iPhone 1.1.1 更新的安全性內容

本文內容詳述 iPhone v1.1.1 更新的相關資訊。

為了保障我們的客戶,Apple 不會在安全漏洞調查完成,有能力提供必要修救方法或新版程式前,對外透露、說明討論、或確認安全漏洞的問題。若欲取得更多 Apple 產品安全相關資訊,請參閱 Apple 產品安全 網站。

若欲取得 Apple 產品安全 PGP 金鑰,請參閱「如何使用 Apple 產品安全 PGP 金鑰」。

在這個網頁上,您也可使用 CVE IDs 以取得您系統漏洞的進一步資訊。

若要取得其他「安全更新」,請參考「Apple 安全更新」。

iPhone v1.1.1 更新

  • 藍牙

    CVE-ID:CVE-2007-3753

    影響:Bluetooth 通訊範圍內的攻擊者可引發非預期的應用程式終止或程式碼自動執行

    說明:iPhone Bluetooth 伺服器有輸入驗證方面的問題。藉由傳送嵌有惡意程式的服務尋找協定 (SDP) 包至啟用藍牙裝置的 iPhone,攻擊者可引發此問題,進而造成非預期的應用程式終止或程式碼自動執行。此更新會藉由追加執行一次 SDP 包認證,解決此一問題。特別鳴謝 Flexilis 行動安全的 Kevin Mahaffey 和 John Hering 回報此一問題。

  • 郵件

    CVE-ID:CVE-2007-3754

    影響:於非安全網路檢查電子郵件可能因中間人攻擊導致資訊揭露

    說明:當郵件設定使用 SSL 來進行對內與對外連接,郵件伺服器識別變更或變得不安全時將不會警告使用者。可截取連線的攻擊者能夠模擬使用者的郵件伺服器並取得使用者的郵件認證或其他敏感資料。 此更新會藉由當遠端郵件伺服器識別變更時警告使用者,解決此一問題。

  • 郵件

    CVE-ID:CVE-2007-3755

    影響:點選郵件中的電話 ("tel:")連結不須確認即會撥號

    說明:郵件支援電話 ("tel:")連結撥號。藉由引誘使用者點選郵件中的電話連結,不須使用者確認,攻擊者即可使 iPhone 進行撥號。此更新會藉由透過郵件中電話連結撥號前提供一個確認視窗,解決此一問題。特別鳴謝 McAfee 的 Andi Baritchi 回報此一問題。

  • Safari

    CVE-ID:CVE-2007-3756

    影響:瀏覽惡意網站可能會導致 URL 內容的洩露。

    說明:Safari 設計上的問題使網頁可讀取目前於母視窗正在檢視的 URL。藉由引誘使用者瀏覽嵌有惡意程式的網頁,攻擊者可能取得不相關網頁的 URL。此更新會藉由透過改進跨網域安全檢查,解決此一問題。特別鳴謝 Google Inc. 的 Michal Zalewski 以及 Secunia Research 回報此一問題。

  • Safari

    CVE-ID:CVE-2007-3757

    影響:瀏覽惡意網站可能導致非計劃撥號或撥出不是您想要撥打的號碼

    說明:Safari 支援電話 ("tel:")連結撥號。當您選取電話連結,Safari 會確認該撥打的號碼。嵌有惡意程式的電話連結可能導致確認時顯示不同的號碼,而不是實際撥出的號碼。在確認過程中離開 Safari 可能導致非計畫確認。此更新會藉由確實顯示撥打號碼,並確實要求電話連結確認,解決此一問題。特別鳴謝 HP Security Labs (前身為 SPI Labs) 的 Billy Hoffman 和 Bryan Sullivan 以及 Eduardo Tang 回報此一問題。

  • Safari

    CVE-ID:CVE-2007-3758

    影響:瀏覽一個惡意網站可能會導致跨網站指令碼攻擊。

    說明:Safari 發生跨網站指令碼攻擊漏洞,可允許惡意網站設定不同網域網站的 JavaScript 視窗屬性。藉由引誘使用者瀏覽嵌有惡意程式的網站,攻擊者可引發此漏洞,導致取得或設定其他網站的視窗狀態和網頁位址。此更新會藉由改善這些屬性的存取控 制,解決此一問題。特別鳴謝 Google Inc. 的 Michal Zalewski 回報此一問題。

  • Safari

    CVE-ID:CVE-2007-3759

    影響:除非 Safari 重新啟動,否則無法取消啟用 JavaScript。

    說明:Safari 可設定啟用和取消啟用 JavaScript。除非 Safari 重新啟動,否則此偏好設定無效。此情況通常於 iPhone 重新開機時發生。這會誤導使用者認為啟用中的 JavaScript 為非啟用狀態。此更新會藉由載入新網頁之前應用此新偏好設定,解決此一問題。

  • Safari

    CVE-ID:CVE-2007-3760

    影響:瀏覽一個惡意網站可能會導致跨網站指令碼攻擊。

    說明:Safari 發生跨網站指令碼攻擊漏洞,可允許嵌有惡意程式的網站使用「框架」標籤而不受相同原始政策的限制。藉由引誘使用者瀏覽嵌有惡意程式的網頁,攻擊者可引發此 漏洞,進而導致其他網站執行 JavaScript。此更新會藉由避免 JavaScript 作為「內嵌框架」來源,並限制框架標籤內的 JavaScript 與網站有相同的存取。特別鳴謝 Google Inc. 的 Michal Zalewski 以及 Secunia Research 回報此一問題。

  • Safari

    CVE-ID:CVE-2007-3761

    影響:瀏覽一個惡意網站可能會導致跨網站指令碼攻擊。

    說明:Safari 中的跨網站指令碼攻擊問題使得 JavaScript 事件產生錯誤框架。藉由引誘使用者瀏覽嵌有惡意程式的網頁,攻擊者可導致其他網站執行 JavaScript。此更新會藉由結合 JavaScript 事件與正確的原始框架,解決此一問題。

  • Safari

    CVE-ID:CVE-2007-4671

    影響:網站上的 JavaScript 可能存取或操縱 HTTPS 上的檔案內容

    說明:Safari 存在的問題允許 HTTP 上的內容能夠變更或存取相同網域中 HTTP 的內容。藉由引誘使用者瀏覽嵌有惡意程式的網頁,攻擊者可導致該網域 HTTPS 網頁其他網站執行 JavaScript。此更新會藉由限制 JavaScript 於 HTTP 及 HTTPS 框架間的存取,解決此一問題。特別鳴謝 LAC CO., Ltd. (Little eArth Corporation Co., Ltd.) 的 Keigo Yamazaki 回報此一問題。

安裝注意事項

您可透過 iTunes 進行更新,此更新不會出現於您電腦的「軟體更新」應用程式中或 Apple 下載網頁中。請確認您的網際網路已連線,且已從網站 www.apple.com.tw/itunes 安裝 iTunes 最新版本

iTunes 每週會定期檢查 Apple 的更新伺服器。當一個更新被刪除時,它會自動下載。當 iPhone 無法正常運作時, iTunes 會向使用者顯示選項以安裝更新。我們建議您在必要時立即安裝更新。選取「Don't install(不要安裝)」將在您下次連線您的 iPhone 時顯示選項。

自動更新程序視 iTunes 檢查更新之日而定,可能須一週時間。您可透過 iTunes 中的「Check for Update(檢查更新)」按鈕手動取得更新。之後,當您的 iPhone 連接至電腦時更新會啟用。

若要檢查 iPhone 是否已進行更新:

  1. 瀏覽至「Settings(設定)」
  2. 按一下「General(一般)」
  3. 按一下「About(關於)」。進行更新後的版本為「1.1.1 (3A109a)」
發佈日期: