Auch wenn für viele von uns nicht auf den ersten Blick erkennbar, hat sich auch einiges im Bereich Sicherheit getan. So gab es mit der neuen FW 3.0 insgesamt 46 Sicherheits-Updates. Diese sollen im Folgenden nur kurz umrissen werden.
CoreGraphics: Die Änderungen an den CoreGraphics hindern bösartige Bilder und PDFs daran, zu unerwarteten Programmabstürzen zu führen und unterbinden die Ausführung von Schadcode.
Exchange: Hier beziehen sich die Änderungen auf die Verbindung zu Exchange-Servern. Durch eine Verbesserung der Handhabung von nicht vertrauenswürdigen Zertifikaten sollen bösartige Exchange-Server daran gehindert werden, sensible Informationen offen zu legen.
ImageIO: Die Änderungen an den ImageIO hindern PDFs daran, zu unerwarteten Programmabstürzen zu führen oder auch Schadcode auszuführen.
International Components for Unicode: Die Änderungen an Unicode hindern bösartige Inhalte daran, Web-Site-Filter zu umgehen und so Cross-Site-Scripting zu verursachen
IPSec: Die Änderungen im Bereich IPSec schließen multiple Schwachstellen im racoon daemon, die zu Denial-of-Service Angriffen führen konnten.
Libxml: Die Änderungen an der XML library Libxml schließen multiple Schwachstellen in Libxml2 Version 2.6.16.
Mail: Im Mail-App haben User nun die Kontrolle ob sie entfernte Bilder in HTML-Nachrichten laden wollen oder nicht. Zusätzlich wurde die Anwendung dahingehend überarbeitet, anderen Anwendungen die Möglichkeit zu nehmen eine Warnmeldung zu generieren, die dazu verwendet werden könnte, einen Anruf ohne Einwirkung des Anwenders zu initiieren .
MPEG-4 Video Codec: Hier wurde eine Schwachstelle gestopft, die es bösartigen MPEG-4 Videos ermöglichte, das iPhone unerwartet zu resetten.
Profile: Die Änderungen an den Profilen verhindert nun die Installation von Konfigurations-Profilen, die zu einer potentiellen Abschwächung der Passwort-Politik seitens des Exchange ActivSync führen könnten.
Safari: Nun ist es möglich, die Browser-History über die Einstellungen zu löschen. Diese ist dann auch komplett vom Gerät gelöscht. Zusätzlich wurde ein Patch installiert, der schadhafte Web-Sites daran hindert, unerwartete Aktionen auf anderen Seiten auszuführen (z.B. Clickjacking).
Telefon: Hier wurde eine Lücke gestopft, die es einem Remote-Angreifer ermöglichte, das Gerät unerwartet zu resetten.
WebKit: Die Änderungen am Web-Browser Framework waren am umfangreichsten. Vor dem Hintergrund der steigenden Beliebtheit des iPhones als Mobiler Browser ein sinnvoller Schritt. Die Änderungen drehen sich vor allem um die Verhinderung eigenmächtiger Code/Skript-ausführungen, welche zu Abstürzen, Neustarts oder auch der Offenlegung persönlicher Informationen auslösen konnten.
Keine Kommentare:
Kommentar veröffentlichen