iOS 8.1.1 のセキュリティコンテンツについて

iOS 8.1.1 のセキュリティコンテンツについて説明します。

Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては こちら を参照してください。

Apple Product Security PGP キーについては こちらの記事 を参照してください。

CVE ID を使って脆弱性を調べることもできます。

その他のセキュリティアップデートについては、こちらの記事を参照してください。

iOS 8.1.1

  • CFNetwork

    対象となるデバイス:iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:プライベートブラウズを終了した後に、Web サイトのキャッシュが完全に消去されない場合がある。

    説明:プライベートブラウズを終了した後もキャッシュにブラウジングのデータが残るというプライバシーの問題が存在します。この問題は、キャッシュの動作を変更することで解決されました。

    CVE-ID

    CVE-2014-4460

  • dyld

    対象となるデバイス:iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:ローカルユーザが署名されていないコードを実行する可能性がある。

    説明:セグメントが重複している Mach-O 実行可能ファイルの処理にステータス管理の問題が存在します。この問題は、セグメントサイズの検証を強化することで解決されました。

    CVE-ID

    CVE-2014-4455:@PanguTeam

  • カーネル

    対象となるデバイス:iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:悪意のあるアプリケーションにシステム権限を取得され、任意のコードを実行される可能性がある。

    説明:IOSharedDataQueue オブジェクトの特定のメタデータフィールドの処理に、検証の脆弱性が存在します。この問題は、メタデータを再配置することで解決されました。

    CVE-ID

    CVE-2014-4461:@PanguTeam

  • ロック画面

    対象となるデバイス:iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:デバイスの操作が可能な攻撃者が、パスコードの入力試行回数制限を回避できる可能性がある。

    説明:特定の状況において、パスコードの入力試行回数の制限が適用されない場合があります。この問題は、この制限の適用を強化することで解決されました。

    CVE-ID

    CVE-2014-4451:シドニー工科大学の Stuart Ryan 氏

  • ロック画面

    対象となるデバイス:iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:携帯電話に物理的に触れることのできる人が、フォトライブラリ内の写真にアクセスできる可能性がある。

    説明:FaceTime の「メッセージを残す」オプションを使って、デバイスの写真を表示したり送信したりできる可能性があります。この問題はステータス管理を改善したことで解消されました。

    CVE-ID

    CVE-2014-4463

  • サンドボックスプロファイル

    対象となるデバイス:iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:信頼できるデバイス上で悪意のあるアプリケーションに任意のバイナリを起動される可能性がある。

    説明:iOS 向けのデバッグ機能にアクセス権の脆弱性が存在し、デバッグが実行中でない信頼済みのデバイス上で悪意のあるアプリケーションを介してバイナリを実行される可能性があります。この問題は、デバッグサーバのサンドボックスに変更を加えることで解決されました。

    CVE-ID

    CVE-2014-4457:@PanguTeam

  • Spotlight

    対象となるデバイス:iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:Spotlight または Safari から Spotlight 検索候補サーバへの初回接続の確立時に不要な情報が送信される。

    説明:ユーザが検索条件を入力する前の、Spotlight または Safari から Spotlight 検索候補サーバへの初回接続の確立時点で、ユーザのおおよその位置情報が送信されています。この問題は、初回接続時に送信されるデータから該当する情報を削除し、ユーザのおおよその位置情報は検索条件の一部としてのみ送信することで解決されました。

    CVE-ID

    CVE-2014-4453:Ashkan Soltani

  • WebKit

    対象となるデバイス:iPhone 4s 以降、iPod touch (第 5 世代) 以降、iPad 2 以降

    影響:悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

    説明:WebKit にメモリ破損の脆弱性が複数存在します。この問題はメモリ処理を改善することで解決されました。

    CVE-ID

    CVE-2014-4452

    CVE-2014-4462

国または地域によっては FaceTime を利用できない場合があります。

Apple が製造していない製品に関する情報や、Apple が管理または検証していない個々の Web サイトについては、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選択、性能、使用に関しては一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性についてはいかなる表明もいたしません。詳しくは各メーカーや開発元にお問い合わせください。

公開日: