De gapend veiligheidsgat in Mobile Safari is opgelost met updates voor het iOS-besturingssysteem van Apple.
Apple heeft zojuist iOS geüpdatet naar 4.0.2 voor de iPhone (en iPod touch) en iOS 3.2.2 voor de iPad. De updates verhelpen een beveiligingsprobleem waardoor Safari code kon uitvoeren die was ingesloten in PDF-bestanden.
De updates zijn beschikbaar via iTunes. Klik op "Controleren op updates" om te downloaden.
Als je van plan bent om je apparaat te jailbreaken, doe dit dan voordat je gaat updaten. o wees niet verbaasd als de nieuwste firmware ook een baseband-update bevat. Als dat gebeurt, wordt ook de ontgrendeling van de ultrasn0w-carrier geblokkeerd.
Het is duidelijk dat de nieuwe iOS-updates de jailbreak breken op JailbreakMe.com, die misbruik maakte van de kwetsbaarheid.
De updates kunnen ook nieuwe basisbandfirmware bevatten, die zal breken koerier ontgrendelen. Om je iOS-apparaat te jailbreaken en te ontgrendelen, zie onze Jailbreak-supergids.
Hier zijn de details van Apple:
Over de beveiligingsinhoud van de iOS 4.0.2-update voor iPhone en iPod touch
Laatst gewijzigd: 11 augustus 2010
Artikel: HT4291
Samenvatting
Dit document beschrijft de beveiligingsinhoud van iOS 4.0.2 Update voor iPhone en iPod touch, die kan worden gedownload en geïnstalleerd iTunes gebruiken.
Ter bescherming van onze klanten onthult, bespreekt of bevestigt Apple geen beveiligingsproblemen totdat er een volledig onderzoek heeft plaatsgevonden en de benodigde patches of releases beschikbaar zijn. Voor meer informatie over Apple Product Security, zie de: Apple-productbeveiliging website.
Voor informatie over de Apple Product Security PGP Key, zie “Hoe de Apple Product Security PGP-sleutel te gebruiken.”
Waar mogelijk, CVE-ID's worden gebruikt om naar de kwetsbaarheden te verwijzen voor meer informatie.
Voor meer informatie over andere beveiligingsupdates, zie “Apple-beveiligingsupdates“.
Producten waarbij dit probleem optreedt
iPhone, productbeveiliging, iPod touch
iOS 4.0.2 Update voor iPhone en iPod touch
FreeType
CVE-ID: CVE-2010-1797
Beschikbaar voor: iOS 2.0 t/m 4.0.1 voor iPhone 3G en hoger, iOS 2.1 t/m 4.0 voor iPod touch (2e generatie) en hoger
Impact: het bekijken van een PDF-document met kwaadwillig vervaardigde ingesloten lettertypen kan leiden tot uitvoering van willekeurige code
Beschrijving: er is een stackbufferoverloop bij de verwerking van CFF-opcodes door FreeType. Als u een PDF-document bekijkt met kwaadwillig vervaardigde ingesloten lettertypen, kan willekeurige code worden uitgevoerd. Dit probleem wordt verholpen door een verbeterde grenscontrole.
IOSurface
CVE-ID: CVE-2010-2973
Beschikbaar voor: iOS 2.0 t/m 4.0.1 voor iPhone 3G en hoger, iOS 2.1 t/m 4.0 voor iPod touch (2e generatie) en hoger
Impact: schadelijke code die wordt uitgevoerd omdat de gebruiker systeemrechten kan krijgen
Beschrijving: er treedt een overloop op bij gehele getallen bij de verwerking van IOSurface-eigenschappen, waardoor kwaadaardige code die als gebruiker wordt uitgevoerd, systeemrechten kan krijgen. Dit probleem wordt verholpen door een verbeterde grenscontrole.
++
Over de beveiligingsinhoud van de iOS 3.2.2 Update voor iPad
Laatst gewijzigd: 11 augustus 2010
Artikel: HT4292
Samenvatting
Dit document beschrijft de beveiligingsinhoud van de iOS 3.2.2 Update voor iPad, die kan worden gedownload en geïnstalleerd iTunes gebruiken.
Ter bescherming van onze klanten onthult, bespreekt of bevestigt Apple geen beveiligingsproblemen totdat er een volledig onderzoek heeft plaatsgevonden en de benodigde patches of releases beschikbaar zijn. Voor meer informatie over Apple Product Security, zie de: Apple-productbeveiliging website.
Voor informatie over de Apple Product Security PGP Key, zie "Hoe de PGP-sleutel voor productbeveiliging van Apple.”
Waar mogelijk, CVE-ID's worden gebruikt om naar de kwetsbaarheden te verwijzen voor meer informatie.
Voor meer informatie over andere beveiligingsupdates, zie “Apple-beveiligingsupdates“.
Producten waarbij dit probleem optreedt
Productbeveiliging, iPad
iOS 3.2.2-update voor iPad
FreeType
CVE-ID: CVE-2010-1797
Beschikbaar voor: iOS 3.2 en 3.2.1 voor iPad
Impact: het bekijken van een PDF-document met kwaadwillig vervaardigde ingesloten lettertypen kan leiden tot uitvoering van willekeurige code
Beschrijving: er is een stackbufferoverloop bij de verwerking van CFF-opcodes door FreeType. Als u een PDF-document bekijkt met kwaadwillig vervaardigde ingesloten lettertypen, kan willekeurige code worden uitgevoerd. Dit probleem wordt verholpen door een verbeterde grenscontrole.
IOSurface
CVE-ID: CVE-2010-2973
Beschikbaar voor: iOS 3.2 en 3.2.1 voor iPad
Impact: schadelijke code die wordt uitgevoerd omdat de gebruiker systeemrechten kan krijgen
Beschrijving: er treedt een overloop op bij gehele getallen bij de verwerking van IOSurface-eigenschappen, waardoor kwaadaardige code die als gebruiker wordt uitgevoerd, systeemrechten kan krijgen. Dit probleem wordt verholpen door een verbeterde grenscontrole.
