Computerworld News Service: Apple har i denne uge fjernet fem sårbarheder i iPhonens operativsystem, heriblandt en i password-funktionen der også tidligere har krævet opmærksomhed.
iPhone OS 3.1.3, der er den første opdatering siden september 2009, retter fem fejl, hvoraf de tre er i kategorien 'arbitrær kode-udførsel' ('arbitrary code execution'), som er Apple-sprog for kritiske sårbarheder.
I modsætning til andre software-producenter som Microsoft og Oracle inddeler Apple ikke fejlene i forhold til trusselsniveau.
Den mest bemærkelsesværdige sårbarhed er, ifølge Andrew Storms, der er director of security operations ved nCircle Network Security, den der findes i iPhonens recovery mode, som bruges til at genskabe telefonens indhold i tilfælde, hvor den slet ikke svarer.
"Der er fejl i hukommelsen ved håndteringen af visse USB kontrol-beskeder," står der i Apples vejledning.
"En person med fysisk adgang til telefonen kan udnytte dette til at omgå passwordet og få adgang til brugerens data."
Informationer på en forsvundet men låst iPhone kan med andre ord udnyttes af hvem, der end finder telefonen.
Andrew Storms pointerer, at Apple allerede rettede en fejl i telefonens recovery-mode sidste september, da iPhone blev opdateret til 3.1.1. Beskrivelsen af den fejl minder i høj grad om den, der netop er blevet rettet: "A heap buffer overflow exists in Recovery Mode command parsing".
Apple har også tidligere haft problemer med iPhonens password-funktion. I august 2008 opdagede en analytiker, at Apple havde glemt at rette en fejl, det gjorde det muligt for andre at få adgang til telefonen, hvis bare de skrev 'nødopkald' på password-skærmen og dobbeltklikkede på Home-knappen. Den fejl blev rettet i januar 2008 men dukkede op igen i iPhone 2.0, hvorefter Apple måtte rette den igen.
De fire andre sårbarheder, der bliver rettede i denne uges opdatering, er til gengæld ikke nævneværdige, siger Andrew Storms.
"Det er et godt tegn, at der ikke er flere," mener han. "Og vi ser heller ingen forfærdelige WebKit-sårbarheder, der kan udnyttes via hjemmesider."
WebKit er den open source-baserede browsermaskine, som Apple bruger til at køre Safari på iPhone og iPod Touch.
En af de to WebKit-sårbarheder handler om, hvordan browser-maskinen håndterer eksterne HTML 5-ressourcer som for eksempel billeder eller videofiler.
"Afsenderen af en HTML-formateret e-mail vil kunne udnytte dette til at se, hvorvidt beskeden er blevet læst," står der i Apples beskrivelse.
"Det er et redskab til marketing eller spam," siger Andrew Storms, der sammenligner det med den praksis at sætte billeder ind i e-mails for at overvåge i hvor høj grad spam-meddelelser rent faktisk bliver læst.
Set i forhold til lanceringen af iPhone 3.1.3 - og Steve Jobs afsløring af Apples iPad for nylig - så regner Andrew Storms ikke med, at den næste opdatering til smartphonens firmware vil finde sted før engang til sommer, hvor der sandsynligvis vil blive udsendt en større opgradering i forbindelse med den nye iPhone.
"Det bliver senere på året, tror jeg," siger han.
Ifølge Apple forbedrer iPhone 3.1.3 desuden batteri-varslingens nøjagtighed på iPhone 3GS, ligesom den løser et problem, der nogle tilfælde har blokeret for tredjeparts-applikationer.
Ejere af iPhone og iPod Touch kan enten vente på den automatiske opdatering - iTunes søger efter opdateringer en gang om ugen - eller finde iPhone 3.1.3 selv ved hjælp af funktionen 'check for updates', der findes i iTunes' help-menu.
Oversat af Marie Dyekjær Eriksen
