iOS 5.1.1 patcht belangrijk beveiligingslek met betrekking tot URL-spoofing in Safari
appel heeft vandaag iOS 5.1.1 uitgebracht voor eigenaren van iOS-apparaten over-the-air en in iTunes. De update brengt verschillende bugfixes en verbeteringen, waaronder een fix voor bepaalde iPads die connectiviteit verliezen bij het schakelen tussen 2G- en 3G-netwerken.
In iOS 5.1.1 is ook een belangrijke beveiligingsupdate opgenomen voor een URL-spoofing-techniek in Safari die: kwam een paar weken geleden in het nieuws.
Oorspronkelijk geschetst door MajorSecurity.net, zou een kwaadwillende website javascript in Safari op iOS kunnen misbruiken om een valse webpagina onder een legitieme domeinnaam weer te geven. Het voorbeeld werd gegeven van het bezoeken van een nepwebsite die "apple.com" in de adresbalk weergaf. Deze kwaadaardige techniek kan worden gebruikt om inlog- en bankgegevens te verzamelen op iOS-apparaten met versie 5.1 en ouder.
Apple heeft de kwetsbaarheid in de nieuw uitgebrachte iOS 5.1.1 gepatcht:
Safari
Beschikbaar voor: iPhone 3GS, iPhone 4, iPhone 4S, iPod touch (3e generatie) en nieuwer, iPad, iPad 2
Impact: een kwaadwillig vervaardigde website kan het adres in de locatiebalk mogelijk vervalsen
Beschrijving: er was een probleem met URL-spoofing in Safari. Dit kan op een kwaadaardige website worden gebruikt om de gebruiker naar een vervalste site te leiden die visueel een legitiem domein leek te zijn. Dit probleem wordt verholpen door een verbeterde verwerking van URL's. Dit probleem heeft geen invloed op OS X-systemen.
Eigenaars van iOS-apparaten kunnen 5.1.1 nu installeren om deze beveiligingspatch te ontvangen, naast twee fixes voor WebKit-kwetsbaarheid.
Bron: appel