Om säkerhetsinnehållet i iOS 4.3

Det här dokumentet beskriver säkerhetsinnehållet i iOS 4.3.

Det här dokumentet beskriver säkerhetsinnehållet i iOS 4.3 som kan hämtas och installeras med iTunes.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen Apple produktsäkerhet.

Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om säkerhetsuppdateringar finns i Säkerhetsuppdateringar från Apple.

iOS 4.3

  • CoreGraphics

    Tillgänglig för: iOS 3.0 till 4.2.1 för iPhone 3GS och senare, iOS 3.1 till 4.2.1 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.2.1 för iPad

    Effekt: Flera sårbarheter i FreeType

    Beskrivning: Det fanns flera sårbarheter i FreeType. Den allvarligaste kan leda till att opålitlig kod körs när skadliga typsnitt bearbetas. Dessa problem åtgärdas genom uppdatering av FreeType till version 2.4.3. Mer information finns på FreeType-webbplatsen http://www.freetype.org/

    CVE-ID

    CVE-2010-3855

  • ImageIO

    Tillgänglig för: iOS 3.0 till 4.2.1 för iPhone 3GS och senare, iOS 3.1 till 4.2.1 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.2.1 för iPad

    Effekt: Visning av en TIFF-bild med skadligt innehåll kan leda till oväntad programavslutning eller exekvering av opålitlig kod

    Beskrivning: Ett buffertspill förekom i libTIFF:s hantering av JPEG-kodade TIFF-bilder. Visning av en TIFF-bild med skadligt innehåll kan leda till oväntad programavslutning eller exekvering av opålitlig kod.

    CVE-ID

    CVE-2011-0191: Apple

  • ImageIO

    Tillgänglig för: iOS 3.0 till 4.2.1 för iPhone 3GS och senare, iOS 3.1 till 4.2.1 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.2.1 för iPad

    Effekt: Visning av en TIFF-bild med skadligt innehåll kan leda till oväntad programavslutning eller exekvering av opålitlig kod

    Beskrivning: Ett buffertspill förekom i libTIFF:s hantering av CCITT Group 4-kodade TIFF-bilder. Visning av en TIFF-bild med skadligt innehåll kan leda till oväntad programavslutning eller exekvering av opålitlig kod.

    CVE-ID

    CVE-2011-0192: Apple

  • libxml

    Tillgänglig för: iOS 3.0 till 4.2.1 för iPhone 3GS och senare, iOS 3.1 till 4.2.1 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.2.1 för iPad

    Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras

    Beskrivning: Ett dubbelt fritt fel förekom i libxml:s hantering av XPath-uttryck. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller exekvering av godtycklig kod.

    CVE-ID

    CVE-2010-4494: Yang Dingning på NCNIPC, Graduate University of Chinese Academy of Sciences

  • Nätverk

    Tillgänglig för: iOS 3.0 till 4.2.1 för iPhone 3GS och senare, iOS 3.1 till 4.2.1 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.2.1 för iPad

    Effekt: En server kan identifiera en enhet över anslutningar

    Beskrivning: IPv6-adressen som enheten väljer innehåller enhetens MAC-adress vid användning av SLAAC. En IPv6-aktiverad server som kontaktas av enheten kan använda adressen för att spåra enheten över anslutningar. Uppdateringen implementerar IPv6-tillägget som beskrivs i RFC 3041 genom att lägga till en temporär slumpgenererad adress för utgående anslutningar.

  • Safari

    Tillgänglig för: iOS 3.0 till 4.2.1 för iPhone 3GS och senare, iOS 3.1 till 4.2.1 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.2.1 för iPad

    Effekt: Besök på en skadlig webbplats kan få MobileSafari att avsluta vid start

    Beskrivning: En skadlig webbplats kan innehålla javascript som upprepade gånger får andra program på enheten att starta via sin URL-hanterare. Besök på webbplatsen med MobileSafari gör att MobileSafari avslutas och målprogrammet startas. Sekvensen upprepas varje gång MobileSafari startas. Detta åtgärdas genom att Safari återgår till den föregående sidan då det öppnas på nytt efter att ett annat program har startat via sin URL-hanterare.

    CVE-ID

    CVE-2011-0158: Nitesh Dhanjani på Ernst & Young LLP

  • Safari

    Tillgänglig för: iOS 4.0 till 4.2.1 för iPhone 3GS och senare, iOS 4.0 till 4.2.1 för iPod touch (3:e generationen) och senare, iOS 4.2 till 4.2.1 för iPad

    Effekt: Att rensa cookies i Safaris inställningar har ingen effekt

    Beskrivning: I vissa fall kan rensning av cookies via Safaris inställningar medan Safari är igång inte ha någon effekt. Det här problemet åtgärdas genom förbättrad hantering av cookies. Detta problem påverkar inte versioner före iOS 4.0.

    CVE-ID

    CVE-2011-0159: Erik Wong på Google Inc.

  • WebKit

    Tillgänglig för: iOS 3.0 till 4.2.1 för iPhone 3GS och senare, iOS 3.1 till 4.2.1 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.2.1 för iPad

    Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras

    Beskrivning: Flera minnesfel förekommer i WebKit. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller exekvering av godtycklig kod.

    CVE-ID

    CVE-2010-1792

    CVE-2010-1824: kuzzcc och wushi på team509 i samarbete med TippingPoint's Zero Day Initiative

    CVE-2011-0111: Sergey Glazunov

    CVE-2011-0112: Yuzo Fujishima på Google Inc.

    CVE-2011-0113: Andreas Kling på Nokia

    CVE-2011-0114: Chris Evans på Google Chrome Security Team

    CVE-2011-0115: J23 i samarbete med TippingPoint's Zero Day Initiative och Emil A Eklund på Google, Inc.

    CVE-2011-0116: En anonym forskare i samarbete med TippingPoint's Zero Day Initiative

    CVE-2011-0117: Abhishek Arya (Inferno) på Google, Inc.

    CVE-2011-0118: Abhishek Arya (Inferno) på Google, Inc.

    CVE-2011-0119: Abhishek Arya (Inferno) på Google, Inc.

    CVE-2011-0120: Abhishek Arya (Inferno) på Google, Inc.

    CVE-2011-0121: Abhishek Arya (Inferno) på Google, Inc.

    CVE-2011-0122: Slawomir Blazek

    CVE-2011-0123: Abhishek Arya (Inferno) på Google, Inc.

    CVE-2011-0124: Yuzo Fujishima på Google Inc.

    CVE-2011-0125: Abhishek Arya (Inferno) på Google, Inc.

    CVE-2011-0126: Mihai Parparita på Google, Inc.

    CVE-2011-0127: Abhishek Arya (Inferno) på Google, Inc.

    CVE-2011-0128: David Bloom

    CVE-2011-0129: Famlam

    CVE-2011-0130: Apple

    CVE-2011-0131: wushi på team509

    CVE-2011-0132: wushi på team509 i samarbete med TippingPoint's Zero Day Initiative

    CVE-2011-0133: wushi på team509 i samarbete med TippingPoint's Zero Day Initiative

    CVE-2011-0134: Jan Tosovsky

    CVE-2011-0135: En anonym person

    CVE-2011-0136: Sergey Glazunov

    CVE-2011-0137: Sergey Glazunov

    CVE-2011-0138: kuzzcc

    CVE-2011-0140: Sergey Glazunov

    CVE-2011-0141: Chris Rohlf på Matasano Security

    CVE-2011-0142: Abhishek Arya (Inferno) på Google, Inc.

    CVE-2011-0143: Slawomir Blazek och Sergey Glazunov

    CVE-2011-0144: Emil A Eklund på Google, Inc.

    CVE-2011-0145: Abhishek Arya (Inferno) på Google, Inc.

    CVE-2011-0146: Abhishek Arya (Inferno) på Google, Inc.

    CVE-2011-0147: Dirk Schulze

    CVE-2011-0148: Michal Zalewski på Google, Inc.

    CVE-2011-0149: wushi på team509 i samarbete med TippingPoint's Zero Day Initiative och SkyLined på Google Chrome Security Team

    CVE-2011-0150: Michael Gundlach på safariadblock.com

    CVE-2011-0151: Abhishek Arya (Inferno) på Google, Inc.

    CVE-2011-0152: SkyLined på Google Chrome Security Team

    CVE-2011-0153: Abhishek Arya (Inferno) på Google, Inc.

    CVE-2011-0154: En anonym forskare i samarbete med TippingPoint's Zero Day Initiative

    CVE-2011-0155: Aki Helin på OUSPG

    CVE-2011-0156: Abhishek Arya (Inferno) på Google, Inc.

    CVE-2011-0157: Benoit Jacob på Mozilla

    CVE-2011-0168: Sergey Glazunov

  • WebKit

    Tillgänglig för: iOS 3.0 till 4.2.1 för iPhone 3GS och senare, iOS 3.1 till 4.2.1 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.2.1 för iPad

    Effekt: HTTP Basic Authentication-behörighet kan ofrivilligt avslöjas till annan webbplats

    Beskrivning: Om en webbplats använder HTTP Basic Authentication och omdirigerar till en annan webbplats kan behörigheten också skickas över till den andra webbplatsen. Det här problemet åtgärdas genom förbättrad hantering av behörigheter.

    CVE-ID

    CVE-2011-0160: McIntosh Cooey på Twelve Hundred Group, Harald Hanche-Olsen, Chuck Hohn på 1111 Internet LLC som samarbetar med CERT och Paul Hinze på Braintree

  • WebKit

    Tillgänglig för: iOS 3.0 till 4.2.1 för iPhone 3GS och senare, iOS 3.1 till 4.2.1 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.2.1 för iPad

    Effekt: Besök på en webbplats med skadligt innehåll kan leda till cross-site style declarations

    Beskrivning: Ett problem med olika källor förekommer i WebKits hantering av Attr.style accessor. Besök på en webbplats med skadligt innehåll kan göra att webbplatsen inför CSS i andra dokument. Problemet är åtgärdat genom borttagning av Attr.style accessor.

    CVE-ID

    CVE-2011-0161: Apple

  • WebKit

    Tillgänglig för: iOS 3.0 till 4.2.1 för iPhone 3GS och senare, iOS 3.1 till 4.2.1 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.2.1 för iPad

    Effekt: En webbplats med skadligt innehåll kan hindra andra webbplatser från att begära vissa resurser

    Beskrivning: Ett problem med cache-poisoning fanns i WebKits hantering av cachade resurser. En webbplats med skadligt innehåll kan hindra andra webbplatser från att begära vissa resurser. Det här problemet ågärdas genom förbättrad teckensnittskontroll.

    CVE-ID

    CVE-2011-0163: Apple

  • Wi-Fi

    Tillgänglig för: iOS 3.0 till 4.2.1 för iPhone 3GS och senare, iOS 3.1 till 4.2.1 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.2.1 för iPad

    Effekt: Vid anslutning till Wi-Fi kan en angripare i samma nätverk orsaka återställning av en enhet

    Beskrivning: Ett problem med gränskontroll fanns i hanteringen av Wi-Fi-ramar. Vid anslutning till Wi-Fi kan en angripare i samma nätverk orsaka nollställning av en enhet.

    CVE-ID

    CVE-2011-0162: Scott Boyd på ePlus Technology, inc.

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.

Publiceringsdatum: