Om säkerhetsinnehållet i programuppdateringen iOS 5

Det här dokumentet beskriver säkerhetsinnehållet i programuppdateringen iOS 5.

Det här dokumentet beskriver säkerhetsinnehållet i programuppdateringen iOS 5, som kan hämtas och installeras med iTunes.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen för Apples produktsäkerhet.

Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om andra säkerhetsuppdateringar finns i Säkerhetsuppdateringar från Apple.

Programuppdateringen iOS 5

  • CalDAV

    Tillgänglig för: iOS 3.0 till 4.3.5 för iPhone 3GS och iPhone 4, iOS 3.1 till 4.3.5 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.3.5 för iPad

    Effekt: En angripare med en priviligerad nätverksposition kan påverka användarinformation eller annan känslig information från en CalDAV-kalenderserver

    Beskrivning: CalDAV kontrollerade inte att SSL-certifikatet som presenterades av servern var tillförlitligt.

    CVE-ID

    CVE-2011-3253: Leszek Tasiemski på nSense

  • Kalender

    Tillgänglig för: iOS 4.2.0 till 4.3.5 för iPhone 3GS och iPhone 4, iOS 4.2.0 till 4.3.5 för iPod touch (3:e generationen) och senare, iOS 4.2.0 till 4.3.5 för iPad

    Effekt: Visning av uppsåtligt skapade kalenderinbjudningar kan mata in skript i den lokala domänen

    Beskrivning: Ett problem med skriptinmatning förekom i Kalenders hantering av inbjudningsmeddelanden. Detta problem åtgärdas via förbättrad hantering av specialtecken i inbjudningsmeddelanden. Detta problem påverkar inte enheter före iOS 4.2.0.

    CVE-ID

    CVE-2011-3254: Rick Deacon

  • CFNetwork

    Tillgänglig för: iOS 3.0 till 4.3.5 för iPhone 3GS och iPhone 4, iOS 3.1 till 4.3.5 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.3.5 för iPad

    Effekt: Lösenordet till användarens Apple-ID kan loggas i en lokal fil

    Beskrivning: En användares lösenord och användarnamn för Apple-ID loggades in på en fil som program på systemet kunde läsa. Detta problem har åtgärdats genom att inloggningsuppgifterna inte längre loggas.

    CVE-ID

    CVE-2011-3255: Peter Quade på qdevelop

  • CFNetwork

    Tillgänglig för: iOS 3.0 till 4.3.5 för iPhone 3GS och iPhone 4, iOS 3.1 till 4.3.5 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.3.5 för iPad

    Effekt: Besök på en webbplats med skadligt innehåll kan leda till spridning av känslig information

    Beskrivning: Ett problem förekom i CFNetworks hantering av HTTP-cookies. Vid anslutning till en uppsåtligt skapad HTTP- eller HTTPS-URL kunde CFNetwork felaktigt skicka en domäns cookies till en server utanför den domänen.

    CVE-ID

    CVE-2011-3246: Erling Ellingsen på Facebook

  • CoreFoundation

    Tillgänglig för: iOS 3.0 till 4.3.5 för iPhone 3GS och iPhone 4, iOS 3.1 till 4.3.5 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.3.5 för iPad

    Effekt: Visning av en uppsåtligt skapad webbplats kan leda till oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Ett minnesfel förekom i CoreFoundations hantering av strängtokenisering.

    CVE-ID

    CVE-2011-0259: Apple

  • CoreGraphics

    Tillgänglig för: iOS 3.0 till 4.3.5 för iPhone 3GS och iPhone 4, iOS 3.1 till 4.3.5 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.3.5 för iPad

    Effekt: Visning av ett dokument som innehåller ett typsnitt med skadligt innehåll kan leda till att opålitlig kod körs

    Beskrivning: Flera sårbarheter förekom i FreeType varav den allvarligaste kan leda till att opålitlig kod körs när skadliga typsnitt bearbetas.

    CVE-ID

    CVE-2011-3256: Apple

  • CoreMedia

    Tillgänglig för: iOS 3.0 till 4.3.5 för iPhone 3GS och iPhone 4, iOS 3.1 till 4.3.5 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.3.5 för iPad

    Effekt: Besök på en uppsåtligt skapad webbplats kan leda till spridning av videodata från en annan webbplats

    Beskrivning: Ett problem med olika källor förekom i CoreMedias hantering av omdirigeringar mellan olika webbplatser. Det här problemet åtgärdas genom förbättrad källspårning.

    CVE-ID

    CVE-2011-0187: Nirankush Panchbhai och Microsoft Vulnerability Research (MSVR)

  • Dataåtkomst

    Tillgänglig för: iOS 3.0 till 4.3.5 för iPhone 3GS och iPhone 4, iOS 3.1 till 4.3.5 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.3.5 för iPad

    Effekt: Ett cookiehanteringsproblem för Mail Exchange kunde felaktigt orsaka datasynkronisering mellan olika konton

    Beskrivning: När flera Mail Exchange-konton konfigureras och alla ansluter till samma server, kunde en session potentiellt ta emot en giltig cookie som tillhörde ett annat konto. Detta problem åtgärdas genom att säkerställa att cookies separeras mellan olika konton.

    CVE-ID

    CVE-2011-3257: Bob Sielken på IBM

  • Datasäkerhet

    Tillgänglig för: iOS 3.0 till 4.3.5 för iPhone 3GS och iPhone 4, iOS 3.1 till 4.3.5 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.3.5 för iPad

    Effekt: En angripare med en privilegierad nätverksposition kan påverka användarinformation eller annan känslig information

    Beskrivning: Bedrägliga certifikat utfärdades av flera certifikatutfärdare som hanteras av DigiNotar. Problemet åtgärdas genom att DigiNotar tas bort från listan över pålitliga root-certifikat samt från listan över EV-certifikatutfärdare (Extended Validation) och genom att konfigurera systemets förvalda pålitlighetsinställningar så att DigiNotars certifikat, inklusive de som utfärdas av andra utfärdare, inte är markerade som pålitliga.

  • Datasäkerhet

    Tillgänglig för: iOS 3.0 till 4.3.5 för iPhone 3GS och iPhone 4, iOS 3.1 till 4.3.5 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.3.5 för iPad

    Effekt: Stöd för X.509-certifikat med MD5-hash kan leda till att användarna utsätts för falsk information och till spridning av information när attackerna utvecklas

    Beskrivning: Certifikat som signeras med MD5-hashalgoritmen accepterades av iOS. Denna algoritm har kända kryptografiska svagheter. Vidare forskning eller en felkonfigurerad certifikatutfärdare kunde ha tillåtit att X.509-certifikat skapades med angriparkontrollerade värden som systemet skulle ha behandlat som tillförlitliga. Detta skulle göra det möjligt att utsätta X.509-baserade protokoll för falsk information, MITM-attacker (Man-In-The-Middle) och spridning av information. Denna uppdatering avaktiverar stödet för ett X.509-certifikat med en MD5-hash för all annan användning än som ett tillförlitligt root-certifikat.

    CVE-ID

    CVE-2011-3427

  • Datasäkerhet

    Tillgänglig för: iOS 3.0 till 4.3.5 för iPhone 3GS och iPhone 4, iOS 3.1 till 4.3.5 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.3.5 för iPad

    Effekt: En angripare kunde avkryptera delar av en SSL-anslutning

    Beskrivning: Endast SSLv3- och TLS 1.0-versionerna av SSL hanterades. Dessa versioner är föremål för en protokollsvaghet när blockchiffer används. En MITM-angripare (man-in-the-middle) kunde mata in ogiltiga data, vilket kunde leda till att anslutningen bröts men att viss information om tidigare data spriddes. Om angriparen försökte sig på samma anslutning upprepade gånger kunde han eventuellt ha avkrypterat de data som skickades, såsom ett lösenord. Detta problem åtgärdas genom att lägga till stöd för TLS 1.2.

    CVE-ID

    CVE-2011-3389

  • Hemskärm

    Tillgänglig för: iOS 3.0 till 4.3.5 för iPhone 3GS och iPhone 4, iOS 3.1 till 4.3.5 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.3.5 för iPad

    Effekt: Växling mellan program kan leda till spridning av känslig programinformation

    Beskrivning: Vid växling mellan program med växlingsgesten med fyra fingrar kunde skärmen ha avslöjat tidigare programstatus. Detta problem åtgärdas genom att man säkerställer att systemet anropar metoden applicationWillResignActive: på rätt sätt vid övergång mellan program.

    CVE-ID

    CVE-2011-3431: Abe White på Hedonic Software Inc.

  • ImageIO

    Tillgänglig för: iOS 3.0 till 4.3.5 för iPhone 3GS och iPhone 4, iOS 3.1 till 4.3.5 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.3.5 för iPad

    Effekt: Visning av en TIFF-bild med skadligt innehåll kan leda till oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Ett buffertspill förekom i libTIFF:s hantering av CCITT Group 4-kodade TIFF-bilder.

    CVE-ID

    CVE-2011-0192: Apple

  • ImageIO

    Tillgänglig för: iOS 3.0 till 4.3.5 för iPhone 3GS och iPhone 4, iOS 3.1 till 4.3.5 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.3.5 för iPad

    Effekt: Visning av en TIFF-bild med skadligt innehåll kan leda till oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Ett heapbuffertspill förekom i ImageIO:s hantering av CCITT Group 4-kodade TIFF-bilder.

    CVE-ID

    CVE-2011-0241: Cyril CATTIAUX på Tessi Technologies

  • Internationella komponenter för Unicode

    Tillgänglig för: iOS 3.0 till 4.3.5 för iPhone 3GS och iPhone 4, iOS 3.1 till 4.3.5 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.3.5 för iPad

    Effekt: Program som använder ICU kan vara sårbara för oväntad programavslutning och körning av opålitlig kod

    Beskrivning: Ett buffertspill förekom i ICU:s generering av sorteringsnycklar för långa strängar av mestadels versala bokstäver.

    CVE-ID

    CVE-2011-0206: David Bienvenu på Mozilla

  • Kernel

    Tillgänglig för: iOS 3.0 till 4.3.5 för iPhone 3GS och iPhone 4, iOS 3.1 till 4.3.5 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.3.5 för iPad

    Effekt: En fjärrangripare kan orsaka att enheten återställs oväntat

    Beskrivning: Kerneln misslyckades att ögonblickligen ta tillbaka minne från ofullständiga TCP-anslutningar. En angripare med möjlighet att ansluta till en lyssnande tjänst på en iOS-enhet kunde tömma ut systemresurserna.

    CVE-ID

    CVE-2011-3259: Wouter van der Veer på Topicus I&I och Josh Enders

  • Kernel

    Tillgänglig för: iOS 3.0 till 4.3.5 för iPhone 3GS och iPhone 4, iOS 3.1 till 4.3.5 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.3.5 för iPad

    Effekt: En lokal användare kan orsaka en oväntad nollställning av systemet

    Beskrivning: Ett problem med nullreferens förekom i hanteringen av anslutningsalternativ för IPV6.

    CVE-ID

    CVE-2011-1132: Thomas Clement på Intego

  • Tangentbord

    Tillgänglig för: iOS 3.0 till 4.3.5 för iPhone 3GS och iPhone 4, iOS 3.1 till 4.3.5 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.3.5 för iPad

    Effekt: En användare kan eventuellt utröna information om det sista tecknet i ett lösenord

    Beskrivning: Tangentbordet som används för att ange det sista tecknet i ett lösenord visades en kort stund nästa gång som tangentbordet användes.

    CVE-ID

    CVE-2011-3245: Paul Mousdicas

  • libxml

    Tillgänglig för: iOS 3.0 till 4.3.5 för iPhone 3GS och iPhone 4, iOS 3.1 till 4.3.5 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.3.5 för iPad

    Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller opålitlig kod köras

    Beskrivning: Ett heapbuffertspill på en byte förekom i libxml:s hantering av XML-data.

    CVE-ID

    CVE-2011-0216: Billy Rios på The Google Security Team

  • OfficeImport

    Tillgänglig för: iOS 3.0 till 4.3.5 för iPhone 3GS och iPhone 4, iOS 3.1 till 4.3.5 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.3.5 för iPad

    Effekt: Att öppna en skadlig Word-fil kan leda till oväntad programavslutning eller att opålitlig kod körs

    Beskrivning: Ett buffertspill förekom i OfficeImports hantering av Microsoft Word-dokument.

    CVE-ID

    CVE-2011-3260: Tobias Klein i samarbete med Verisign iDefense Labs

  • OfficeImport

    Tillgänglig för: iOS 3.0 till 4.3.5 för iPhone 3GS och iPhone 4, iOS 3.1 till 4.3.5 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.3.5 för iPad

    Effekt: Att visa en uppsåtligt skadlig Excel-fil kan leda till oväntad programavslutning eller att opålitlig kod körs

    Beskrivning: Ett dubbelt fritt fel förekom i OfficeImports hantering av Excel-filer.

    CVE-ID

    CVE-2011-3261: Tobias Klein på www.trapkit.de

  • OfficeImport

    Tillgänglig för: iOS 3.0 till 4.3.5 för iPhone 3GS och iPhone 4, iOS 3.1 till 4.3.5 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.3.5 för iPad

    Effekt: Hämtning av en uppsåtligt skadlig Microsoft Office-fil kan leda till att program avslutas oväntat eller att opålitlig kod körs

    Beskrivning: Ett minnesfel förekom i OfficeImports hantering av Microsoft Office-filer.

    CVE-ID

    CVE-2011-0208: Tobias Klein i samarbete med iDefense VCP

  • OfficeImport

    Tillgänglig för: iOS 3.0 till 4.3.5 för iPhone 3GS och iPhone 4, iOS 3.1 till 4.3.5 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.3.5 för iPad

    Effekt: Hämting av en uppsåtligt skapad Excel-fil kan leda till oväntad programavslutning eller att opålitlig kod körs

    Beskrivning: Ett minnesfel förekom i OfficeImports hantering av Excel-filer.

    CVE-ID

    CVE-2011-0184: Tobias Klein i samarbete med iDefense VCP

  • Safari

    Tillgänglig för: iOS 3.0 till 4.3.5 för iPhone 3GS och iPhone 4, iOS 3.1 till 4.3.5 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.3.5 för iPad

    Effekt: Öppning av uppsåtligt skapade filer på vissa webbplatser kan leda till skriptangrepp mellan flera webbplatser

    Beskrivning: iOS hade inte stöd för bilagevärdet i rubriken för HTTP-innehållsdisposition. Den här rubriken används av många webbplatser för att betjäna filer som lästes in på webbplatsen av en tredje part, såsom bilagor i webbaserade e-postprogram. Vilket skript som helst i filer med detta rubrikvärde kördes som om filen hade betjänats på källservern. Detta problem åtgärdas genom att bilagor läses in på en isolerad säkerhetskälla utan åtkomst till resurser på andra webbplatser.

    CVE-ID

    CVE-2011-3426: Christian Matthies i samarbete med iDefense VCP, Yoshinori Oota på Business Architects Inc i samarbete med JP/CERT

  • Inställningar

    Tillgänglig för: iOS 3.0 till 4.3.5 för iPhone 3GS och iPhone 4, iOS 3.1 till 4.3.5 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.3.5 för iPad

    Effekt: En angripare med fysisk tillgång till en enhet kan komma åt lösenkoden för begränsningar

    Beskrivning: Den överordnade begränsningsfunktionen upprätthåller UI-begränsningar. Konfigurering av överordnade begränsningar skyddas av en lösenkod, som tidigare lagrades i text på disken. Detta problem åtgärdas av säker lagring av lösenkoden till de överordnade begränsningarna i systemets nyckelring.

    CVE-ID

    CVE-2011-3429: En anonym person

  • Inställningar

    Tillgänglig för: iOS 3.0 till 4.3.5 för iPhone 3GS och iPhone 4, iOS 3.1 till 4.3.5 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.3.5 för iPad

    Effekt: Missvisande användargränssnitt

    Beskrivning: Konfigurationer och inställningar som tillämpas via konfigurationsprofiler verkade inte fungera som de skulle under vilket språk som helst annat än engelska. Som ett resultat av detta kunde inställningar visas felaktigt. Detta problem åtgärdas genom korrigering av ett lokaliseringsfel.

    CVE-ID

    CVE-2011-3430: Florian Kreitmaier på Siemens CERT

  • UIKit-varningsmeddelanden

    Tillgänglig för: iOS 3.0 till 4.3.5 för iPhone 3GS och iPhone 4, iOS 3.1 till 4.3.5 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.3.5 för iPad

    Effekt: Besök på en uppsåtligt skapad webbplats kan orsaka att enheten oväntat låser sig

    Beskrivning: En överdriven maxlängd på textlayouten tillät uppsåtligt skapade webbplatser att orsaka iOS att låsa sig vid ritning av acceptansdialogrutor för väldigt långa tel: URI:n. Detta problem åtgärdas genom att använda en mer rimlig maxstorlek på URI.

    CVE-ID

    CVE-2011-3432: Simon Young på Anglia Ruskin University

  • WebKit

    Tillgänglig för: iOS 3.0 till 4.3.5 för iPhone 3GS och iPhone 4, iOS 3.1 till 4.3.5 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.3.5 för iPad

    Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller opålitlig kod köras

    Beskrivning: Flera minnesfel förekom i WebKit.

    CVE-ID

    CVE-2011-0218: SkyLined på Google Chrome Security Team

    CVE-2011-0221: Abhishek Arya (Inferno) på Google Chrome Security Team

    CVE-2011-0222: Nikita Tarakanov och Alex Bazhanyuk på CISS Research Team och Abhishek Arya (Inferno) på Google Chrome Security Team

    CVE-2011-0225: Abhishek Arya (Inferno) på Google Chrome Security Team

    CVE-2011-0232: J23 i samarbete med TippingPoint's Zero Day Initiative

    CVE-2011-0233: wushi på team509 i samarbete med TippingPoint's Zero Day Initiative

    CVE-2011-0234: Rob King i samarbete med TippingPoint's Zero Day Initiative, wushi på team509 i samarbete med TippingPoint's Zero Day Initiative

    CVE-2011-0235: Abhishek Arya (Inferno) på Google Chrome Security Team

    CVE-2011-0238: Adam Barth på Google Chrome Security Team

    CVE-2011-0254: En anonym forskare i samarbete med TippingPoint's Zero Day Initiative

    CVE-2011-0255: En anonym tipsare i samarbete med TippingPoint's Zero Day Initiative

    CVE-2011-0981: Rik Cabanier på Adobe Systems, Inc

    CVE-2011-0983: Martin Barbella

    CVE-2011-1109: Sergey Glazunov

    CVE-2011-1114: Martin Barbella

    CVE-2011-1115: Martin Barbella

    CVE-2011-1117: wushi på team509

    CVE-2011-1121: miaubiz

    CVE-2011-1188: Martin Barbella

    CVE-2011-1203: Sergey Glazunov

    CVE-2011-1204: Sergey Glazunov

    CVE-2011-1288: Andreas Kling på Nokia

    CVE-2011-1293: Sergey Glazunov

    CVE-2011-1296: Sergey Glazunov

    CVE-2011-1449: Marek Majkowski

    CVE-2011-1451: Sergey Glazunov

    CVE-2011-1453: wushi på team509 i samarbete med TippingPoint's Zero Day Initiative

    CVE-2011-1457: John Knottenbelt på Google

    CVE-2011-1462: wushi på team509

    CVE-2011-1797: wushi på team509

    CVE-2011-2338: Abhishek Arya (Inferno) på Google Chrome Security Team med användning av AddressSanitizer

    CVE-2011-2339: Cris Neckar på Google Chrome Security Team

    CVE-2011-2341: wushi på team509 i samarbete med Verisign iDefense Labs

    CVE-2011-2351: miaubiz

    CVE-2011-2352: Apple

    CVE-2011-2354: Apple

    CVE-2011-2356: Adam Barth och Abhishek Arya på Google Chrome Security Team med användning av AddressSanitizer

    CVE-2011-2359: miaubiz

    CVE-2011-2788: Mikolaj Malecki på Samsung

    CVE-2011-2790: miaubiz

    CVE-2011-2792: miaubiz

    CVE-2011-2797: miaubiz

    CVE-2011-2799: miaubiz

    CVE-2011-2809: Abhishek Arya (Inferno) på Google Chrome Security Team

    CVE-2011-2813: Cris Neckar på Google Chrome Security Team med användning av AddressSanitizer

    CVE-2011-2814: Abhishek Arya (Inferno) på Google Chrome Security Team med användning av AddressSanitizer

    CVE-2011-2816: Apple

    CVE-2011-2817: Abhishek Arya (Inferno) på Google Chrome Security Team med användning av AddressSanitizer

    CVE-2011-2818: Martin Barbella

    CVE-2011-2820: Raman Tenneti och Philip Rogers på Google

    CVE-2011-2823: SkyLined på Google Chrome Security Team

    CVE-2011-2827: miaubiz

    CVE-2011-2831: Abhishek Arya (Inferno) på Google Chrome Security Team med användning av AddressSanitizer

    CVE-2011-3232: Aki Helin på OUSPG

    CVE-2011-3234: miaubiz

    CVE-2011-3235: Dimitri Glazkov, Kent Tamura, Dominic Cooney på Chromium development community och Abhishek Arya (Inferno) på Google Chrome Security Team

    CVE-2011-3236: Abhishek Arya (Inferno) på Google Chrome Security Team med användning av AddressSanitizer

    CVE-2011-3237: Dimitri Glazkov, Kent Tamura, Dominic Cooney på Chromium development community och Abhishek Arya (Inferno) på Google Chrome Security Team

    CVE-2011-3244: vkouchna

  • WebKit

    Tillgänglig för: iOS 3.0 till 4.3.5 för iPhone 3GS och iPhone 4, iOS 3.1 till 4.3.5 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.3.5 för iPad

    Effekt: Besök på en webbplats med skadligt innehåll kan leda till en attack via skriptkörning över flera platser

    Beskrivning: Ett problem med olika källor förekom i hanteringen av webbadresser med inbäddade användarnamn. Detta problem åtgärdas via förbättrad hantering av webbadresser med inbäddade användarnamn.

    CVE-ID

    CVE-2011-0242: Jobert Abma på Online24

  • WebKit

    Tillgänglig för: iOS 3.0 till 4.3.5 för iPhone 3GS och iPhone 4, iOS 3.1 till 4.3.5 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.3.5 för iPad

    Effekt: Besök på en webbplats med skadligt innehåll kan leda till en attack via skriptkörning över flera platser

    Beskrivning: Ett problem med olika källor förekom i hanteringen av DOM-noder.

    CVE-ID

    CVE-2011-1295: Sergey Glazunov

  • WebKit

    Tillgänglig för: iOS 3.0 till 4.3.5 för iPhone 3GS och iPhone 4, iOS 3.1 till 4.3.5 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.3.5 för iPad

    Effekt: En uppsåtligt skapad webbplats kan eventuellt orsaka att en annan webbadress visas i adressfältet

    Beskrivning: Ett problem med förfalskning av webbadress förekom i hanteringen av DOM-historikobjekt.

    CVE-ID

    CVE-2011-1107: Jordi Chancel

  • WebKit

    Tillgänglig för: iOS 3.0 till 4.3.5 för iPhone 3GS och iPhone 4, iOS 3.1 till 4.3.5 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.3.5 för iPad

    Effekt: Besök på en webbplats med skadligt innehåll kan ge upphov till körning av opålitlig kod

    Beskrivning: Ett konfigurationsfel förekom i WebKits användning av libxslt. Besök på en uppsåtligt skapad webbplats kan leda till att opålitliga filer skapas med användarens behörighet, vilket i sin tur kan leda till att opålitlig kod körs. Detta problem åtgärdas via förbättrade säkerhetsinställningar för libxslt.

    CVE-ID

    CVE-2011-1774: Nicolas Gregoire på Agarri

  • WebKit

    Tillgänglig för: iOS 3.0 till 4.3.5 för iPhone 3GS och iPhone 4, iOS 3.1 till 4.3.5 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.3.5 för iPad

    Effekt: Om användaren besöker en webbplats med skadligt innehåll och drar innehåll till sidan kan det leda till att information avslöjas

    Beskrivning: Ett problem med cross-origin förekom i WebKits hantering av HTML5 dra-och-släpp. Problemet är åtgärdat genom att dra-och-släpp inte är tillåtet mellan olika källor.

    CVE-ID

    CVE-2011-0166: Michal Zalewski på Google, Inc.

  • WebKit

    Tillgänglig för: iOS 3.0 till 4.3.5 för iPhone 3GS och iPhone 4, iOS 3.1 till 4.3.5 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.3.5 för iPad

    Effekt: Besök på en webbplats med skadligt innehåll kan leda till att information avslöjas

    Beskrivning: Ett problem med olika källor förekom i hanteringen av Web Workers.

    CVE-ID

    CVE-2011-1190: Daniel Divricean på divricean.ro

  • WebKit

    Tillgänglig för: iOS 3.0 till 4.3.5 för iPhone 3GS och iPhone 4, iOS 3.1 till 4.3.5 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.3.5 för iPad

    Effekt: Besök på en webbplats med skadligt innehåll kan leda till en attack via skriptkörning över flera platser

    Beskrivning: Ett problem med olika källor förekom i hanteringen av metoden window.open.

    CVE-ID

    CVE-2011-2805: Sergey Glazunov

  • WebKit

    Tillgänglig för: iOS 3.0 till 4.3.5 för iPhone 3GS och iPhone 4, iOS 3.1 till 4.3.5 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.3.5 för iPad

    Effekt: Besök på en webbplats med skadligt innehåll kan leda till en attack via skriptkörning över flera platser

    Beskrivning: Ett problem med olika källor förekom i hanteringen av inaktiva DOM-fönster.

    CVE-ID

    CVE-2011-3243: Sergey Glazunov

  • WebKit

    Tillgänglig för: iOS 3.0 till 4.3.5 för iPhone 3GS och iPhone 4, iOS 3.1 till 4.3.5 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.3.5 för iPad

    Effekt: Besök på en webbplats med skadligt innehåll kan leda till en attack via skriptkörning över flera platser

    Beskrivning: Ett problem med olika källor förekom i hanteringen av egenskapen document.documentURI.

    CVE-ID

    CVE-2011-2819: Sergey Glazunov

  • WebKit

    Tillgänglig för: iOS 3.0 till 4.3.5 för iPhone 3GS och iPhone 4, iOS 3.1 till 4.3.5 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.3.5 för iPad

    Effekt: En uppsåtligt skapad webbplats kan spåra webbadresser som en användare besöker inom en viss tidsram

    Beskrivning: Ett problem med olika källor förekom i hanteringen av beforeload-händelsen.

    CVE-ID

    CVE-2011-2800: Juho Nurminen

  • Wifi

    Tillgänglig för: iOS 3.0 till 4.3.5 för iPhone 3GS och iPhone 4, iOS 3.1 till 4.3.5 för iPod touch (3:e generationen) och senare, iOS 3.2 till 4.3.5 för iPad

    Effekt: Wifi-inloggningsuppgifterna kan loggas i en lokal fil

    Beskrivning: Wifi-inloggningsuppgifterna, inklusive lösenfrasen och krypteringsnycklar, loggades i en fil som kunde läsas av program i systemet. Detta problem har åtgärdats genom att inloggningsuppgifterna inte längre loggas.

    CVE-ID

    CVE-2011-3434: Laurent OUDOT på TEHTRI Security

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.

Publiceringsdatum: