关于 iPhone 1.1.1 更新的安全性内容

本文将介绍 iPhone v1.1.1 更新的安全性内容。

为保护我们的客户,在全面调查及必要的补丁和发布程序公布之前,Apple 不会透露、讨论或确认安全性问题。想要了解 Apple 产品安全性的详细信息,请浏览 Apple 产品安全性网站。

Apple 产品安全性 PGP 密钥的相关信息可以在此获得:“如何使用 Apple 产品安全性 PGP 密钥。”

CVE IDs 网站可以获得更多安全性薄弱问题的参考信息。

欲了解其它安全性更新信息,请浏览“Apple 安全性更新 。”

iPhone v1.1.1 更新

  • 蓝牙

    CVE-ID:CVE-2007-3753

    影响:在蓝牙范围内的袭击者可能会造成程序意外中止运行或强制执行代码问题。

    说明:iPhone 的蓝牙服务器中存在输入验证问题。通过向打开蓝牙功能的 iPhone 发送恶意制作的服务发现协议 (SDP) 数据包,袭击者可能会引发此问题,从而可能会导致程序意外中止运行或强制执行代码。本更新通过执行额外的 SDP 数据包验证来解决此问题。感谢 Flexilis Mobile Security 的 Kevin Mahaffey 和 John Hering 指出此问题。

  • 邮件

    CVE-ID:CVE-2007-3754

    影响:通过不安全的网络来查看邮件可能会导致信息由中间人袭击而泄漏。

    说明:当邮件被配置使用 SSL 来进行邮件收发时,当邮件服务器的身份有所变化或不能被相信时,它并不会向用户发出警告。据有拦截邮件连接能力的袭击者可能会冒充用户的邮件服务器,并获 得用户的电子邮件凭证或其它敏感信息。当远程邮件服务器的身份发生变化时,本更新通过提供适当的警告的方式来解决此问题。

  • 邮件

    CVE-ID:CVE-2007-3755

    影响:打开邮件中的电话 ("tel:")链接将在没有确认的情况下拨打电话号码

    说明:邮件支持利用电话 ("tel:")链接来拨打电话号码。通过诱使用户利用邮件信息中的电话链接,iPhone 能够在未经用户确认的情况下拨打电话。通过在利用邮件中的链接来拨打电话之前,提供确认窗口的方法,本更新能够解决此问题。感谢 McAfee 的 Andi Baritchi 提出此问题。

  • Safari

    CVE-ID:CVE-2007-3756

    影响:访问恶意网站可能会泄漏 URL 内容。

    说明:Safari 中的设计问题允许网页阅读当前正在母窗口中被浏览的 URL。通过诱使用户访问恶意制作的网页,袭击者可能会获得不相关网页的 URL。本更新通过改进跨域安全性检查来解决此问题。感谢 Google 的 Michal Zalewski 和 Secunia Research 指出此问题。

  • Safari

    CVE-ID:CVE-2007-3757

    影响:访问恶意制作的网站可能会导致意外拨号或所拨打的号码为非所想拨打的号码。

    说明:Safari 支持利用电话 ("tel:")链接来拨打电话号码。当电话链接被选中时,Safari 将确认应该拨打此号码。恶意制作的电话链接可能会导致在确认时显示与实际所拨打的号码不同的号码。在确认过程中退出 Safari 可能会导致无意识的确认。本更新通过适当显示将被打的号码并要求进行电话链接确认的方法来解决此问题。感谢HP Security Labs 的 Billy Hoffman 和 Bryan Sullivan (前身为 SPI Labs)和 Eduardo Tang 指出此问题。

  • Safari

    CVE-ID:CVE-2007-3758

    影响:访问恶意制作的网站可能会导致脚本跨网站。

    说明:脚本跨网站漏洞存在于某些 Safari 中,这些 Safari 允许恶意网站设置不同域的网络的 JavaScript 窗口属性。 通过诱使用户访问恶意制作的网站,袭击者能够引发此问题,从而导致获得或设置其它网站的网页的窗口状态和位置。本更新通过对这些属性改进访问控制的方法来 解决此问题。感谢 Google 的 Michal Zalewski 指出此问题。

  • Safari

    CVE-ID:CVE-2007-3759

    影响:直到 Safari 被重新启动,禁止 JavaScript 才生效。

    说明:Safari 可以被配置为打开或禁 JavaScript。直到下一次 Safari 被重新启动时,此设置才生效。这通常在 iPhone 被重启时发生。这通常会使用户误以为 JavaScript 被禁止,而实际上事实并非如此。本更新通过在载入新网页之前应用新的设置的方法来解决此问题。

  • Safari

    CVE-ID:CVE-2007-3760

    影响:访问恶意制作的网站可能会导致脚本跨网站。

    说明:Safari 中出现的脚本跨网站问题允许恶意制作的网站利用“帧”标签来规避同源政策。通过诱使用户访问恶意制作的网页,袭击者可能会引发此问题,这可能会导致在另一 个网站内容中执行 JavaScript。本更新解决此问题的方法为:禁止 JavaScript 作为 "iframe" 源,并限制帧标签中的 JavaScript 具有与其所服务的网站相同的访问权限。 感谢 Google 的 Michal Zalewski 和 Secunia Research 指出此问题。

  • Safari

    CVE-ID:CVE-2007-3761

    影响:访问恶意制作的网站可能会导致脚本跨网站。

    说明:Safari 中存在的脚本跨网站问题允许 JavaScript 事件与错误的帧联系起来。通过诱使用户访问恶意制作的网页,袭击者可能会引起在另一个网站内容中执行 JavaScript 的问题。本更新通过将 JavaScript 事件与正确的源帧相联系的方法来解决此问题。

  • Safari

    CVE-ID:CVE-2007-4671

    影响:网站中的 JavaScript 可能会访问或利用通过 HTTPS 所传递的文档内容。

    说明:Safari 中所存在的问题允许通过 HTTP 传递的内容来修改或访问在相同域中通过 HTTPS 传递的内容。 通过诱使用户访问恶意制作的网页,袭击者可能会引起在此域中的 HTTPS 网页内容中执行 JavaScript 的问题。本更新通过限制 JavaScript 在 HTTP 和 HTTPS 帧间的执行权的方法来解决此问题。 感谢 LAC Co., Ltd. (Little eArth Corporation Co., Ltd.) 的 Keigo Yamazaki 指出此问题。

安装注意:

本更新只能通过 iTunes 获得,并且不能出现在您的计算机的软件更新应用程序中,也不会出现在 Apple 下载网站。请确定您有网络连接,并从 www.apple.com.cn/itunes 安装了最新版本的 iTunes。

iTunes 每周将按计划自动检查 Apple 更新服务器。当发现新更新时,它将下载此更新。当 iPhone 被连接时,iTunes 将向用户提出安装更新的选择。我们建议尽可能立即安装此更新。如选择“Don't install(不安装)”,下一次连接 iPhone 时会再次出现此选项。

本自动更新过程最多可能会用一周的时间,这取决于 iTunes 检查更新的日期。通过 iTunes 中的“Check for Update(检查更新)”按钮,您可以手动获得更新。之后,当您的 iPhone 与计算机相接时,此更新就可被应用。

检查 iPhone 已被更新的方法:

  1. 进入“Settings(设置)”
  2. 点击“General(常规)”
  3. 点击“About(关于)”。应用此更新后的版本应为“1.1.1 (3A109a)”
发布日期: