iPhone OS 3.1.3 details
Afgelopen week heeft Apple iPhone/iPod OS 3.1.3 uitgebracht, de update bevat geen nieuwe features maar vooral bugfixes en een aantal oplossingen voor veiligheidslekken. Zoals gewoonlijk geeft Apple in het update venster alleen maar summiere informatie over de update.
Als je echter iets verder zoekt op de apple website dan kom je een volledige beschrijving tegen van de gedichte veiligheidslekken.
Ter bescherming van de gebruikers maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn.
Hieronder vind je het overzicht inclusief de CVE Identificatie nummers.
• CoreAudio
CVE-ID: CVE-2010-0036
Impact: het afspelen van een kwaadwillig vervaardigd mp4-audiobestand kan leiden tot het onverwacht beëindigen van een programma of het uitvoeren van willekeurige code
Beschrijving: er treedt een heapbufferoverloop op bij de verwerking van mp4-audiobestanden. Het afspelen van een kwaadwillig vervaardigd mp4-bestand kan leiden tot het onverwacht beëindigen van een programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door middel van verbeterde bounds checking. Met dank aan Tobias Klein van trapkit.de voor het melden van dit probleem.
• ImageIO
CVE-ID: CVE-2009-2285
Impact: het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er treedt een bufferonderloop op in de verwerking van TIFF-afbeeldingen door ImageIO. Het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door middel van verbeterde bounds checking.
• Herstelmodus
CVE-ID: CVE-2010-0038
Impact: een persoon met fysieke toegang tot een vergrendeld apparaat heeft wellicht toegang tot gebruikersgegevens
Beschrijving: er treedt een probleem met geheugenbeschadiging op bij de afhandeling van een bepaald USB-controlebericht. Een persoon met fysieke toegang tot het apparaat kan de toegangscode omzeilen en toegang hebben tot gebruikersgegevens. Dit probleem wordt verholpen door een verbeterde afhandeling van het USB-controlebericht.
• WebKit
CVE-ID: CVE-2009-3384
Impact: de toegang tot een kwaadwillig vervaardigde FTP-server kan leiden tot het onverwacht beëindigen van het programma, het vrijgeven van informatie of het uitvoeren van willekeurige code
Beschrijving: er treden meerdere problemen met invoervalidatie op in de afhandeling van FTP directory listings. De toegang tot een kwaadwillig vervaardigde FTP-server kan leiden tot het onverwacht beëindigen van het programma, het vrijgeven van informatie of het uitvoeren van willekeurige code. In deze update worden deze problemen verholpen door verbeterde parsering van FTP directory listings. Met dank aan Michal Zalewski van Google Inc. voor het melden van deze problemen.
• WebKit
CVE-ID: CVE-2009-2841
Impact: Mail kan mogelijk externe audio- en video-inhoud laden wanneer het laden van externe afbeeldingen is uitgeschakeld
Beschrijving: wanneer WebKit een HTML 5 Media Element vindt dat wijst naar een externe bron, verstuurt het geen callback voor het laden van de bron om te bepalen indien de bron dient te worden geladen. Dit kan leiden tot onverwachte verzoeken van externe servers. Voorbeeld: de zender van een HTML-geformatteerd e-mailbericht kan dit gebruiken om te bepalen of het bericht werd gelezen. Het probleem wordt verholpen door callbacks voor het laden van de bron te genereren wanneer een HTML 5 Media Element door WebKit wordt gevonden.
Bron: apple.com
Auteur | Richard IJzermans | |
Bijgewerkt | 12/12/2014 18:59 | |
Categorie | iPhone, Nieuws | |
Een reactie toevoegen:
Er zijn nog geen reacties op dit bericht!