Om säkerhetsinnehållet i iOS 4.3
Det här dokumentet beskriver säkerhetsinnehållet i iOS 4.3.
Det här dokumentet beskriver säkerhetsinnehållet i iOS 4.3 som kan hämtas och installeras med iTunes.
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen Apple produktsäkerhet.
Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.
Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.
Mer information om säkerhetsuppdateringar finns i Säkerhetsuppdateringar från Apple.
iOS 4.3
CoreGraphics
Tillgänglig för: iOS 3.0 till 4.2.1 för iPhone 3GS och senare, iOS 3.1 till 4.2.1 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.2.1 för iPad
Effekt: Flera sårbarheter i FreeType
Beskrivning: Det fanns flera sårbarheter i FreeType. Den allvarligaste kan leda till att opålitlig kod körs när skadliga typsnitt bearbetas. Dessa problem åtgärdas genom uppdatering av FreeType till version 2.4.3. Mer information finns på FreeType-webbplatsen http://www.freetype.org/
CVE-ID
CVE-2010-3855
ImageIO
Tillgänglig för: iOS 3.0 till 4.2.1 för iPhone 3GS och senare, iOS 3.1 till 4.2.1 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.2.1 för iPad
Effekt: Visning av en TIFF-bild med skadligt innehåll kan leda till oväntad programavslutning eller exekvering av opålitlig kod
Beskrivning: Ett buffertspill förekom i libTIFF:s hantering av JPEG-kodade TIFF-bilder. Visning av en TIFF-bild med skadligt innehåll kan leda till oväntad programavslutning eller exekvering av opålitlig kod.
CVE-ID
CVE-2011-0191: Apple
ImageIO
Tillgänglig för: iOS 3.0 till 4.2.1 för iPhone 3GS och senare, iOS 3.1 till 4.2.1 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.2.1 för iPad
Effekt: Visning av en TIFF-bild med skadligt innehåll kan leda till oväntad programavslutning eller exekvering av opålitlig kod
Beskrivning: Ett buffertspill förekom i libTIFF:s hantering av CCITT Group 4-kodade TIFF-bilder. Visning av en TIFF-bild med skadligt innehåll kan leda till oväntad programavslutning eller exekvering av opålitlig kod.
CVE-ID
CVE-2011-0192: Apple
libxml
Tillgänglig för: iOS 3.0 till 4.2.1 för iPhone 3GS och senare, iOS 3.1 till 4.2.1 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.2.1 för iPad
Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras
Beskrivning: Ett dubbelt fritt fel förekom i libxml:s hantering av XPath-uttryck. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller exekvering av godtycklig kod.
CVE-ID
CVE-2010-4494: Yang Dingning på NCNIPC, Graduate University of Chinese Academy of Sciences
Nätverk
Tillgänglig för: iOS 3.0 till 4.2.1 för iPhone 3GS och senare, iOS 3.1 till 4.2.1 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.2.1 för iPad
Effekt: En server kan identifiera en enhet över anslutningar
Beskrivning: IPv6-adressen som enheten väljer innehåller enhetens MAC-adress vid användning av SLAAC. En IPv6-aktiverad server som kontaktas av enheten kan använda adressen för att spåra enheten över anslutningar. Uppdateringen implementerar IPv6-tillägget som beskrivs i RFC 3041 genom att lägga till en temporär slumpgenererad adress för utgående anslutningar.
Safari
Tillgänglig för: iOS 3.0 till 4.2.1 för iPhone 3GS och senare, iOS 3.1 till 4.2.1 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.2.1 för iPad
Effekt: Besök på en skadlig webbplats kan få MobileSafari att avsluta vid start
Beskrivning: En skadlig webbplats kan innehålla javascript som upprepade gånger får andra program på enheten att starta via sin URL-hanterare. Besök på webbplatsen med MobileSafari gör att MobileSafari avslutas och målprogrammet startas. Sekvensen upprepas varje gång MobileSafari startas. Detta åtgärdas genom att Safari återgår till den föregående sidan då det öppnas på nytt efter att ett annat program har startat via sin URL-hanterare.
CVE-ID
CVE-2011-0158: Nitesh Dhanjani på Ernst & Young LLP
Safari
Tillgänglig för: iOS 4.0 till 4.2.1 för iPhone 3GS och senare, iOS 4.0 till 4.2.1 för iPod touch (3:e generationen) och senare, iOS 4.2 till 4.2.1 för iPad
Effekt: Att rensa cookies i Safaris inställningar har ingen effekt
Beskrivning: I vissa fall kan rensning av cookies via Safaris inställningar medan Safari är igång inte ha någon effekt. Det här problemet åtgärdas genom förbättrad hantering av cookies. Detta problem påverkar inte versioner före iOS 4.0.
CVE-ID
CVE-2011-0159: Erik Wong på Google Inc.
WebKit
Tillgänglig för: iOS 3.0 till 4.2.1 för iPhone 3GS och senare, iOS 3.1 till 4.2.1 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.2.1 för iPad
Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras
Beskrivning: Flera minnesfel förekommer i WebKit. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller exekvering av godtycklig kod.
CVE-ID
CVE-2010-1792
CVE-2010-1824: kuzzcc och wushi på team509 i samarbete med TippingPoint's Zero Day Initiative
CVE-2011-0111: Sergey Glazunov
CVE-2011-0112: Yuzo Fujishima på Google Inc.
CVE-2011-0113: Andreas Kling på Nokia
CVE-2011-0114: Chris Evans på Google Chrome Security Team
CVE-2011-0115: J23 i samarbete med TippingPoint's Zero Day Initiative och Emil A Eklund på Google, Inc.
CVE-2011-0116: En anonym forskare i samarbete med TippingPoint's Zero Day Initiative
CVE-2011-0117: Abhishek Arya (Inferno) på Google, Inc.
CVE-2011-0118: Abhishek Arya (Inferno) på Google, Inc.
CVE-2011-0119: Abhishek Arya (Inferno) på Google, Inc.
CVE-2011-0120: Abhishek Arya (Inferno) på Google, Inc.
CVE-2011-0121: Abhishek Arya (Inferno) på Google, Inc.
CVE-2011-0122: Slawomir Blazek
CVE-2011-0123: Abhishek Arya (Inferno) på Google, Inc.
CVE-2011-0124: Yuzo Fujishima på Google Inc.
CVE-2011-0125: Abhishek Arya (Inferno) på Google, Inc.
CVE-2011-0126: Mihai Parparita på Google, Inc.
CVE-2011-0127: Abhishek Arya (Inferno) på Google, Inc.
CVE-2011-0128: David Bloom
CVE-2011-0129: Famlam
CVE-2011-0130: Apple
CVE-2011-0131: wushi på team509
CVE-2011-0132: wushi på team509 i samarbete med TippingPoint's Zero Day Initiative
CVE-2011-0133: wushi på team509 i samarbete med TippingPoint's Zero Day Initiative
CVE-2011-0134: Jan Tosovsky
CVE-2011-0135: En anonym person
CVE-2011-0136: Sergey Glazunov
CVE-2011-0137: Sergey Glazunov
CVE-2011-0138: kuzzcc
CVE-2011-0140: Sergey Glazunov
CVE-2011-0141: Chris Rohlf på Matasano Security
CVE-2011-0142: Abhishek Arya (Inferno) på Google, Inc.
CVE-2011-0143: Slawomir Blazek och Sergey Glazunov
CVE-2011-0144: Emil A Eklund på Google, Inc.
CVE-2011-0145: Abhishek Arya (Inferno) på Google, Inc.
CVE-2011-0146: Abhishek Arya (Inferno) på Google, Inc.
CVE-2011-0147: Dirk Schulze
CVE-2011-0148: Michal Zalewski på Google, Inc.
CVE-2011-0149: wushi på team509 i samarbete med TippingPoint's Zero Day Initiative och SkyLined på Google Chrome Security Team
CVE-2011-0150: Michael Gundlach på safariadblock.com
CVE-2011-0151: Abhishek Arya (Inferno) på Google, Inc.
CVE-2011-0152: SkyLined på Google Chrome Security Team
CVE-2011-0153: Abhishek Arya (Inferno) på Google, Inc.
CVE-2011-0154: En anonym forskare i samarbete med TippingPoint's Zero Day Initiative
CVE-2011-0155: Aki Helin på OUSPG
CVE-2011-0156: Abhishek Arya (Inferno) på Google, Inc.
CVE-2011-0157: Benoit Jacob på Mozilla
CVE-2011-0168: Sergey Glazunov
WebKit
Tillgänglig för: iOS 3.0 till 4.2.1 för iPhone 3GS och senare, iOS 3.1 till 4.2.1 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.2.1 för iPad
Effekt: HTTP Basic Authentication-behörighet kan ofrivilligt avslöjas till annan webbplats
Beskrivning: Om en webbplats använder HTTP Basic Authentication och omdirigerar till en annan webbplats kan behörigheten också skickas över till den andra webbplatsen. Det här problemet åtgärdas genom förbättrad hantering av behörigheter.
CVE-ID
CVE-2011-0160: McIntosh Cooey på Twelve Hundred Group, Harald Hanche-Olsen, Chuck Hohn på 1111 Internet LLC som samarbetar med CERT och Paul Hinze på Braintree
WebKit
Tillgänglig för: iOS 3.0 till 4.2.1 för iPhone 3GS och senare, iOS 3.1 till 4.2.1 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.2.1 för iPad
Effekt: Besök på en webbplats med skadligt innehåll kan leda till cross-site style declarations
Beskrivning: Ett problem med olika källor förekommer i WebKits hantering av Attr.style accessor. Besök på en webbplats med skadligt innehåll kan göra att webbplatsen inför CSS i andra dokument. Problemet är åtgärdat genom borttagning av Attr.style accessor.
CVE-ID
CVE-2011-0161: Apple
WebKit
Tillgänglig för: iOS 3.0 till 4.2.1 för iPhone 3GS och senare, iOS 3.1 till 4.2.1 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.2.1 för iPad
Effekt: En webbplats med skadligt innehåll kan hindra andra webbplatser från att begära vissa resurser
Beskrivning: Ett problem med cache-poisoning fanns i WebKits hantering av cachade resurser. En webbplats med skadligt innehåll kan hindra andra webbplatser från att begära vissa resurser. Det här problemet ågärdas genom förbättrad teckensnittskontroll.
CVE-ID
CVE-2011-0163: Apple
Wi-Fi
Tillgänglig för: iOS 3.0 till 4.2.1 för iPhone 3GS och senare, iOS 3.1 till 4.2.1 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.2.1 för iPad
Effekt: Vid anslutning till Wi-Fi kan en angripare i samma nätverk orsaka återställning av en enhet
Beskrivning: Ett problem med gränskontroll fanns i hanteringen av Wi-Fi-ramar. Vid anslutning till Wi-Fi kan en angripare i samma nätverk orsaka nollställning av en enhet.
CVE-ID
CVE-2011-0162: Scott Boyd på ePlus Technology, inc.
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.