有關 iOS 8.1.1 的安全性內容

本文說明 iOS 8.1.1 的安全性內容。

為保障客戶的安全，在進行完整調查並提供所有必要的修補程式或版本之前，Apple 不會揭露、討論或確認安全性問題。若要瞭解 Apple 產品安全性的更多相關資訊，請參閱 Apple 產品安全性網站。

如需 Apple 產品安全性 PGP 金鑰的相關資訊，請參閱「如何使用 Apple 產品安全性 PGP 金鑰」。

如有可能，CVE ID 會用來參考安全漏洞，以取得進一步資訊。

若要瞭解其他安全性更新，請參閱「Apple 安全性更新」。

iOS 8.1.1

• CFNetwork

  適用於：iPhone 4s 和後續機型、iPod touch（第 5 代）和後續機型、iPad 2 和後續機型

  影響：離開私密瀏覽後，網站快取可能無法完全清除

  說明：離開私密瀏覽後，瀏覽資料可能留在快取中，因而存在隱私問題。更改快取行為後，已解決此問題。

  CVE-ID

  CVE-2014-4460

• dyld

  適用於：iPhone 4s 和後續機型、iPod touch（第 5 代）和後續機型、iPad 2 和後續機型

  影響：本機使用者可能得以執行未簽署的程式碼

  說明：處理包含重疊區段之 Mach-O 執行檔的方式，有狀態管理的問題。改良區段大小的驗證流程後，已解決此問題。

  CVE-ID

  CVE-2014-4455：@PanguTeam

• 核心

  適用於：iPhone 4s 和後續機型、iPod touch（第 5 代）和後續機型、iPad 2 和後續機型

  影響：惡意應用程式可能以系統權限執行任意程式碼

  說明：處理 IOSharedDataQueue 物件的元資料欄位時有認證問題。移動元資料後，已解決此問題。

  CVE-ID

  CVE-2014-4461：@PanguTeam

• 鎖定畫面

  適用於：iPhone 4s 和後續機型、iPod touch（第 5 代）和後續機型、iPad 2 和後續機型

  影響：佔有裝置的攻擊者可能得以超過錯誤密碼嘗試次數上限

  說明：在某些情況下並未強制執行錯誤密碼嘗試限制。增加強制執行此項限制的機制後，已解決此問題。

  CVE-ID

  CVE-2014-4451：雪梨科技大學（University of Technology, Sydney）的 Stuart Ryan

• 鎖定畫面

  適用於：iPhone 4s 和後續機型、iPod touch（第 5 代）和後續機型、iPad 2 和後續機型

  影響：實際取得手機的人也許能存取「照片圖庫」中的照片

  說明：FaceTime 中的「留訊息」選項可能會允許檢視和傳送裝置的照片。狀態管理方式改善後，已解決此問題。

  CVE-ID

  CVE-2014-4463

• 沙箱描述檔

  適用於：iPhone 4s 和後續機型、iPod touch（第 5 代）和後續機型、iPad 2 和後續機型

  影響：惡意應用程式可能會在受信任的裝置上啟動任意二進位

  說明：iOS 除錯功能有權限問題，可能導致應用程式產生在未除錯的受信任裝置上。更改除錯伺服器的沙箱功能後，已解決此問題。

  CVE-ID

  CVE-2014-4457：@PanguTeam

• Spotlight

  適用於：iPhone 4s 和後續機型、iPod touch（第 5 代）和後續機型、iPad 2 和後續機型

  影響：在 Spotlight 或 Safari 與「Spotlight 建議」伺服器之間的初始連線包含不必要的資訊

  說明：在使用者輸入查詢之前，Spotlight 或 Safari 對「Spotlight 建議」伺服器發出的初始連線即包括使用者的約略位置。從初始連線移除此資訊並僅傳送使用者的約略位置做為查詢的一部分後，已解決此問題。

  CVE-ID

  CVE-2014-4453：Ashkan Soltani

• WebKit

  適用於：iPhone 4s 和後續機型、iPod touch（第 5 代）和後續機型、iPad 2 和後續機型

  影響：參訪惡意製作的網站可能導致應用程式意外終止或執行任意程式碼

  說明：WebKit 有多個記憶體損毀問題。改進記憶體處理機制後，已解決這些問題。

  CVE-ID

  CVE-2014-4452

  CVE-2014-4462

部分國家或地區可能不提供 FaceTime 服務。