Over de beveiligingsinhoud van iOS 8

In dit artikel wordt de beveiligingsinhoud van iOS 8 beschreven.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.

Raadpleeg Hoe gebruikt je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg Apple beveiligingsupdates

iOS 8

  • 802.1X

    Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: een aanvaller kan wifi-inloggegevens bemachtigen

    Beschrijving: een aanvaller kan zich voordoen als een wifitoegangspunt, aanbieden om zich te verifiëren met LEAP, de MS-CHAPv1-hash breken en de afgeleide inloggegevens gebruiken om zich te verifiëren bij het beoogde toegangspunt, zelfs als dat toegangspunt sterkere verificatiemethoden ondersteunt. Dit probleem is verholpen door LEAP standaard uit te schakelen.

    CVE-ID

    CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax en Wim Lamotte van Universiteit Hasselt

  • Accounts

    Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: een kwaadaardig programma kan mogelijk de Apple ID van de gebruiker identificeren

    Beschrijving: er was een probleem met de logica voor toegangscontrole voor account. Een programma in een sandbox kan informatie krijgen over de iCloud-account die momenteel actief is, inclusief de naam van de account. Dit probleem is verholpen door de toegang tot bepaalde accounttypen vanaf onbevoegde programma's te beperken.

    CVE-ID

    CVE-2014-4423: Adam Weaver

  • Accessibility

    Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: het apparaat vergrendelt het scherm mogelijk tijdens het gebruik van AssistiveTouch

    Beschrijving: er was een probleem met de logica voor het afhandelen van activiteiten door AssistiveTouch, waardoor het scherm niet werd vergrendeld. Dit probleem is verholpen door een verbeterde verwerking van de timer van de vergrendelfunctie.

    CVE-ID

    CVE-2014-4368: Hendrik Bettermann

  • Accounts Framework

    Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: een aanvaller met toegang tot een iOS-apparaat heeft mogelijk toegang tot gevoelige informatie uit logbestanden

    Beschrijving: gevoelige gebruikersgegevens zijn vastgelegd in logboeken. Dit probleem is verholpen door minder gegevens in logbestanden op te nemen.

    CVE-ID

    CVE-2014-4357: Heli Myllykoski van OP-Pohjola Group

  • Address Book

    Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: iemand met fysieke toegang tot een iOS-apparaat kan mogelijk het adresboek lezen

    Beschrijving: het adresboek was versleuteld met een sleutel die alleen werd beschermd door de hardware-UID. Dit probleem is verholpen door het adresboek te versleutelen met een sleutel die wordt beschermd door de UID van de hardware en de toegangscode van de gebruiker.

    CVE-ID

    CVE-2014-4352: Jonathan Zdziarski

  • App Installation

    Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: een lokale aanvaller kan mogelijk bevoegdheden verhogen en ongeverifieerde programma's installeren

    Beschrijving: er was een racevoorwaarde in Appinstallatie. Een aanvaller die naar /tmp kon schrijven, kon mogelijk een niet-geverifieerde app installeren. Dit probleem is verholpen door de te installeren bestanden in een andere map te plaatsen.

    CVE-ID

    CVE-2014-4386: evad3rs

  • App Installation

    Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: een lokale aanvaller kan mogelijk bevoegdheden verhogen en ongeverifieerde programma's installeren

    Beschrijving: er was een probleem met het doorlopen van paden in Appinstallatie. Een lokale aanvaller kon de validatie van de codeondertekening opnieuw gebruiken voor een andere bundel dan de bundel die werd geïnstalleerd en zo een niet-geverifieerde app installeren. Dit probleem is verholpen door 'path traversal' te detecteren en te voorkomen bij het bepalen van de te verifiëren codeondertekening.

    CVE-ID

    CVE-2014-4384: evad3rs

  • Assets

    Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: een aanvaller met een bevoorrechte netwerkpositie kan een iOS-apparaat mogelijk laten denken dat dit is bijgewerkt, ook als het dat niet is

    Beschrijving: er was een validatieprobleem bij de verwerking van de reactie op updatecontroles. Vervalste datums in reactieheaders 'Laatst gewijzigd' die werden ingesteld op een datum in de toekomst, werden gebruikt voor 'Indien gewijzigd sinds'-controles in latere updateverzoeken. Dit probleem is verholpen door validatie van de 'Laatst gewijzigd'-header.

    CVE-ID

    CVE-2014-4383: Raul Siles van DinoSec

  • Bluetooth

    Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: Bluetooth wordt onverwacht standaard ingeschakeld na een iOS-upgrade

    Beschrijving: Bluetooth werd automatisch ingeschakeld na een iOS-upgrade. Dit probleem is verholpen door Bluetooth enkel voor de updates van grotere of kleinere versies in te schakelen.

    CVE-ID

    CVE-2014-4354: Maneet Singh, Sean Bluestein

  • Certificate Trust Policy

    Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: update van het vertrouwensbeleid voor certificaten

    Beschrijving: het vertrouwensbeleid voor certificaten is bijgewerkt. De volledige lijst met certificaten vind je op https://support.apple.com/HT5012.

  • CoreGraphics

    Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: het openen van een kwaadwillig vervaardigd PDF-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was sprake van een overloop bij de verwerking van PDF-bestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2014-4377 Felipe Andres Manzano van Binamuse VRT in samenwerking met iSIGHT Partners GVP Program

  • CoreGraphics

    Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: het openen van een kwaadwillig vervaardigd PDF-bestand kan leiden tot het onverwacht beëindigen van het programma of openbaarmaking van gegevens

    Beschrijving: er was sprake van lezen van geheugen buiten het bereik bij de verwerking van PDF-bestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2014-4378 Felipe Andres Manzano van Binamuse VRT in samenwerking met iSIGHT Partners GVP Program

  • Data Detectors

    Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: door tikken op een FaceTime-koppeling in Mail werd zonder waarschuwing een FaceTime-audiogesprek gestart

    Beschrijving: Mail raadpleegde de gebruiker niet voor het starten van facetime-audio:// URL's. Dit probleem is verholpen door om bevestiging te vragen.

    CVE-ID

    CVE-2013-6835: Guillaume Ross

  • Foundation

    Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: een programma kan met behulp van NSXMLParser worden misbruikt om gegevens openbaar te maken

    Beschrijving: er was een probleem met een externe XML-entiteit bij het verwerken van XML door NSXMLParser. Dit probleem is verholpen door externe entiteiten niet over oorsprongen heen te laden.

    CVE-ID

    CVE-2014-4374: George Gal van VSR (http://www.vsecurity.com/)

  • Home & Lock Screen

    Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: een app op de achtergrond kan bepalen welke app op de voorgrond staat

    Beschrijving: de privé-API om te bepalen welke app op de voorgrond staat, had onvoldoende toegangscontrole. Dit probleem is verholpen door extra toegangscontrole.

    CVE-ID

    CVE-2014-4361: Andreas Kurtz van NESO Security Labs en Markus Troßbach van Heilbronn University

  • iMessage

    Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: bijlagen blijven mogelijk aanwezig nadat de iMessage of mms waar ze bij horen, is verwijderd

    Beschrijving: er was sprake van een racevoorwaarde in de wijze waarop bijlagen werden verwijderd. Dit probleem is verholpen door extra te controleren of een bijlage is verwijderd.

    CVE-ID

    CVE-2014-4353: Silviu Schiau

  • IOAcceleratorFamily

    Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer Impact: een programma kan een onverwachte beëindigen van het systeem veroorzaken Beschrijving: er was een null pointer-dereferentie bij de verwerking van IOAcceleratorFamily-API-argumenten. Dit probleem is verholpen door een verbeterde validatie van IOAcceleratorFamily API-contexten. CVE-IDCVE-2014-4369: Sarah aka winocm en Cererdlong van Alibaba Mobile Security Team

    Impact: An application may cause an unexpected system termination

    Description: A null pointer dereference existed in the handling of IOAcceleratorFamily API arguments. This issue was addressed through improved validation of IOAcceleratorFamily API arguments.

    CVE-ID

    CVE-2014-4369 : Sarah aka winocm and Cererdlong of Alibaba Mobile Security Team

    • Entry updated February 3, 2020

  • IOAcceleratorFamily

    Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: het apparaat kan onverwacht opnieuw worden gestart

    Beschrijving: er was een null pointer-dereferentie in het IntelAccelerator-stuurprogramma. Het probleem is verholpen door een verbeterde verwerking van fouten.

    CVE-ID

    CVE-2014-4373: cunzhang van Adlab van Venustech

  • IOHIDFamily

    Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: een kwaadaardig programma kan mogelijk kernel pointers lezen, wat kan worden gebruikt bij het omzeilen van de randomisatiebescherming voor de indeling van adresruimte

    Beschrijving: er was een probleem met lezen buiten het bereik bij de verwerking van een IOHIDFamily-functie. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2014-4379: Ian Beer van Google Project Zero

  • IOHIDFamily

    Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: een kwaadaardig programma kan mogelijk willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een heapbufferoverloop bij de verwerking van 'key-mapping'-eigenschappen door IOHIDFamily. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2014-4404 : Ian Beer van Google Project Zero

  • IOHIDFamily

    Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: een kwaadaardig programma kan mogelijk willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was sprake van een null pointer dereferentie bij de verwerking van 'key-mapping'-eigenschappen door IOAcceleratorFamily. Dit probleem is verholpen door een verbeterde validatie van 'key-mapping'-eigenschappen van IOHIDFamily.

    CVE-ID

    CVE-2014-4405 : Ian Beer van Google Project Zero

  • IOHIDFamily

    Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: een kwaadaardig programma kan mogelijk willekeurige code uitvoeren met kernelbevoegdheden

    Beschrijving: er was een probleem met schrijven buiten het bereik in de IOHIDFamily-kernelextensie. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2014-4380 : cunzhang van Adlab van Venustech

  • IOKit

    Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: een kwaadaardig programma kan niet-geïnitialiseerde gegevens uit het kernelgeheugen lezen

    Beschrijving: er was een probleem met een niet-geïnitialiseerde geheugentoegang bij de verwerking van IOKit-functies. Dit probleem is verholpen door een verbeterde geheugeninitialisatie

    CVE-ID

    CVE-2014-4407: @PanguTeam

  • IOKit

    Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: een kwaadaardig programma kan mogelijk willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een validatieprobleem bij de verwerking van bepaalde metagegevensvelden van IODataQueue-objecten. Dit probleem is verholpen door een verbeterde validatie van metadata.

    CVE-ID

    CVE-2014-4418: Ian Beer van Google Project Zero

  • IOKit

    Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: een kwaadaardig programma kan mogelijk willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een validatieprobleem bij de verwerking van bepaalde metagegevensvelden van IODataQueue-objecten. Dit probleem is verholpen door een verbeterde validatie van metadata.

    CVE-ID

    CVE-2014-4388: @PanguTeam

  • IOKit

    Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: een kwaadaardig programma kan mogelijk willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een overloop bij gehele getallen bij de verwerking van IOKit-functies. Dit probleem is verholpen door een verbeterde validatie van IOKit API-argumenten.

    CVE-ID

    CVE-2014-4389: Ian Beer van Google Project Zero

  • Kernel

    Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: een lokale gebruiker kan mogelijk de kernelgeheugenlay-out bepalen

    Beschrijving: er waren meerdere problemen met niet-geïnitialiseerd geheugen in de interface van netwerkstatistieken, wat leidde tot de vrijgave van geheugeninhoud. Dit probleem is verholpen door een extra geheugeninitialisatie.

    CVE-ID

    CVE-2014-4371: Fermin J. Serna van het Google Security Team

    CVE-2014-4419: Fermin J. Serna van het Google Security Team

    CVE-2014-4420: Fermin J. Serna van het Google Security Team

    CVE-2014-4421: Fermin J. Serna van het Google Security Team

  • Kernel

    Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: een persoon met een bevoorrechte netwerkpositie kan een denial of service veroorzaken

    Beschrijving: er trad een racevoorwaardefout op bij de verwerking van IPv6-pakketten. Dit probleem is verholpen door een verbeterde controle van de vergrendelde status.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Kernel

    Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: een lokale gebruiker kan mogelijk het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code veroorzaken

    Beschrijving: er was een double free-probleem bij de verwerking van Mach-poorten. Dit probleem is verholpen door een verbeterde validatie van Mach-poorten.

    CVE-ID

    CVE-2014-4375: een anonieme onderzoeker

  • Kernel

    Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: een lokale gebruiker kan mogelijk het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code veroorzaken

    Beschrijving: er was een probleem met lezen buiten het bereik in rt_setgate. Dit kan leiden tot de vrijgave van het geheugen of geheugenbeschadiging. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2014-4408

  • Kernel

    Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: sommige maatregelen voor het versterken van de kernel worden mogelijk omzeild

    Beschrijving: de generator voor willekeurige nummers die wordt gebruikt voor versterkende maatregelen in de kernel aan het begin van het opstartproces was cryptografisch niet veilig. Een deel van de uitvoer ervan was afleidbaar vanuit de gebruikersruimte, waardoor de versterkende maatregelen konden worden omzeild. Dit probleem is verholpen door een cryptografisch veilig algoritme te gebruiken.

    CVE-ID

    CVE-2014-4422: Tarjei Mandt van Azimuth Security

  • Libnotify

    Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: een kwaadaardig programma kan mogelijk willekeurige code uitvoeren met rootbevoegdheden

    Beschrijving: er was een probleem met schrijven buiten het bereik in Libnotify. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2014-4381: Ian Beer van Google Project Zero

  • Lockdown

    Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: een apparaat kan worden gemanipuleerd om ten onrechte het beginscherm weer te geven wanneer het activeringsslot is ingeschakeld

    Beschrijving: er was een probleem bij het ontgrendelen waarbij het apparaat doorging naar het beginscherm, zelfs als het door het activeringsslot vergrendeld hoorde te zijn. Dit is verholpen door de informatie te wijzigen die een apparaat tijdens het ontgrendelen verifieert.

    CVE-ID

    CVE-2014-1360

  • Mail

    Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: inloggegevens kunnen als gewone tekst worden verstuurd, zelfs als de server heeft gemeld dat hij LOGINDISABLED IMAP ondersteunt

    Beschrijving: Mail stuurde het commando LOGIN naar servers, zelfs als deze hadden gemeld dat zij LOGINDISABLED IMAP ondersteunden. Dit is met name zorgelijk wanneer verbinding wordt gemaakt met servers die zijn geconfigureerd om niet-versleutelde verbindingen te accepteren en aangeven dat zij LOGINDISABLED ondersteunen. Dit probleem is verholpen door de LOGINDISABLED IMAP-mogelijkheid te respecteren.

    CVE-ID

    CVE-2014-4366: Mark Crispin

  • Mail

    Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: een persoon met fysieke toegang tot een iOS-apparaat kan e-mailbijlagen lezen

    Beschrijving: er was een logisch probleem bij het gebruik van gegevensbeveiliging bij e-mailbijlagen in Mail. Dit probleem is verholpen door de gegevensbeveiliging voor e-mailbijlagen naar behoren in te stellen.

    CVE-ID

    CVE-2014-1348: Andreas Kurtz van NESO Security Labs

  • Profiles

    Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: stembediening wordt onverwacht ingeschakeld na een iOS-upgrade

    Beschrijving: stembediening werd onverwacht ingeschakeld na een iOS-upgrade. Dit probleem is verholpen door verbeterd statusbeheer.

    CVE-ID

    CVE-2014-4367: Sven Heinemann

  • Safari

    Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: inloggegevens van een gebruiker worden via de functie voor het automatisch invullen van gegevens mogelijk vrijgegeven aan een onbedoelde website

    Beschrijving: Safari heeft mogelijk gebruikersnamen en wachtwoorden automatisch ingevuld in een subframe uit een ander domein dan dat van het hoofdframe. Dit probleem is verholpen door een verbeterde brontracering.

    CVE-ID

    CVE-2013-5227: Niklas Malmgren van Klarna AB

  • Safari

    Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: een aanvaller met een bevoorrechte netwerkpositie kan gebruikersreferenties onderscheppen

    Beschrijving: opgeslagen wachtwoorden zijn automatisch ingevuld in http-websites, in https-websites met geschonden vertrouwen en in iframes. Dit probleem is verholpen door automatische invulling van wachtwoorden alleen te laten plaatsvinden in het hoofdframe van https-sites met geldige certificaatketens.

    CVE-ID

    CVE-2014-4363: David Silver, Suman Jana en Dan Boneh van Stanford University in samenwerking met Eric Chen en Collin Jackson van Carnegie Mellon University

  • Safari

    Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: een aanvaller met een geprivilegieerde netwerkpositie kan URL's in Safari vervalsen

    Beschrijving: er was een inconsistentie in de gebruikersinterface in Safari op apparaten waarop MDM is ingeschakeld. Het probleem is verholpen door een verbeterde controle van de consistentie in de gebruikersinterface.

    CVE-ID

    CVE-2014-8841: Angelo Prado van Salesforce Product Security

  • Sandbox Profiles

    Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: Apple ID-informatie is toegankelijk voor apps van andere makers

    Beschrijving: er was een probleem met de vrijgave van informatie in de sandbox voor apps van andere makers. Dit probleem is verholpen door het profiel van de sandbox voor andere makers te verbeteren.

    CVE-ID

    CVE-2014-4362: Andreas Kurtz van NESO Security Labs en Markus Troßbach van Heilbronn University

  • Settings

    Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: voorvertoningen van tekstberichten verschijnen op het toegangsscherm zelfs als deze functie is uitgeschakeld

    Beschrijving: er was een probleem met de voorvertoning van meldingen van tekstberichten op het toegangsscherm. Hierdoor werd de inhoud van ontvangen berichten op het toegangsscherm getoond, zelfs als voorvertoning daarvan was uitgeschakeld in Instellingen. Het probleem is verholpen door een verbeterde opvolging van deze instelling.

    CVE-ID

    CVE-2014-4356: Mattia Schirinzi van San Pietro Vernotico (BR), Italië

  • syslog

    Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: een lokale gebruiker kan de bevoegdheden van willekeurige bestanden wijzigen

    Beschrijving: syslogd volgde symbolische koppelingen bij het wijzigen van bevoegdheden van bestanden. Dit probleem is verholpen door een verbeterde verwerking van symbolische koppelingen.

    CVE-ID

    CVE-2014-4372: Tielei Wang en YeongJin Jang van Georgia Tech Information Security Center (GTISC)

  • Weather

    Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: informatie over de locatie werd onversleuteld verstuurd

    Beschrijving: er was een probleem met de vrijgave van informatie in een API die wordt gebruikt om het lokale weer te bepalen. Dit probleem is verholpen door een andere API te gebruiken.

  • WebKit

    Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: een kwaadaardige website kan gebruikers volgen zelfs als de privémodus is ingeschakeld

    Beschrijving: een webprogramma kon de cachegegevens van een HTML 5-programma tijdens een normale internetsessie bewaren en deze gegevens vervolgens lezen tijdens een privésessie. Dit probleem is verholpen door de toegang tot de cache van het programma in de privémodus uit te schakelen.

    CVE-ID

    CVE-2014-4409: Yosuke Hasegawa (NetAgent Co., Led.)

  • WebKit

    Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere problemen met geheugenbeschadiging in WebKit. Deze problemen zijn verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2013-6663: Atte Kettunen van OUSPG

    CVE-2014-1384: Apple

    CVE-2014-1385: Apple

    CVE-2014-1387: Google Chrome Security Team

    CVE-2014-1388: Apple

    CVE-2014-1389: Apple

    CVE-2014-4410: Eric Seidel van Google

    CVE-2014-4411: Google Chrome Security Team

    CVE-2014-4412: Apple

    CVE-2014-4413: Apple

    CVE-2014-4414: Apple

    CVE-2014-4415: Apple

  • Wi-Fi

    Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer

    Impact: een apparaat kan passief worden gevolgd via het wifi-MAC-adres

    Beschrijving: er was een probleem met de vrijgave van informatie omdat een onveranderlijk MAC-adres werd gebruikt bij het zoeken naar wifinetwerken. Dit probleem is verholpen door het MAC-adres dat bij wifi-zoekacties wordt gebruikt, willekeurig te maken.

Opmerking:

iOS 8 bevat wijzigingen aan sommige diagnostische mogelijkheden. Raadpleeg https://support.apple.com/nl-nl/HT6331

Apparaten kunnen via iOS 8 het vertrouwen van alle eerder vertrouwde computers intrekken. Instructies vind je op https://support.apple.com/HT5868

FaceTime is niet in alle landen of regio's beschikbaar.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: