« 29. Juni 2008 - 5. Juli 2008 | Start | 13. Juli 2008 - 19. Juli 2008 »
12.07.2008
Pwnage 2.0: Jailbreak und Unlock für iPhone OS 2.0 [Update_2]
Noch nicht an diesem Wochenende, doch schon "bald" soll Pwnage 2.0 veröffentlicht werden, wie das iPhone-Dev-Team im eigenen Blog verkündet. Seit Tagen wirft das Entsperr-Tool seinen Schatten bereits voraus und wird somit schon "bald" den einfachen Jailbreak der iPhone 2.0-Software erlauben.
Besonders reizvoll ist Pwnage 2.0 auch für Besitzer von entsperrten alten iPhones, die mit dem in obigem Video gezeigten BootNeuter 2.0 gemütlich auf den aktuellsten Stand gelangen. Offen bleibt somit nur, wann der Unlock für das iPhone 3G folgt, denn der fehlt im munteren Videoreigen des iPhone-Dev-Teams weiterhin. (Danke an alle Tippgeber!)
Update 13.07.08: Previously on Dev-Team-Soap: Geohot glaubt, dass es bislang noch keinen bekannten Exploit für das iPhone 3G gibt, mit dessen Hilfe sich ein Beseitigen des Netlocks bewerkstelligen ließe. Zugleich "droht" er mit der Veröffentlichung eines eigenen Jailbreak-Tools, wenn Pwnage nicht bis Mitte nächster Woche erscheinen sollte. Die Reaktion des iPhone-Dev-Teams: Das PwnageTool wird erst veröffentlicht, wenn es auch wirklich fertig ist. (Danke, Sebastian!)
Update 20.07.08: PwnageTool 2.0 wurde inzwischen veröffentlicht.
Posted by Leo at 21:36 | Permalink | Kommentare (43) | TrackBack (2)
MobileMe: kleiner Pushtest mit iPhone 3G, iPod touch und Safari (Video) [Update_2]
E-Mails, Kontakte und Kalender(einträge) - das sind die drei Dinge, die MobileMe derzeit zu pushen vermag. E-Mails kommen praktisch live auf iPhone oder iPod touch an, Kontakte lassen sich ebenfalls schnell abgleichen und auch mit den Ereignissen funktioniert es gut, zumindest was den Abgleich zwischen mobilen Geräten und me.com angeht (siehe Video). Etwas hinterher hängen die MobileMe-Webapplikationen selbst, wenn man sie nicht durch einen Reload zum Erneuern zwingt.
Im Anschluss an obiges Video dauerte es übrigens noch gut 2-3 Minuten, um den Termin auch aus dem Browser (automatisch) verschwinden zu lassen.
Merkwürdig wird es aber bei den Desktop-Applikationen, denn dort pusht aktuell gar nichts - weder empfängt Mail.app E-Mails sofort/live noch geraten neue Adressbuch- und Kalendereinträge direkt in ihr jeweiliges Programm - nur der schon lange bekannte .mac/MobileMe-Sync schaufelt dafür im Intervall nach Wahl (oder "automatisch") die neuen Daten heran.
Entweder ich habe hier etwas grundlegend falsch verstanden, falsch konfiguriert, oder die Push-Seite betrifft tatsächlich nur iPhone/iPod touch und die MobileMe-WebApps.
Update 13.07.08 13:00 Uhr: Meine Konfiguration wurde übrigens exakt nach der MobileMe-Setup-Anleitung vorgenommen, dort kann also der fehlende Push zu den Desktop-Apps nicht liegen.
In einem Supportdokument listet Apple als Problem auf, dass trotz der Auswahl von 'Automatisch' in den .Mac/MobileMe-Sync-Einstellungen Änderungen nicht sofort zurück zu MobileMe übertragen werden. Die aufgeführte "Lösung" für das Problem ist allerdings keine: Apple schreibt derzeit nur, dass bei der Auswahl von 'Automatisch' die Änderungen von MobileMe sofort am Mac ankommen sollen (was sie jedoch nicht tun, siehe oben) und Änderungen, die am Rechner selbst vorgenommen werden (in den Desktop-Apps) nur alle 15 Minuten (bzw. jede Stunde unter 10.4.11) mit der 'MobileMe-Wolke' abgeglichen werden. «This document will be updated as more information becomes available.» (Danke, der_ich!)
Update_2 14.07.08 12:50 Uhr: Siehe auch 'Sync statt Push: Apple ändert MobileMe-Seiten'.
Posted by Leo at 15:40 | Permalink | Kommentare (65) | TrackBack (0)
iPhone 2.0 Softwareupdate für den iPod touch: Nun aber wirklich
Ohne es verschrecken oder gar (wieder) verschwinden lassen zu wollen: Das "iPhone 2.0 Softwareupdate" steht jetzt wirklich, richtig und wahrhaftig für den iPod touch bereit, zumindest exakt in diesem Moment (und hoffentlich darüber hinaus).
Es wiegt 222,6 Megabyte und kann entweder bei einem angeschlossenen iPod touch in iTunes 7.7 angefordert werden, oder ist über den iTunes Store (iTunes-Link) für 8 Euro ebenfalls zu haben.
Das 2.0er-Softwareupdate ist Voraussetzung für App Store, MobileMe-Push-Anbindung und stopft etliche Sicherheitslücken.
Die Installation nimmt etwas Zeit in Anspruch - kein Grund für Verwunderung also, wenn es gut 5-10 Minuten bis zur Wiederherstellung dauern sollte. (Danke an alle Tippgeber!)
Posted by Leo at 08:28 | Permalink | Kommentare (84) | TrackBack (1)
11.07.2008
Mac OS X Update für Mobile Me - Version 1.1 nachgeschoben [Update]
In der Softwareaktualisierung findet sich Version 1.1 des Mac OS X-Updates für MobileMe. Der Beipackzettel ist derselbe geblieben, es «wird allen Benutzer von Mac OS X Leopard 10.5.4 empfohlen» und «umfasst allgemeine Verbesserungen für den Übergang zu MobileMe». Spezifische Neuerungen von Version 1.1 werden nicht genannt. 8,3MB groß, kein Neustart erforderlich. (Danke, Sebastian!)
Update: Das Update erscheint offenbar nur nach einem mysteriösen Zufallsprinzip.
Update_2 13.07.08 13:10 Uhr: Das Update erschien bei mir automatisch auf zwei Macs, bei denen vorher Version 1.0 bereits installiert war (bei einem manuell nach Direktdownload von Apples Servern). In den Kommentaren wird berichtet, dass weiterhin helfen kann, die .mac-Systemeinstellungen zu öffnen und dort etwas Zeit zu verbringen, dann sollte das Update eigentlich automatisch angeboten werden. Manch anderer schaffte es damit, sich bei .mac ab- und wieder anzumelden.
Posted by Leo at 21:28 | Permalink | Kommentare (56) | TrackBack (0)
iPhone 2.0 und iPod touch 2.0 stopft etliche Sicherheitslücken
Eine ganze Reihe von Schwachstellen schlummern in iPhone und iPod touch bis hin zu Version 1.1.4, überwiegend vertreten in Safari sowie WebKit und mehrere davon können durch den Aufruf einer darauf ausgelegten Webseite zum Einschleusen von Schadcode genutzt werden.
iPhone OS 2.0 beseitigt diese Sicherheitslücken und ist schon deshalb als umgehendes Update angeraten, falls Apples Server das heute noch bewältigen sollten. Dass für iPod touch-Nutzer die offenen Lücken nur durch die Zahlung von 8 Euro behoben werden, erscheint dabei etwas abstrus.
Die behobenen Sicherheitslücken im Anschluss in voller Länge.
CFNetwork
CVE-ID: CVE-2008-0050
Available for: iPhone v1.0 through v1.1.4,
iPod touch v1.1 through v1.1.4
Impact: A malicious proxy server may spoof secure websites
Description: A malicious HTTPS proxy server may return arbitrary
data to CFNetwork in a 502 Bad Gateway error, which could allow a
secure website to be spoofed. This update addresses the issue by not
returning the proxy-supplied data on an error condition.
Kernel
CVE-ID: CVE-2008-0177
Available for: iPhone v1.0 through v1.1.4,
iPod touch v1.1 through v1.1.4
Impact: A remote attacker may be able to cause an unexpected device
reset
Description: An undetected failure condition exists in the handling
of packets with an IPComp header. Sending a maliciously crafted
packet to a system configured to use IPSec or IPv6 may cause an
unexpected device reset. This update addresses the issue by properly
detecting the failure condition.
Safari
CVE-ID: CVE-2008-1588
Available for: iPhone v1.0 through v1.1.4,
iPod touch v1.1 through v1.1.4
Impact: Unicode ideographic spaces may be used to spoof a website
Description: When Safari displays the current URL in the address
bar, Unicode ideographic spaces are rendered. This allows a
maliciously crafted website to direct the user to a spoofed site that
visually appears to be a legitimate domain. This update addresses the
issue by not rendering Unicode ideographic spaces in the address bar.
Safari
CVE-ID: CVE-2008-1589
Available for: iPhone v1.0 through v1.1.4,
iPod touch v1.1 through v1.1.4
Impact: Visiting a maliciously crafted website may lead to the
disclosure of sensitive information
Description: When Safari accesses a website that uses a self-signed
or invalid certificate, it prompts the user to accept or reject the
certificate. If the user presses the menu button while at the prompt,
then on the next visit to the site, the certificate is accepted with
no prompt. This may lead to the disclosure of sensitive information.
This update addresses the issue through improved handling of
certificates. Credit to Hiromitsu Takagi for reporting this issue.
Safari
CVE-ID: CVE-2008-2303
Available for: iPhone v1.0 through v1.1.4,
iPod touch v1.1 through v1.1.4
Impact: Visiting a maliciously crafted website may lead to an
unexpected application termination or arbitrary code execution
Description: A signedness issue in Safari's handling of JavaScript
array indices may result in an out-of-bounds memory access. Visiting
a maliciously crafted website may lead to an unexpected application
termination or arbitrary code execution. This update addresses the
issue by performing additional validation of JavaScript array
indices. Credit to SkyLined of Google for reporting this issue.
Safari
CVE-ID: CVE-2006-2783
Available for: iPhone v1.0 through v1.1.4,
iPod touch v1.1 through v1.1.4
Impact: Visiting a maliciously crafted website may lead to cross-
site scripting
Description: Safari ignores Unicode byte order mark sequences when
parsing web pages. Certain websites and web content filters attempt
to sanitize input by blocking specific HTML tags. This approach to
filtering may be bypassed and lead to cross-site scripting when
encountering maliciously-crafted HTML tags containing byte order mark
sequences. This update addresses the issue through improved handling
of byte order mark sequences. Credit to Chris Weber of Casaba
Security, LLC for reporting this issue.
Safari
CVE-ID: CVE-2008-2307
Available for: iPhone v1.0 through v1.1.4,
iPod touch v1.1 through v1.1.4
Impact: Visiting a maliciously crafted website may lead to an
unexpected application termination or arbitrary code execution
Description: A memory corruption issue exists in WebKit's handling
of JavaScript arrays. Visiting a maliciously crafted website may lead
to an unexpected application termination or arbitrary code execution.
This update addresses the issue through improved bounds checking.
Credit to James Urquhart for reporting this issue.
Safari
CVE-ID: CVE-2008-2317
Available for: iPhone v1.0 through v1.1.4,
iPod touch v1.1 through v1.1.4
Impact: Visiting a maliciously crafted website may lead to an
unexpected application termination or arbitrary code execution
Description: A memory corruption issue exists in WebCore's handling
of style sheet elements. Visiting a maliciously crafted website may
lead to an unexpected application termination or arbitrary code
execution. This update addresses the issue through improved garbage
collection. Credit to Peter Vreudegnhil working with the TippingPoint
Zero Day Initiative for reporting this issue.
Safari
CVE-ID: CVE-2007-6284
Available for: iPhone v1.0 through v1.1.4,
iPod touch v1.1 through v1.1.4
Impact: Processing an XML document may lead to a denial of service
Description: A memory consumption issue exists in the handling of
XML documents containing invalid UTF-8 sequences, which may lead to a
denial of service. This update addresses the issue by updating the
libxml2 system library to version 2.6.16.
Safari
CVE-ID: CVE-2008-1767
Available for: iPhone v1.0 through v1.1.4,
iPod touch v1.1 through v1.1.4
Impact: Processing an XML document may lead to an unexpected
application termination or arbitrary code execution
Description: A memory corruption issue exists in the libxslt
library. Viewing a maliciously crafted HTML page may lead to an
unexpected application termination or arbitrary code execution.
Further information on the patch applied is available via the
xmlsoft.org website http://xmlsoft.org/XSLT/ Credit to Anthony de
Almeida Lopes of Outpost24 AB, and Chris Evans of Google Security
Team for reporting this issue.
WebKit
CVE-ID: CVE-2008-1590
Available for: iPhone v1.0 through v1.1.4,
iPod touch v1.1 through v1.1.4
Impact: Visiting a maliciously crafted website may lead to an
unexpected application termination or arbitrary code execution
Description: A memory corruption issue exists in JavaScriptCore's
handling of runtime garbage collection. Visiting a maliciously
crafted website may lead to an unexpected application termination or
arbitrary code execution. This update addresses the issue through
improved garbage collection. Credit to Itzik Kotler and Jonathan Rom
of Radware for reporting this issue.
WebKit
CVE-ID: CVE-2008-1025
Available for: iPhone v1.0 through v1.1.4,
iPod touch v1.1 through v1.1.4
Impact: Accessing a maliciously crafted URL may result in cross-site
scripting
Description: An issue exists in WebKit's handling of URLs containing
a colon character in the host name. Accessing a maliciously crafted
URL may lead to a cross-site scripting attack. This update addresses
the issue through improved handling of URLs. Credit to Robert Swiecki
of the Google Security Team, and David Bloom for reporting this
issue.
WebKit
CVE-ID: CVE-2008-1026
Available for: iPhone v1.0 through v1.1.4,
iPod touch v1.1 through v1.1.4
Impact: Viewing a maliciously crafted web page may lead to an
unexpected application termination or arbitrary code execution
Description: A heap buffer overflow exists in WebKit's handling of
JavaScript regular expressions. The issue may be triggered via
JavaScript when processing regular expressions with large, nested
repetition counts. This may lead to an unexpected application
termination or arbitrary code execution. This update addresses the
issue by performing additional validation of JavaScript regular
expressions. Credit to Charlie Miller of Independent Security
Evaluators for reporting this issue.
Posted by Leo at 19:18 | Permalink | Kommentare (26) | TrackBack (0)
Handbücher für iPhone (3G) und iPod touch mit iPhone 2.0-Software
Man beachte den Kamera-Zusatz: "on back"
Vielleicht wären die Handbücher für iPhone (14MB PDF) und iPod touch mit iPhone-Software 2.0 (11MB PDF) gute Lektüre, um die durch iTunes' Unwillen ausgelöste Wartezeit zu verkürzen, doch da auch die zwei PDF-Dateien auf Apples Servern liegen, wird man sich für die weitere Wartezeit wiederum andere Lektüre suchen müssen.
Die Zusammenfassung von iPhone und iPhone 3G in ein Handbuch unterstreicht jedenfalls: Hardware-Neuerungen minimal, Software entscheidend.
Zusätzlich stehen die im deutschen mit einem Hauch von Unanständigkeit versehenen Finger-Tips für 2.0 bereit (1MB PDF) sowie ein Enterprise Deployment Guide für beide Multitouch-Geräte (800KB PDF).
Posted by Leo at 19:08 | Permalink | Kommentare (6) | TrackBack (0)
T-Mobile: Mehr als 15.000 iPhone 3G verkauft
iPhone-René erklärt: «Nämlich UMTS-Geschwindigkeit ist jetzt drin.»
Über 15.000 iPhone 3G wurden bis zum Nachmittag heute in Deutschland verkauft. Dies verkündete T-Mobile soeben per Pressemeldung.
«Zahlreiche Telekom Shops sind bereits im Laufe des ersten Verkaufstages ausverkauft. T-Mobile unternimmt alle Anstrengungen, um die Zeit der knappen Verfügbarkeit möglichst kurz zu halten und rechnet mit wöchentlichen Nachlieferungen des begehrten Mobiltelefons.»
Zum novemberlichen Marktstart 2007 verkaufte T-Mobile im praktisch gleichen Zeitraum 10.000 iPhones.
[Dieser Artikel erschien auch im 01blog (powered by CeBIT), für das ich momentan als Autor tätig bin]
Posted by Leo at 17:12 | Permalink | Kommentare (25) | TrackBack (1)
OS X iPhone 2.0 für iPhone und iPod touch offiziell verfügbar [Update_2]
Inzwischen steht über iTunes 7.7 das iPhone 2.0 Softwareupdate bereit. Der Updatecheck verweist bereits auch auf die "iPod-Softwareversion" 2.0 für den iPod touch, nur der iTunes-Link führt vorerst ins Leere. Version 2.0 kostet für den iPod touch 7,99 Euro, das Update ist für iPhone-Besitzer kostenlos. (Danke an alle Tippgeber!)
Update 14:50 Uhr: Die offizielle Fassung für das iPhone hat zwar ebenso wie die gestern entfleuchte Version Buildnummer 5A347 allerdings ist sie mit der Bezeichnung iPhone1,1 versehen (beim Download mit einem "alten" iPhone) und rund sieben Megabyte kleiner (die Größendifferenz könnte aus den fehlenden 'MobileDeviceCarrierBundles' resultieren, die für das alte iPhone nicht vonnöten sind). Möglicherweise war die gestrige Fassung deshalb speziell für das iPhone 3G (iPhone1,2) zugeschnitten, das mit Build 5A345 ausgeliefert wird, der wiederum identisch mit Build 5A347 ist. Ob es durch die Installation derselbigen auf einem Ur-iPhone zu Problemen kommen kann, bleibt unklar. (Danke, Olaf und Sebastian!)
Update_2 16:50 Uhr: Wer etwas Geduld übrig hat, sollte sich von iTunes lösen, einen weiten Bogen um MobileMe machen und überhaupt apple.com meiden - denn es hakt weiterhin hinten und vorne und oben und unten. Selbst wer es fertiggebracht hat, das iPhone-Update zu laden bleibt möglicherweise bei der Aktivierung hängen, weil Apples Server auch dort derzeit nicht wirklich mitspielen.
Posted by Leo at 14:32 | Permalink | Kommentare (357) | TrackBack (2)
iPhone 3G: Auslieferung und Kauf - wie läufts?
Nach den E-Mails zu urteilen, die hier eintrudeln lässt sich die Frage mit "wirr" beantworten. Manch einer packt gerade fröhlich sein frisch erstandenes iPhone 3G aus, während andere sich über leergekaufte T-Punkte wundern müssen, in denen komplette Lieferungen bereits an Vorbesteller gegangen sind - und das obwohl vielen Kunden mitgeteilt wurde, es gäbe überhaupt keine Vorbestellungsmöglichkeit. Insgesamt erhielten zahlreiche T-Punkte offenbar nur sehr kleine iPhone 3G-Mengen während andere Händler gar nicht erst damit beliefert wurden. "Erleben, was verbindet" eben.
Und T-Mobile-Bestandskunden, die schon vom heiß diskutierten Upgrade-Angebot verärgert wurden, kamen vielerorts gar nicht erst zum Zug, wie z.B. bei Spreeblick nachzulesen: «Das Vorgehen, dass die Geschäftsführerin des T-Punktes zuerst als Anweisung von Apple, dann als Anweisung der Konzernleitung von T-Mobile bezeichnete: Wer heute morgen in einem T-Punkt stand und eines der im Laden vorhandenen iPhones mit einer Vertragsverlängerung mitnehmen wollte, konnte im Gegensatz zu Neukunden nur eine (ggf. erneute) Vorbestellung durchführen. Und: „Da können Sie jetzt bis 20 Uhr hier rumstehen und diskutieren, ich habe meine Anweisungen und an die halte ich mich“, so die Geschaftsführerin weiter.»
Der für T-Mobile tätige Lieferdienst DirektExpress hat derweil alle Hände voll zu tun und rief mindestens einen Leser in der leisen Hoffnung an, die Auslieferung auf Samstag verschieben zu können - was verständlicherweise auf wenig Gegenliebe stieß.
In Freising kam es dafür zu tumultartigen Szenen:
Danke für die Fotos, CK!
Und ab heute kann das iPhone 3G übrigens auch über T-Mobile "For Friends" bestellt werden. Wer einen Telekom-Mitarbeiter im eigenen Umfeld auffindet, spart monatlich 15% (ab Complete M). Derzeit werden dort rund 5 Tage bis zur Auslieferung genannt.
Danke für alle Zuschriften und Hinweise!
Wie sieht es bei euch aus? Online-Vorbestellung angeliefert? iPhone 3G erfolgreich im Geschäft erkämpft?
Posted by Leo at 11:36 | Permalink | Kommentare (132) | TrackBack (2)
iPhone 3G: Kein Dock-Adapter, schwächerer Akku? [Update: Bluetooth-Headset]
Beim iPhone 3G sparte Apple nicht nur am Dock, sondern es liegen erstmals auch keine Dock-Adapter mehr bei (Danke, Olaf!).
Wer sein iPhone 3G gerne in einer anderen beliebigen iPod- oder iPhone-Dockingstation verwenden möchte, dem bleibt nur der zusätzliche Kauf der Dock-Adapter (3 Stück für 7 Euro*) übrig. Natürlich kann man das iPhone auch ohne Adapter in manches Dock stopfen, dauerhaft empfehlenswert ist dies allerdings nicht.
Auch das neue Dock für das iPhone 3G kann nun für 25 Euro im Apple Store* hinzubestellt werden (Danke für die Hinweise!).
Update 12:20 Uhr: Das "Apple iPhone Bluetooth Headset" kostet neuerdings 79 Euro*, Dual-Dock ist allerdings nicht mehr dabei.
Das iPhone 3G lädt übrigens nicht mehr über FireWire-basierte Stromquellen, wie Apple in einem Supportdokument vermerkt. Manch altes Accessoire bedient sich dieses Weges und wird deshalb das iPhone 3G nicht laden (z.B. alte SoundDocks).
Foto: iFixit.
Interessante Akku-Funde außerdem von iFixit, die das iPhone 3G bereits haarklein zerlegten: Erfreulicherweise ist der iPhone-Akku nicht mehr gelötet, damit sollten Bastelwillige diesen auch (nach Ablauf der Garantie) sorglos selbst austauschen können. Aber offenbar verbaut Apple konträr zu allen bisherigen Vermutungen einen "schwächeren" Akku im iPhone 3G - laut Teilenummer könnte der neue 1150 mAh umfassen während die Ladungsmenge im ursprünglichen iPhone-Akku 1400 mA betrug. Welche Konsequenzen dies - sollte sich die Information bestätigen - im Alltagseinsatz hat, werden erst ausführliche Vergleiche zeigen, die den Mehrverbrauch von UMTS-Netz und Push-Anbindung ausklammern.
* Affiliate-Link: Wer über diesen Link im Apple Store bestellt, unterstützt das fscklog mit einem kleinen Prozentsatz des (unveränderten) Kaufpreises.
Posted by Leo at 09:46 | Permalink | Kommentare (11) | TrackBack (0)
