Obsah zabezpečenia v systéme iOS 8.1.1
V tomto dokumente sa popisuje obsah zabezpečenia v systéme iOS 8.1.1.
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke Apple Product Security.
Informácie o kľúči PGP na zabezpečenie produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP na zabezpečenie produktov spoločnosti Apple.
Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.
Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.
iOS 8.1.1
CFNetwork
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dôsledok: Po vypnutí anonymného prezerania sa vyrovnávacia pamäť webových stránok nemusí úplne vymazať
Popis: Existoval problém s ochranou súkromia, v dôsledku ktorého mohli dáta uložené pri prezeraní zostať vo vyrovnávacej pamäti po vypnutí anonymného prezerania. Tento problém bol vyriešený zmenou správania pri používaní vyrovnávacej pamäte.
CVE-ID
CVE-2014-4460
dyld
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dôsledok: Lokálny používateľ môže spustiť nepodpísaný kód
Popis: Pri spracovaní spustiteľných súborov Mach-O s prekrývajúcimi sa segmentmi sa vyskytoval problém so správou stavu. Tento problém bol vyriešený vylepšením overovania veľkostí segmentov.
CVE-ID
CVE-2014-4455: @PanguTeam
Jadro
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dôsledok: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni systému
Popis: Pri spracovávaní určitých polí metadát objektov IOSharedDataQueue dochádzalo k problému s overením. Tento problém bol vyriešený zmenou umiestnenia metadát.
CVE-ID
CVE-2014-4461: @PanguTeam
Zamknutá plocha
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dôsledok: Útočník s prístupom k zariadeniu môže prekročiť maximálny počet neúspešných pokusov o zadanie hesla
Popis: V niektorých prípadoch sa neuplatňoval limit neúspešných pokusov o zadanie hesla. Tento problém bol vyriešený prísnejším uplatňovaním tohto limitu.
CVE-ID
CVE-2014-4451: Stuart Ryan z Technologickej univerzity v Sydney
Zamknutá plocha
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dôsledok: Osoba s fyzickým prístupom k telefónu môže získať prístup k fotkám vo Fotoknižnici
Popis: Možnosť Zanechať správu v aplikácii FaceTime umožňovala zobrazenie fotiek v zariadení a ich odosielanie. Tento problém bol vyriešený vylepšením správy stavu.
CVE-ID
CVE-2014-4463
Profily izolovaného priestoru
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dôsledok: Aplikácia so škodlivým kódom môže spúšťať ľubovoľné binárne súbory v dôveryhodnom zariadení
Popis: Vo funkcii ladenia pre systém iOS dochádzalo k problému s povoleniami, v dôsledku ktorého bolo možné spúšťať aplikácie v dôveryhodných zariadeniach, ktoré sa práve neladili. Tento problém bol vyriešený zmenami v izolovanom priestore servera ladenia.
CVE-ID
CVE-2014-4457: @PanguTeam
Spotlight
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dôsledok: V rámci úvodného pripojenia medzi aplikáciou Spotlight alebo Safari a servermi návrhov funkcie Spotlight sa odosielajú nepotrebné informácie
Popis: V rámci úvodného pripojenia aplikácie Spotlight alebo Safari k serverom návrhov funkcie Spotlight sa odosielali informácie o približnej polohe používateľa ešte predtým, než používateľ zadal dotaz. Tento problém bol vyriešený odstránením týchto informácií z úvodného pripojenia a odosielaním informácií o približnej polohe používateľa len v rámci dotazov.
CVE-ID
CVE-2014-4453: Ashkan Soltani
WebKit
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dôsledok: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: V mechanizme WebKit dochádzalo k viacerým problémom s poškodením pamäte. Tieto problémy boli vyriešené vylepšením spracovania pamäte.
CVE-ID
CVE-2014-4452
CVE-2014-4462
Služba FaceTime nie je k dispozícii vo všetkých krajinách alebo oblastiach.
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.