Friday, March 25, 2022

Über den Sicherheitsinhalt von iOS 4.3

Über den Sicherheitsinhalt von iOS 4.3

Dieses Dokument beschreibt den Sicherheitsinhalt von iOS 4.3.

Dieses Dokument beschreibt den Sicherheitsinhalt von iOS 4.3, das mit iTunes heruntergeladen und installiert werden kann.

Zum Schutz unserer Kunden offenbart, diskutiert oder bestätigt Apple keine Sicherheitsprobleme, bis eine vollständige Untersuchung durchgeführt wurde und alle erforderlichen Patches oder Versionen verfügbar sind. Weitere Informationen zur Apple-Produktsicherheit finden Sie auf der Apple-Produktsicherheits- Website.

Informationen zum PGP-Schlüssel für die Apple-Produktsicherheit finden Sie unter „ So verwenden Sie den PGP-Schlüssel für die Apple-Produktsicherheit".

Wo möglich, werden CVE-IDs verwendet, um auf die Schwachstellen für weitere Informationen zu verweisen.

Informationen zu anderen Sicherheitsupdates finden Sie unter „ Apple-Sicherheitsupdates ".

iOS 4.3

  • CoreGraphics

    Verfügbar für: iOS 3.0 bis 4.2.1 für iPhone 3GS und höher, iOS 3.1 bis 4.2.1 für iPod touch (3. Generation) und höher, iOS 3.2 bis 4.2.1 für iPad

    Auswirkung: Mehrere Schwachstellen in FreeType

    Beschreibung: In FreeType bestanden mehrere Sicherheitslücken, von denen die schwerwiegendste zur Ausführung willkürlichen Codes führen kann, wenn eine in böser Absicht erstellte Schriftart verarbeitet wird. Diese Probleme werden durch die Aktualisierung von FreeType auf Version 2.4.3 behoben. Weitere Informationen sind über die FreeType-Website unter http://www.freetype.org/ verfügbar.

    CVE-ID

    CVE-2010-3855

  • ImageIO

    Verfügbar für: iOS 3.0 bis 4.2.1 für iPhone 3GS und höher, iOS 3.1 bis 4.2.1 für iPod touch (3. Generation) und höher, iOS 3.2 bis 4.2.1 für iPad

    Auswirkung: Das Anzeigen eines in böser Absicht erstellten TIFF-Bildes kann zu einer unerwarteten Beendigung der Anwendung oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von JPEG-codierten TIFF-Bildern durch libTIFF kam es zu einem Pufferüberlauf. Das Anzeigen eines in böser Absicht erstellten TIFF-Bildes kann zu einer unerwarteten Beendigung der Anwendung oder zur Ausführung willkürlichen Codes führen.

    CVE-ID

    CVE-2011-0191: Apfel

  • ImageIO

    Verfügbar für: iOS 3.0 bis 4.2.1 für iPhone 3GS und höher, iOS 3.1 bis 4.2.1 für iPod touch (3. Generation) und höher, iOS 3.2 bis 4.2.1 für iPad

    Auswirkung: Das Anzeigen eines in böser Absicht erstellten TIFF-Bildes kann zu einer unerwarteten Beendigung der Anwendung oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von CCITT Group 4-codierten TIFF-Bildern durch libTIFF kam es zu einem Pufferüberlauf. Das Anzeigen eines in böser Absicht erstellten TIFF-Bildes kann zu einer unerwarteten Beendigung der Anwendung oder zur Ausführung willkürlichen Codes führen.

    CVE-ID

    CVE-2011-0192: Apfel

  • libxml

    Verfügbar für: iOS 3.0 bis 4.2.1 für iPhone 3GS und höher, iOS 3.1 bis 4.2.1 für iPod touch (3. Generation) und höher, iOS 3.2 bis 4.2.1 für iPad

    Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zu einer unerwarteten Beendigung der Anwendung oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von XPath-Ausdrücken durch libxml bestand ein Double-Free-Problem. Der Besuch einer in böser Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen.

    CVE-ID

    CVE-2010-4494: Yang Dingning vom NCNIPC, Graduiertenuniversität der Chinesischen Akademie der Wissenschaften

  • Vernetzung

    Verfügbar für: iOS 3.0 bis 4.2.1 für iPhone 3GS und höher, iOS 3.1 bis 4.2.1 für iPod touch (3. Generation) und höher, iOS 3.2 bis 4.2.1 für iPad

    Auswirkung: Ein Server kann möglicherweise ein Gerät über Verbindungen hinweg identifizieren

    Beschreibung: Die vom Gerät gewählte IPv6-Adresse enthält die MAC-Adresse des Geräts, wenn Stateless Address Autoconfiguration (SLAAC) verwendet wird. Ein vom Gerät kontaktierter IPv6-fähiger Server kann die Adresse verwenden, um das Gerät über Verbindungen hinweg zu verfolgen. Dieses Update implementiert die in RFC 3041 beschriebene IPv6-Erweiterung, indem es eine temporäre zufällige Adresse hinzufügt, die für ausgehende Verbindungen verwendet wird.

  • Safari

    Verfügbar für: iOS 3.0 bis 4.2.1 für iPhone 3GS und höher, iOS 3.1 bis 4.2.1 für iPod touch (3. Generation) und höher, iOS 3.2 bis 4.2.1 für iPad

    Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann dazu führen, dass MobileSafari beim Start beendet wird

    Beschreibung: Eine in böser Absicht erstellte Website kann Javascript enthalten, das wiederholt dazu führt, dass eine andere Anwendung auf dem Gerät über ihren URL-Handler gestartet wird. Beim Besuch dieser Website mit MobileSafari wird MobileSafari beendet und die Zielanwendung gestartet. Diese Sequenz würde jedes Mal fortgesetzt, wenn MobileSafari geöffnet wird. Dieses Problem wird behoben, indem zur vorherigen Seite zurückgekehrt wird, wenn Safari erneut geöffnet wird, nachdem eine andere Anwendung über ihren URL-Handler gestartet wurde.

    CVE-ID

    CVE-2011-0158: Nitesh Dhanjani von Ernst & Young LLP

  • Safari

    Verfügbar für: iOS 4.0 bis 4.2.1 für iPhone 3GS und höher, iOS 4.0 bis 4.2.1 für iPod touch (3. Generation) und höher, iOS 4.2 bis 4.2.1 für iPad

    Auswirkung: Das Löschen von Cookies in den Safari-Einstellungen hat möglicherweise keine Auswirkung

    Beschreibung: Unter bestimmten Umständen hat das Löschen von Cookies über die Safari-Einstellungen keine Auswirkung, während Safari ausgeführt wird. Dieses Problem wird durch eine verbesserte Handhabung von Cookies behoben. Dieses Problem betrifft keine Systeme vor iOS 4.0.

    CVE-ID

    CVE-2011-0159: Erik Wong von Google Inc.

  • WebKit

    Verfügbar für: iOS 3.0 bis 4.2.1 für iPhone 3GS und höher, iOS 3.1 bis 4.2.1 für iPod touch (3. Generation) und höher, iOS 3.2 bis 4.2.1 für iPad

    Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zu einer unerwarteten Beendigung der Anwendung oder zur Ausführung willkürlichen Codes führen

    Beschreibung: In WebKit gibt es mehrere Speicherbeschädigungsprobleme. Der Besuch einer in böser Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen.

    CVE-ID

    CVE-2010-1792

    CVE-2010-1824 : kuzzcc und wushi von team509 arbeiten mit der Zero Day Initiative von TippingPoint zusammen

    CVE-2011-0111: Sergej Glasunow

    CVE-2011-0112: Yuzo Fujishima von Google Inc.

    CVE-2011-0113: Andreas Kling von Nokia

    CVE-2011-0114: Chris Evans vom Google Chrome-Sicherheitsteam

    CVE-2011-0115: J23 in Zusammenarbeit mit der Zero Day Initiative von TippingPoint und Emil A. Eklund von Google, Inc.

    CVE-2011-0116: ein anonymer Forscher, der mit der Zero Day Initiative von TippingPoint zusammenarbeitet

    CVE-2011-0117: Abhishek Arya (Inferno) von Google, Inc.

    CVE-2011-0118: Abhishek Arya (Inferno) von Google, Inc.

    CVE-2011-0119: Abhishek Arya (Inferno) von Google, Inc.

    CVE-2011-0120: Abhishek Arya (Inferno) von Google, Inc.

    CVE-2011-0121: Abhishek Arya (Inferno) von Google, Inc.

    CVE-2011-0122: Slawomir Blazek

    CVE-2011-0123: Abhishek Arya (Inferno) von Google, Inc.

    CVE-2011-0124: Yuzo Fujishima von Google Inc.

    CVE-2011-0125: Abhishek Arya (Inferno) von Google, Inc.

    CVE-2011-0126: Mihai Parparita von Google, Inc.

    CVE-2011-0127: Abhishek Arya (Inferno) von Google, Inc.

    CVE-2011-0128: David Bloom

    CVE-2011-0129: Familie

    CVE-2011-0130: Apfel

    CVE-2011-0131: Wushi von Team509

    CVE-2011-0132 : wushi von team509, das mit der Zero Day Initiative von TippingPoint zusammenarbeitet

    CVE-2011-0133 : wushi von team509, das mit der Zero Day Initiative von TippingPoint zusammenarbeitet

    CVE-2011-0134: Jan Tosovsky

    CVE-2011-0135: ein anonymer Reporter

    CVE-2011-0136: Sergej Glasunow

    CVE-2011-0137: Sergej Glasunow

    CVE-2011-0138: kuzzcc

    CVE-2011-0140: Sergej Glasunow

    CVE-2011-0141: Chris Rohlf von Matasano Security

    CVE-2011-0142: Abhishek Arya (Inferno) von Google, Inc.

    CVE-2011-0143: Slawomir Blazek und Sergey Glazunov

    CVE-2011-0144: Emil A. Eklund von Google, Inc.

    CVE-2011-0145: Abhishek Arya (Inferno) von Google, Inc.

    CVE-2011-0146: Abhishek Arya (Inferno) von Google, Inc.

    CVE-2011-0147: Dirk Schulze

    CVE-2011-0148: Michal Zalewski von Google, Inc.

    CVE-2011-0149 : wushi von team509 in Zusammenarbeit mit der Zero Day Initiative von TippingPoint und SkyLined vom Google Chrome Security Team

    CVE-2011-0150: Michael Gundlach von safariadblock.com

    CVE-2011-0151: Abhishek Arya (Inferno) von Google, Inc.

    CVE-2011-0152: SkyLined des Google Chrome-Sicherheitsteams

    CVE-2011-0153: Abhishek Arya (Inferno) von Google, Inc.

    CVE-2011-0154: ein anonymer Forscher, der mit der Zero Day Initiative von TippingPoint zusammenarbeitet

    CVE-2011-0155: Aki Helin von OUSPG

    CVE-2011-0156: Abhishek Arya (Inferno) von Google, Inc.

    CVE-2011-0157: Benoit Jacob von Mozilla

    CVE-2011-0168: Sergej Glasunow

  • WebKit

    Verfügbar für: iOS 3.0 bis 4.2.1 für iPhone 3GS und höher, iOS 3.1 bis 4.2.1 für iPod touch (3. Generation) und höher, iOS 3.2 bis 4.2.1 für iPad

    Auswirkung: Anmeldeinformationen für die HTTP-Basisauthentifizierung können versehentlich an eine andere Website weitergegeben werden

    Beschreibung: Wenn eine Website die HTTP-Standardauthentifizierung verwendet und zu einer anderen Website umleitet, werden die Authentifizierungsdaten möglicherweise an die andere Website gesendet. Dieses Problem wird durch eine verbesserte Verarbeitung von Anmeldeinformationen behoben.

    CVE-ID

    CVE-2011-0160: McIntosh Cooey von Twelve Hundred Group, Harald Hanche-Olsen, Chuck Hohn von 1111 Internet LLC in Zusammenarbeit mit CERT und Paul Hinze von Braintree

  • WebKit

    Verfügbar für: iOS 3.0 bis 4.2.1 für iPhone 3GS und höher, iOS 3.1 bis 4.2.1 für iPod touch (3. Generation) und höher, iOS 3.2 bis 4.2.1 für iPad

    Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zu websiteübergreifenden Stildeklarationen führen

    Beschreibung: Bei der Verarbeitung des Attr.style-Accessors durch WebKit bestand ein Cross-Origin-Problem. Der Besuch einer in böser Absicht erstellten Website kann dazu führen, dass die Website CSS in andere Dokumente einfügt. Dieses Problem wird durch Entfernen des Attr.style-Accessors behoben.

    CVE-ID

    CVE-2011-0161: Apfel

  • WebKit

    Verfügbar für: iOS 3.0 bis 4.2.1 für iPhone 3GS und höher, iOS 3.1 bis 4.2.1 für iPod touch (3. Generation) und höher, iOS 3.2 bis 4.2.1 für iPad

    Auswirkung: Eine in böser Absicht erstellte Website kann möglicherweise verhindern, dass andere Websites bestimmte Ressourcen anfordern

    Beschreibung: Bei der Verarbeitung von zwischengespeicherten Ressourcen durch WebKit bestand ein Cache-Poisoning-Problem. Eine in böser Absicht erstellte Website kann möglicherweise verhindern, dass andere Websites bestimmte Ressourcen anfordern. Dieses Problem wird durch eine verbesserte Typprüfung behoben.

    CVE-ID

    CVE-2011-0163: Apfel

  • W-lan

    Verfügbar für: iOS 3.0 bis 4.2.1 für iPhone 3GS und höher, iOS 3.1 bis 4.2.1 für iPod touch (3. Generation) und höher, iOS 3.2 bis 4.2.1 für iPad

    Auswirkung: Bei einer WLAN-Verbindung kann ein Angreifer im selben Netzwerk möglicherweise einen Geräte-Reset verursachen

    Beschreibung: Bei der Verarbeitung von Wi-Fi-Frames bestand ein Problem bei der Begrenzungsprüfung. Bei einer WLAN-Verbindung kann ein Angreifer im selben Netzwerk möglicherweise einen Geräte-Reset veranlassen.

    CVE-ID

    CVE-2011-0162: Scott Boyd von ePlus Technology, Inc.

Informationen über Produkte, die nicht von Apple hergestellt wurden, oder unabhängige Websites, die nicht von Apple kontrolliert oder getestet wurden, werden ohne Empfehlung oder Billigung bereitgestellt. Apple übernimmt keine Verantwortung in Bezug auf die Auswahl, Leistung oder Verwendung von Websites oder Produkten von Drittanbietern. Apple macht keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit von Websites Dritter. Wenden Sie sich an den Anbieter , um weitere Informationen zu erhalten.

No comments:

Post a Comment