Informationen zum Sicherheitsinhalt von iOS 8

In diesem Dokument wird der Sicherheitsinhalt von iOS 8 beschrieben.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.

Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit finden Sie unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates finden Sie unter Apple-Sicherheitsupdates.

iOS 8

  • 802.1X

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein Angreifer kann WLAN-Berechtigungsnachweise erlangen.

    Beschreibung: Ein Angreifer könnte einen WLAN-Zugangspunkt vorgetäuscht haben, eine Authentifizierung mit LEAP angeboten haben, den MS-CHAPv1-Hash geknackt und die daraus abgeleiteten Berechtigungsnachweise verwendet haben, um sich beim beabsichtigten Zugangspunkt zu authentifizieren, selbst wenn dieser Zugangspunkt stärkere Authentifizierungsmethoden unterstützte. Dieses Problem wurde durch standardmäßige Deaktivierung von LEAP behoben.

    CVE-ID

    CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax und Wim Lamotte von der Universität Hasselt

  • Accounts

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein Schadprogramm könnte die Apple-ID des Benutzers ermitteln.

    Beschreibung: Es bestand ein Problem mit der Steuerungslogik für den Zugriff auf Accounts. Ein in der Sandbox ausgeführtes Programm konnte Informationen zum derzeit aktiven iCloud-Account erhalten, darunter den Namen des Accounts. Dieses Problem wurde behoben, indem der Zugriff auf bestimmte Accounttypen durch unautorisierte Programme eingeschränkt wurde.

    CVE-ID

    CVE-2014-4423: Adam Weaver

  • Bedienungshilfen

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Das Gerät könnte den Bildschirm unter Umständen nicht sperren, wenn AssistiveTouch verwendet wird.

    Beschreibung: Es bestand ein Logikproblem in der Ereignisverarbeitung von AssistiveTouch, das dazu führte, dass der Bildschirm nicht gesperrt wird. Dieses Problem wurde durch eine verbesserte Verarbeitung des Sperrtimers behoben.

    CVE-ID

    CVE-2014-4368: Hendrik Bettermann

  • Accounts-Framework

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein Angreifer mit Zugriff auf ein iOS-Gerät könnte auf vertrauliche Benutzerdaten in Protokollen zugreifen.

    Beschreibung: Vertrauliche Benutzerdaten wurden protokolliert. Dieses Problem wurde dadurch behoben, dass weniger Daten protokolliert werden.

    CVE-ID

    CVE-2014-4357: Heli Myllykoski von der OP-Pohjola Group

  • Adressbuch

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Eine Person mit physischem Zugang zu einem iOS-Gerät könnte das Adressbuch lesen.

    Beschreibung: Das Adressbuch war mit einem Schlüssel kodiert, der nur durch die Hardware-UID geschützt war. Dieses Problem wurde behoben, indem das Adressbuch mit einem Schlüssel kodiert wird, der durch die Hardware-UID und den Code des Benutzers geschützt wird.

    CVE-ID

    CVE-2014-4352: Jonathan Zdziarski

  • App-Installation

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein lokaler Angreifer könnte die Berechtigungen heraufsetzen und unüberprüfte Programme installieren.

    Beschreibung: Bei der App-Installation bestand eine Race-Bedingung. Ein Angreifer mit der Fähigkeit, in den Ordner "/tmp" zu schreiben, könnte eine unüberprüfte App installiert haben. Dieses Problem wurde behoben, indem Dateien zur Installation in einem anderen Ordner zwischengespeichert werden.

    CVE-ID

    CVE-2014-4386: evad3rs

  • App-Installation

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein lokaler Angreifer könnte die Berechtigungen heraufsetzen und unüberprüfte Programme installieren.

    Beschreibung: Bei der App-Installation bestand ein Path Traversal-Problem. Ein lokaler Angreifer könnte die Code-Signatur-Validierung auf ein anderes als das installierte Bundle umleiten und die Installation einer unüberprüften App veranlassen. Dieses Problem wurde behoben, indem Path Traversal beim Bestimmen der zu verifizierenden Signatur erkannt und verhindert wird.

    CVE-ID

    CVE-2014-4384: evad3rs

  • Assets

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition könnte verursachen, dass ein iOS-Gerät davon ausgeht, dass es aktuell sei, obwohl dies nicht der Fall ist.

    Beschreibung: Es bestand ein Validierungsproblem bei der Verarbeitung von Antworten zur Update-Überprüfung. Für If-Modified-Since-Überprüfungen wurden in nachfolgenden Aktualisierungsanforderungen vorgetäuschte Datumsangaben von Last-Modified-Antwortkopfzeilen verwendet, die auf in der Zukunft liegende Daten eingestellt waren. Dieses Problem wurde durch eine Überprüfung der Last-Modified-Kopfzeile behoben.

    CVE-ID

    CVE-2014-4383: Raul Siles von DinoSec

  • Bluetooth

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Bluetooth wird nach einem Upgrade von iOS unerwartet standardmäßig aktiviert.

    Beschreibung: Bluetooth wurde nach einem Upgrade von iOS automatisch aktiviert. Dieses Problem wurde behoben, indem Bluetooth nur bei Aktualisierungen der Haupt- und Nebenversion aktiviert wird.

    CVE-ID

    CVE-2014-4354: Maneet Singh, Sean Bluestein

  • Richtlinie für vertrauenswürdige Zertifikate

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Aktualisierung der Richtlinie für vertrauenswürdige Zertifikate

    Beschreibung: Die Richtlinie für vertrauenswürdige Zertifikate wurde aktualisiert. Eine vollständige Liste der Zertifikate kann unter http://support.apple.com/de-de/HT204132 eingesehen werden.

  • CoreGraphics

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Das Öffnen einer in böser Absicht erstellten PDF-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

    Beschreibung: Bei der Verarbeitung von PDF-Dateien konnte ein Ganzzahlüberlauf auftreten. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-4377: Felipe Andres Manzano von Binamuse VRT in Zusammenarbeit mit dem iSIGHT Partners GVP Program

  • CoreGraphics

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Das Öffnen einer in böser Absicht erstellten PDF-Datei kann zu einem unerwarteten Programmabbruch oder zur Offenlegung von Daten führen.

    Beschreibung: Bei der Verarbeitung von PDF-Dateien gab es ein Problem mit Lesevorgängen außerhalb der Speichergrenzen. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-4378: Felipe Andres Manzano von Binamuse VRT in Zusammenarbeit mit dem iSIGHT Partners GVP Program

  • Data Detectors

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Das Tippen auf einen FaceTime-Link in Mail löste ohne Nachfrage einen FaceTime-Audioanruf aus.

    Beschreibung: Mail hat den Benutzer vor dem Aufrufen eines FaceTime-Audio-Links nicht befragt. Dieses Problem wurde durch das Hinzufügen einer Bestätigungsaufforderung behoben.

    CVE-ID

    CVE-2013-6835: Guillaume Ross

  • Foundation

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein Programm, das NSXMLParser verwendet, könnte missbraucht werden, um Daten preiszugeben.

    Beschreibung: Bei der Verarbeitung von XML-Daten konnte es zu einem Problem mit externen XML-Entitäten kommen. Das Problem wurde behoben, indem externe Entitäten nicht herkunftsübergreifend geladen werden.

    CVE-ID

    CVE-2014-4374: George Gal von VSR (http://www.vsecurity.com/)

  • Home- und Sperrbildschirm

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Eine im Hintergrund ausgeführte App kann ermitteln, welche App die vorderste ist.

    Beschreibung: Die private API zum Ermitteln der im Vordergrund ausgeführten App hatte keine ausreichende Zugriffssteuerung. Dieses Problem wurde durch zusätzliche Zugriffssteuerung behoben.

    CVE-ID

    CVE-2014-4361: Andreas Kurtz von NESO Security Labs und Markus Troßbach von der Hochschule Heilbronn

  • iMessage

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Anhänge könnten weiterbestehen, nachdem die zugehörige iMessage oder MMS gelöscht wurde.

    Beschreibung: Bei der Löschung von Anhängen bestand eine Race-Bedingung. Dieses Problem wurde durch zusätzliche Überprüfungen der Löschung von Anhängen behoben.

    CVE-ID

    CVE-2014-4353: Silviu Schiau

  • IOAcceleratorFamily

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein Programm kann einen unerwarteten Systemabbruch verursachen.

    Beschreibung: Bei der Verarbeitung von IOAcceleratorFamily-API-Argumenten existierte ein NULL-Zeiger-Rückverweis. Dieses Problem wurde durch eine verbesserte Überprüfung von IOAcceleratorFamily-API-Argumenten behoben.

    CVE-ID

    CVE-2014-4369: Catherine alias winocm und Cererdlong vom Alibaba Mobile-Sicherheitsteam

  • IOAcceleratorFamily

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Das Gerät kann unerwartet neu starten.

    Beschreibung: Im IntelAccelerator-Treiber existierte ein NULL-Zeiger-Rückverweis. Dieses Problem wurde durch eine verbesserte Fehlerverarbeitung behoben.

    CVE-ID

    CVE-2014-4373: cunzhang von Adlab von Venustech

  • IOHIDFamily

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein in böser Absicht erstelltes Programm kann möglicherweise Kernel-Zeiger lesen, die zur Umgehung der Kernel-ASLR (Address Space Layout Randomization) verwendet werden können.

    Beschreibung: Bei der Verarbeitung einer IOHIDFamily-Funktion trat ein Problem aufgrund eines Lesevorgangs außerhalb der Grenzen auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-4379: Ian Beer von Google Project Zero

  • IOHIDFamily

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen

    Beschreibung: Bei der Verarbeitung von Schlüsselzuordnungseigenschaften in IOHIDFamily trat ein Stapelpufferüberlauf auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-4404: Ian Beer von Google Project Zero

  • IOHIDFamily

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen

    Beschreibung: Bei der Verarbeitung von Schlüsselzuordnungseigenschaften in IOHIDFamily gab es einen Null-Zeiger-Rückverweis. Dieses Problem wurde durch eine verbesserte Überprüfung von IOHIDFamily-Schlüsselzuordnungseigenschaften behoben.

    CVE-ID

    CVE-2014-4405: Ian Beer von Google Project Zero

  • IOHIDFamily

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein in böser Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Kernelrechten ausführen.

    Beschreibung: In der IOHIDFamily-Kernelerweiterung trat ein Problem aufgrund eines Schreibvorgangs außerhalb der Grenzen auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-4380: cunzhang von Adlab von Venustech

  • IOKit

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein in böser Absicht erstelltes Programm könnte nicht initialisierte Daten aus dem Kernelspeicher lesen.

    Beschreibung: Bei der Verarbeitung von IOKit-Funktionen existierte ein Problem mit einem nicht initialisierten Speicherzugriff. Dieses Problem wurde durch eine verbesserte Speicherinitialisierung behoben.

    CVE-ID

    CVE-2014-4407: @PanguTeam

  • IOKit

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen

    Beschreibung: Es existierte ein Validierungsproblem bei der Verarbeitung bestimmter Metadatenfelder von IODataQueue-Objekten. Dieses Problem wurde durch eine verbesserte Überprüfung von Metadaten behoben.

    CVE-ID

    CVE-2014-4418: Ian Beer von Google Project Zero

  • IOKit

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen

    Beschreibung: Es existierte ein Validierungsproblem bei der Verarbeitung bestimmter Metadatenfelder von IODataQueue-Objekten. Dieses Problem wurde durch eine verbesserte Überprüfung von Metadaten behoben.

    CVE-ID

    CVE-2014-4388: @PanguTeam

  • IOKit

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen

    Beschreibung: Bei der Verarbeitung von IOKit-Funktionen konnte ein Ganzzahlüberlauf auftreten. Dieses Problem wurde durch eine verbesserte Überprüfung von IOKit-API-Argumenten behoben.

    CVE-ID

    CVE-2014-4389: Ian Beer von Google Project Zero

  • Kernel

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein lokaler Benutzer könnte das Kernel-Speicher-Layout ermitteln.

    Beschreibung: Es bestanden mehrere Probleme mit nicht initialisiertem Speicher in der Netzwerkstatistik-Schnittstelle, was zur Offenlegung von Kernelspeicherinhalten führte. Dieses Problem wurde durch eine zusätzliche Speicherinitialisierung behoben.

    CVE-ID

    CVE-2014-4371: Fermin J. Serna vom Google-Sicherheitsteam

    CVE-2014-4419: Fermin J. Serna vom Google-Sicherheitsteam

    CVE-2014-4420: Fermin J. Serna vom Google-Sicherheitsteam

    CVE-2014-4421: Fermin J. Serna vom Google-Sicherheitsteam

  • Kernel

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Eine Person in einer privilegierten Netzwerkposition konnte einen Denial-of-Service verursachen.

    Beschreibung: Bei der Verarbeitung von IPv6-Paketen existierte eine Race-Bedingung. Dieses Problem wurde durch eine verbesserte Sperrstatusüberprüfung behoben.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Kernel

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein lokaler Benutzer kann möglicherweise einen unerwarteten Systemabbruch oder die Ausführung willkürlichen Codes im Kernel verursachen.

    Beschreibung: Bei der Verarbeitung von Mach-Ports kam es zu einem Double-Free-Problem. Dieses Problem wurde durch eine verbesserte Überprüfung von Mach-Ports behoben.

    CVE-ID

    CVE-2014-4375: ein anonymer Forscher

  • Kernel

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein lokaler Benutzer kann möglicherweise einen unerwarteten Systemabbruch oder die Ausführung willkürlichen Codes im Kernel verursachen.

    Beschreibung: In rt_setgate bestand ein grenzüberschreitendes Ausleseproblem. Dies kann zu Speicherpreisgabe oder Speicherkorruption führen. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-4408

  • Kernel

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Manche Kernel-Härtungsmaßnahmen können umgangen werden.

    Beschreibung: Der für Kernel-Härtungsmaßnahmen früh im Systemstart verwendete Zufallszahlengenerator war kryptografisch unsicher. Ein Teil der Ausgabedaten war vom Benutzerraum ableitbar, wodurch die Härtungsmaßnahmen umgangen werden konnten. Dieses Problem wurde durch die Verwendung eines kryptografisch sicheren Algorithmus behoben.

    CVE-ID

    CVE-2014-4422: Tarjei Mandt von Azimuth Security

  • Libnotify

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein in böser Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Root-Rechten ausführen.

    Beschreibung: In Libnotify trat ein Problem aufgrund eines Schreibvorgangs außerhalb der Grenzen auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-4381: Ian Beer von Google Project Zero

  • Lockdown

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein Gerät kann manipuliert werden, sodass es trotz Aktivierungssperre fälschlicherweise zum Home-Bildschirm wechselt.

    Beschreibung: Es bestand ein Problem mit dem Entriegelungsverhalten, durch das ein Gerät auf den Home-Bildschirm wechselte, obwohl noch die Aktivierungssperre aktiv sein sollte. Dies wurde durch eine Veränderung der Daten behoben, die ein Gerät bei einer Entriegelungsanfrage überprüft.

    CVE-ID

    CVE-2014-1360

  • Mail

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Anmeldedaten können in reinem Text gesendet werden, selbst wenn der Server die LOGINDISABLED IMAP-Fähigkeit angegeben hat.

    Beschreibung: Mail sendete den LOGIN-Befehl an Server, selbst wenn sie die LOGINDISABLED IMAP-Fähigkeit angegeben hatten. Dieses Problem ist insbesondere beim Verbindungsaufbau zu Servern von Belang, die zum Annehmen unverschlüsselter Verbindungen konfiguriert sind und LOGINDISABLED angeben. Dieses Problem wurde durch Beachten der LOGINDISABLED IMAP-Fähigkeit behoben.

    CVE-ID

    CVE-2014-4366: Mark Crispin

  • Mail

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Eine Person mit physischem Zugang zu einem iOS-Gerät könnte möglicherweise E-Mail-Anhänge lesen.

    Beschreibung: Bei der Nutzung des Datenschutzes gab es in Mail ein Logikproblem. Dieses Problem wurde durch korrektes Einstellen der Datenschutzklasse für E-Mail-Anhänge behoben.

    CVE-ID

    CVE-2014-1348: Andreas Kurtz von NESO Security Labs

  • Profile

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Die Sprachwahl wird nach einem Upgrade von iOS unerwartet aktiviert.

    Beschreibung: Die Sprachwahl wurde nach einem Upgrade von iOS automatisch aktiviert. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

    CVE-ID

    CVE-2014-4367: Sven Heinemann

  • Safari

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Anmeldedaten konnten über die automatische Füllfunktion ungewollt gegenüber einer Seite offengelegt werden.

    Beschreibung: Safari konnte Benutzernamen und Passwörter mit der automatischen Füllfunktion in einen Subframe eingegeben haben, der zu einer anderen Domäne gehört als der Hauptframe. Das Problem wurde durch eine verbesserte Herkunftsverfolgung behoben.

    CVE-ID

    CVE-2013-5227: Niklas Malmgren von Klarna AB

  • Safari

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein Angreifer mit einer privilegierten Netzwerkposition kann möglicherweise Anmeldedaten abfangen.

    Beschreibung: Gesicherte Passwörter wurden auf http-Websites, auf https-Websites mit gebrochener Vertrauenswürdigkeit und in iframes automatisch ausgefüllt. Dieses Problem wurde behoben, indem das automatische Ausfüllen von Passwörtern auf den Hauptframe von https-Websites mit gültigen Zertifikatsketten eingeschränkt wurde.

    CVE-ID

    CVE-2014-4363: David Silver, Suman Jana und Dan Boneh von der Stanford Universität in Zusammenarbeit mit Eric Chen und Collin Jackson von der Carnegie Mellon Universität

  • Safari

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann URLs in Safari fälschen.

    Beschreibung: Es bestand eine Inkonsistenz in der Benutzeroberfläche in Safari auf MDM-fähigen Geräten. Das Problem wurde durch eine verbesserte Überprüfung der Benutzeroberflächenkonsistenz behoben.

    CVE-ID

    CVE-2014-8841: Angelo Prado von Salesforce Product Security

  • Sandbox-Profile

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Drittanbieter-Apps haben Zugriff auf Apple-ID-Daten.

    Beschreibung: In der Sandbox für Drittanbieter-Apps kam es zur Offenlegung von Informationen. Dieses Problem wurde durch Verbesserung des Sandbox-Profils für Drittanbieter behoben.

    CVE-ID

    CVE-2014-4362: Andreas Kurtz von NESO Security Labs und Markus Troßbach von der Hochschule Heilbronn

  • Einstellungen

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Die Vorschau von Textnachrichten könnte auf dem Sperrbildschirm angezeigt werden, obwohl diese Funktion deaktiviert ist.

    Beschreibung: Es bestand ein Problem mit der Vorschau von Textnachrichten auf dem Sperrbildschirm. Als Ergebnis wurden die Inhalte erhaltener Nachrichten auf dem Sperrbildschirm angezeigt, obwohl die Vorschau in den Einstellungen deaktiviert war. Dieses Problem wurde durch eine verbesserte Einhaltung dieser Einstellung behoben.

    CVE-ID

    CVE-2014-4356: Mattia Schirinzi aus San Pietro Vernotico (BR), Italien

  • syslog

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein lokaler Benutzer könnte die Zugriffsberechtigungen beliebiger Dateien ändern.

    Beschreibung: syslogd folgte beim Ändern der Zugriffsrechte von Dateien symbolischen Links. Dieses Problem wurde durch eine verbesserte Verarbeitung der symbolischen Links behoben.

    CVE-ID

    CVE-2014-4372: Tielei Wang und YeongJin Jang vom Georgia Tech Information Security Center (GTISC)

  • Wetter

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation und neuer), iPad 2 und neuer

    Auswirkung: Ortsangaben wurden unverschlüsselt gesendet.

    Beschreibung: Es bestand ein Problem in einer API zur Bestimmung des lokalen Wetters, durch das Daten offengelegt wurden. Dieses Problem wurde durch Austausch der APIs behoben.

  • WebKit

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Eine in böser Absicht erstellte Website könnte Benutzer auch dann nachverfolgen, wenn das private Surfen aktiviert ist.

    Beschreibung: Ein Webprogramm konnte HTML-5-Programmcache-Daten während des normalen Surfens speichern und die Daten dann während des privaten Surfens auslesen. Dieses Problem wurde behoben, indem der Zugriff auf den Programmcache beim Surfen im privaten Modus deaktiviert wurde.

    CVE-ID

    CVE-2014-4409: Yosuke Hasegawa (NetAgent Co., Led.)

  • WebKit

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: In WebKit gab es mehrere Speicherfehler. Diese Probleme wurden durch eine verbesserte Speicherverwaltung behoben.

    CVE-ID

    CVE-2013-6663: Atte Kettunen von OUSPG

    CVE-2014-1384: Apple

    CVE-2014-1385: Apple

    CVE-2014-1387: Google Chrome-Sicherheitsteam

    CVE-2014-1388: Apple

    CVE-2014-1389: Apple

    CVE-2014-4410: Eric Seidel von Google

    CVE-2014-4411: Google Chrome-Sicherheitsteam

    CVE-2014-4412: Apple

    CVE-2014-4413: Apple

    CVE-2014-4414: Apple

    CVE-2014-4415: Apple

  • WLAN

    Verfügbar für: iPhone 4s und neuer, iPod touch (5. Generation) und neuer, iPad 2 und neuer

    Auswirkung: Ein Gerät kann durch seine WLAN-MAC-Adresse passiv nachverfolgt werden.

    Beschreibung: Es kam zu einer Offenlegung von Informationen, da eine statische MAC-Adresse zur Suche nach WLAN-Netzwerken verwendet wurde. Dieses Problem wurde durch Randomisierung der MAC-Adresse für passive WLAN-Suchvorgänge behoben.

Hinweis:

iOS 8 enthält Veränderungen an manchen Diagnosemöglichkeiten. Einzelheiten finden Sie unter http://support.apple.com/de-de/HT203034.

iOS 8 erlaubt Geräten jetzt, die Vertrauenswürdigkeit aller bisher als vertrauenswürdig eingestuften Computern aufzuheben. Anweisungen finden Sie unter http://support.apple.com/de-de/HT202778.

FaceTime ist nicht in allen Ländern und Regionen verfügbar.

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: