2:a generationen) och senare, iOS 3.2 till 3.2.2 för iPad.

    Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras

    Beskrivning: Ett problem med minneskorruption förekommer i WebKits hantering av pseudoelementets ”:first-letter” i CSS-filer. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller att godtycklig kod körs. Det här problemet åtgärdas genom förbättrad hantering av pseudoelementets ”:first-letter”. Tack till Cris Neckar och Abhishek Arya (Inferno) på Google Chrome Security Team som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-3804

    Tillgänglig för: iOS 2.0 genom 4.1 för iPhone 3G och senare, iOS 2.1 till 4.1 för iPod touch (2:a generationen) och senare, iOS 3.2 till 3.2.2 för iPad.

    Effekt: Webbplatser kan spåra användare i smyg

    Beskrivning: Safari skapar slumptal för JavaScript-program med en förutsägbar algoritm. Det kan tillåta att en webbplats spårar en viss Safari-session utan att använda cookies, dolda element i formulär, IP-adresser eller andra tekniker. Den här uppdateringen åtgärdar problemet genom att använda en starkare slumptalsgenerator. Tack till Amit Klein på Trusteer som rapporterade detta problem.

  • WebKit

    CVE-ID: CVE-2010-3813

    Tillgänglig för: iOS 2.0 genom 4.1 för iPhone 3G och senare, iOS 2.1 till 4.1 för iPod touch (2:a generationen) och senare, iOS 3.2 till 3.2.2 för iPad.

    Effekt: WebKit kan förhämta DNS även då det är avaktiverat

    Beskrivning: När WebKit stöter på ett HTML-länkelement som kräver förhämtning utför WebKit åtgärden även om förhämtning är avaktiverat. Detta kan leda till oönskade förfrågningar hos fjärrservrar. Till exempel kan avsändaren av ett HTML-formaterat e-postmeddelande använda detta för att ta reda på om meddelandet har lästs. Problemet är åtgärdat genom bättre hantering av begäranden om förhämtning av DNS. Tack till Jeff Johnson på Rogue Amoeba Software som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-3822

    Tillgänglig för: iOS 2.0 genom 4.1 för iPhone 3G och senare, iOS 2.1 till 4.1 för iPod touch (2:a generationen) och senare, iOS 3.2 till 3.2.2 för iPad.

    Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras

    Beskrivning: Ett problem med icke initierade skrivare förekommer i WebKits hantering av CSS-räknarformat. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller att godtycklig kod körs. Problemet är åtgärdat genom förbättrad behandling av CSS-räknarformat. Tack till kuzzcc som rapporterade problemet.

  • WebKit

    Tillgänglig för: iOS 2.0 genom 4.1 för iPhone 3G och senare, iOS 2.1 till 4.1 för iPod touch (2:a generationen) och senare, iOS 3.2 till 3.2.2 för iPad.

    Effekt: En webbplats med skadligt innehåll kan se vilka webbplatser en användare har besökt

    Beskrivning: Ett designproblem förekommer i WebKits hantering av pseudo-klassen ”:visited” i CSS-filen. En webbplats med skadligt innehåll kan ta reda på vilka webbplatser en användare har besökt. Den här uppdateringen begränsar möjligheten för webbsidor att utforma sidor baserat på huruvida länkarna besöks.

  • Flera komponenter

    CVE-ID: CVE-2010-0051, CVE-2010-0544, CVE-2010-0042, CVE-2010-1384, CVE-2010-1387, CVE-2010-1392, CVE-2010-1394, CVE-2010-1403, CVE-2010-1405, CVE-2010-1407, CVE-2010-1408, CVE-2010-1410, CVE-2010-1414, CVE-2010-1415, CVE-2010-1416, CVE-2010-1417, CVE-2010-1418, CVE-2010-1421, CVE-2010-1422, CVE-2010-1757, CVE-2010-1758, CVE-2010-1764, CVE-2010-1770, CVE-2010-1771, CVE-2010-1780, CVE-2010-1781, CVE-2010-1782, CVE-2010-1783, CVE-2010-1784, CVE-2010-1785, CVE-2010-1786, CVE-2010-1787, CVE-2010-1788, CVE-2010-1791, CVE-2010-1793, CVE-2010-1811, CVE-2010-1812, CVE-2010-1813, CVE-2010-1814, CVE-2010-1815

    Tillgänglig för: iOS 3.2 till 3.2.2 för iPad

    Effekt: Flera säkerhetskorrigeringar i iOS för iPad

    Beskrivning: Den här uppdateringen innehåller säkerhetskorrigeringar som medföljde för iPhone och iPod touch i iOS 4 och iOS 4.1.

 

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: