Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του iOS 8

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του iOS 8.

H Apple, για λόγους προστασίας των πελατών της, δεν αποκαλύπτει, δεν συζητά ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple

Για περισσότερες πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, ανατρέξτε στο άρθρο Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple.

Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE για την αναφορά σε συγκεκριμένες ευπάθειες, με στόχο την περαιτέρω πληροφόρηση.

Για να ενημερωθείτε σχετικά με άλλες Ενημερώσεις ασφάλειας, ανατρέξτε στο άρθρο Ενημερώσεις ασφάλειας Apple.

iOS 8

  • 802.1X

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας εισβολέας μπορεί να αποκτήσει διαπιστευτήρια Wi-Fi

    Περιγραφή: Ένας εισβολέας μπορεί να μιμηθεί ένα σημείο πρόσβασης Wi-Fi που προσφέρεται για έλεγχο ταυτότητας με LEAP, να παραβιάσει τον κατακερματισμό MS-CHAPv1 και να χρησιμοποιήσει τα παραγόμενα διαπιστευτήρια για τον έλεγχο ταυτότητας στο σημείο πρόσβασης προορισμού ακόμα και εάν αυτό το σημείο πρόσβασης υποστήριζε ισχυρότερες μεθόδους ελέγχου ταυτότητας. Αυτό το θέμα αντιμετωπίστηκε απενεργοποιώντας το LEAP ως προεπιλογή.

    CVE-ID

    CVE-2014-4364 : Pieter Robyns, Bram Bonne, Peter Quax και Wim Lamotte του Universiteit Hasselt

  • Accounts

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προσδιορίσει το Apple ID του χρήστη

    Περιγραφή: Υπήρχε ένα πρόβλημα στη λογική ελέγχου πρόσβαση για τους λογαριασμούς. Μια εφαρμογή sandbox θα μπορούσε να αποκτήσει πρόσβαση σε πληροφορίες για τον ενεργό λογαριασμό iCloud, συμπεριλαμβανομένου του ονόματος του λογαριασμού. Αυτό το πρόβλημα αντιμετωπίστηκε περιορίζοντας την πρόσβαση σε ορισμένους τύπους λογαριασμών από μη εξουσιοδοτημένες εφαρμογές.

    CVE-ID

    CVE-2014-4423 : Adam Weaver

  • Accessibility

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Η συσκευή ενδέχεται να μην κλειδώσει την οθόνη κατά τη χρήση του AssistiveTouch

    Περιγραφή: Υπήρχε ένα πρόβλημα λογικής στον χειρισμό από το AssistiveTouch των συμβάντων, με αποτέλεσμα να μην κλειδώνει η οθόνη. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό του χρονοδιακόπτη κλειδώματος.

    CVE-ID

    CVE-2014-4368 : Hendrik Bettermann

  • Accounts Framework

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας εισβολέας με πρόσβαση σε μια συσκευή iOS ενδέχεται να έχει πρόσβαση σε ευαίσθητες πληροφορίες χρήστη από τα αρχεία καταγραφής

    Περιγραφή: Καταγράφηκαν ευαίσθητες πληροφορίες χρήστη. Αυτό το πρόβλημα αντιμετωπίστηκε καταγράφοντας λιγότερες πληροφορίες.

    CVE-ID

    CVE-2014-4357 : Heli Myllykoski του OP-Pohjola Group

  • Address Book

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένα άτομο με φυσική πρόσβαση σε μια συσκευή iOS ενδέχεται να διαβάσει το βιβλίο διευθύνσεων

    Περιγραφή: Το βιβλίο διευθύνσεων έχει κρυπτογραφηθεί με ένα κλειδί που προστατεύεται μόνο από το UID υλισμικού. Αυτό το πρόβλημα αντιμετωπίστηκε κρυπτογραφώντας το βιβλίο διευθύνσεων με ένα κλειδί, το οποίο προστατεύεται από το UID υλικού και το συνθηματικό του χρήστη.

    CVE-ID

    CVE-2014-4352 : Jonathan Zdziarski

  • App Installation

    Διαθέσιμο για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να κλιμακώσει προνόμια και να εγκαταστήσει μη επαληθευμένες εφαρμογές

    Περιγραφή: Μια συνθήκη race υπήρχε στην εγκατάσταση εφαρμογών. Ένας εισβολέας με δυνατότητα εγγραφής στο /tmp θα μπορούσε να εγκαταστήσει μια εφαρμογή που δεν έχει επαληθευτεί. Αυτό το πρόβλημα αντιμετωπίστηκε ορίζοντας την εγκατάσταση αρχείων σε έναν άλλο κατάλογο.

    CVE-ID

    CVE-2014-4386 : evad3rs

  • App Installation

    Διαθέσιμο για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να κλιμακώσει προνόμια και να εγκαταστήσει μη επαληθευμένες εφαρμογές

    Περιγραφή: Υπήρχε ένα πρόβλημα μετάβασης διαδρομής στην εγκατάσταση εφαρμογών. Ένας τοπικός εισβολέας θα μπορούσε να αλλάξει τον προορισμό της επικύρωσης υπογραφής κώδικα σε ένα πακέτο που διαφέρει από αυτό που εγκαθίσταται και να προκαλέσει την εγκατάσταση μιας μη επαληθευμένης εφαρμογής. Αυτό το πρόβλημα αντιμετωπίστηκε εντοπίζοντας και αποτρέποντας τη μετάβαση σε μια διαδρομή κατά τον καθορισμό της υπογραφής κώδικα που πρέπει να επαληθευτεί.

    CVE-ID

    CVE-2014-4384 : evad3rs

  • Assets

    Διαθέσιμο για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μονττέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση δικτύου ενδέχεται να μπορεί να κάνει μια συσκευή iOS να θεωρήσει ότι είναι ενημερωμένη ακόμα και όταν δεν είναι

    Περιγραφή: Υπήρχε ένα πρόβλημα επικύρωσης στον χειρισμό των αποκρίσεων ελέγχου ενημέρωσης. Ψευδείς ημερομηνίες από κεφαλίδες απόκρισης Last-Modified που είχαν οριστεί σε μελλοντικές ημερομηνίες χρησιμοποιήθηκαν για ελέγχους If-Modified-Since σε επόμενες αιτήσεις ενημέρωσης. Αυτό το πρόβλημα αντιμετωπίστηκε με επαλήθευση της κεφαλίδας Last-Modified.

    CVE-ID

    CVE-2014-4383 : Raul Siles της DinoSec

  • Bluetooth

    Διαθέσιμο για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Το Bluetooth ενεργοποιείται απρόσμενα από προεπιλογή μετά από την αναβάθμιση του iOS

    Περιγραφή: Το Bluetooth ενεργοποιήθηκε αυτόματα μετά από την αναβάθμιση του iOS. Αυτό το πρόβλημα αντιμετωπίστηκε ενεργοποιώντας το Bluetooth μόνο για μεγάλες ή μικρές ενημερώσεις έκδοσης.

    CVE-ID

    CVE-2014-4354 : Maneet Singh, Sean Bluestein

  • Certificate Trust Policy

    Διαθέσιμο για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ενημέρωση στην πολιτική αξιοπιστίας πιστοποιητικών

    Περιγραφή: Η πολιτική αξιοπιστίας πιστοποιητικών ενημερώθηκε. Η πλήρης λίστα πιστοποιητικών είναι διαθέσιμη στη διεύθυνση https://support.apple.com/HT204132.

  • CoreGraphics

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Το άνοιγμα ενός κακόβουλου αρχείου PDF μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπήρχε υπερχείλιση ακεραίων κατά τον χειρισμό αρχείων PDF. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

    CVE-ID

    CVE-2014-4377 : Felipe Andres Manzano του Binamuse VRT σε συνεργασία με το Πρόγραμμα iSIGHT Partners GVP

  • CoreGraphics

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Το άνοιγμα ενός κακόβουλου αρχείου PDF μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε αποκάλυψη πληροφοριών

    Περιγραφή: Υπήρχε μια ανάγνωση μνήμης εκτός ορίων κατά τον χειρισμό αρχείων PDF. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

    CVE-ID

    CVE-2014-4378 : Felipe Andres Manzano του Binamuse VRT σε συνεργασία με το Πρόγραμμα iSIGHT Partners GVP

  • Data Detectors

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Το πάτημα ενός συνδέσμου FaceTime στο Mail θα ενεργοποιήσει μια ηχητική κλήση FaceTime χωρίς προττροπή

    Περιγραφή: Η εφαρμογή Mail δεν συμβουλεύτηκε τον χρήστη πριν από την εκκίνηση διευθύνσεων facetime-audio:// URL. Αυτό το πρόβλημα αντιμετωπίστηκε με την προσθήκη ενός ερωτήματος επιβεβαίωσης.

    CVE-ID

    CVE-2013-6835 : Guillaume Ross

  • Foundation

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια εφαρμογή που χρησιμοποιεί NSXMLParser μπορεί να χρησιμοποιηθεί κακόβουλα για την αποκάλυψη πληροφοριών

    Περιγραφή: Υπήρχε ένα πρόβλημα Εξωτερικής Οντότητας XML στον χειρισμό από το NSXMLParser των XML. Αυτό το πρόβλημα αντιμετωπίστηκε αποτρέποντας τη φόρτωση εξωτερικών οντοτήτων μεταξύ προελεύσεων.

    CVE-ID

    CVE-2014-4374 : George Gal της VSR (http://www.vsecurity.com/)

  • Home & Lock Screen

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια εφαρμογή στο παρασκήνιο μπορεί να προσδιορίσει ποια εφαρμογή είναι στο προσκήνιο

    Περιγραφή: Το ιδιωτικό API για τον προσδιορισμό της εφαρμογής προσκηνίου δεν είχε επαρκή έλεγχο πρόσβασης. Το πρόβλημα αντιμετωπίστηκε με πρόσθετο έλεγχο πρόσβασης.

    CVE-ID

    CVE-2014-4361 : Andreas Kurtz των NESO Security Labs και Markus Troßbach του Heilbronn University

  • iMessage

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Τα συνημμένα μπορεί να παραμένουν μετά τη διαγραφή του γονικού iMessage ή MMS

    Περιγραφή: Υπήρχε μια συνθήκη race στον τρόπο διαγραφής των συνημμένων. Αυτό το πρόβλημα αντιμετωπίστηκε με την εκτέλεση πρόσθετων ελέγχων σχετικά με τη διαγραφή ενός συνημμένου.

    CVE-ID

    CVE-2014-4353 : Silviu Schiau

  • IOAcceleratorFamily

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα. Αποτέλεσμα: Μια εφαρμογή μπορεί να προκαλέσει μη αναμενόμενο τερματισμό του συστήματος. Περιγραφή: Υπήρχε μια αναίρεση παραπομπής δείκτη null στον χειρισμό ορισμάτων API IOAcceleratorFamily. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης των ορισμάτων API IOAcceleratorFamily. CVE-IDCVE-2014-4369 : Sarah aka winocm και Cererdlong της ομάδας Alibaba Mobile Security Team

    Impact: An application may cause an unexpected system termination

    Description: A null pointer dereference existed in the handling of IOAcceleratorFamily API arguments. This issue was addressed through improved validation of IOAcceleratorFamily API arguments.

    CVE-ID

    CVE-2014-4369 : Sarah aka winocm and Cererdlong of Alibaba Mobile Security Team

    • Entry updated February 3, 2020

  • IOAcceleratorFamily

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Η συσκευή ενδέχεται να επανεκκινηθεί μη αναμενόμενα

    Περιγραφή: Υπήρχε μια αναίρεση παραπομπής δείκτη NULL στον οδηγό IntelAccelerator. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό σφαλμάτων.

    CVE-ID

    CVE-2014-4373 : cunzhang από το Adlab του Venustech

  • IOHIDFamily

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να διαβάζει δείκτες πυρήνα (kernel), οι οποίοι μπορούν να χρησιμοποιηθούν για την παρακάμψη της τυχαιοποίησης της διάταξης του χώρου διευθύνσεων του πυρήνα

    Περιγραφή: Υπήρχε ένα πρόβλημα ανάγνωσης εκτός ορίων στον χειρισμό μιας συνάρτησης IOHIDFamily. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

    CVE-ID

    CVE-2014-4379 : Ian Beer του Google Project Zero

  • IOHIDFamily

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

    Περιγραφή: Υπήρχε υπερχείλιση buffer σωρού κατά τον χειρισμό των ιδιοτήτων αντιστοίχισης κλειδιών από το IOHIDFamily. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

    CVE-ID

    CVE-2014-4404 : Ian Beer του Google Project Zero

  • IOHIDFamily

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

    Περιγραφή: Υπήρχε διακοπή αναφοράς δείκτη null κατά τον χειρισμό των ιδιοτήτων αντιστοίχισης κλειδιών από το IOHIDFamily. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση των ιδιοτήτων αντιστοίχισης πλήκτρων από το IOHIDFamily.

    CVE-ID

    CVE-2014-4405 : Ian Beer του Google Project Zero

  • IOHIDFamily

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα (kernel)

    Περιγραφή: Υπήρχε ένα πρόβλημα εγγραφής εκτός ορίων στην επέκταση πυρήνα IOHIDFamily. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

    CVE-ID

    CVE-2014-4380 : cunzhang από το Adlab του Venustech

  • IOKit

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει ανάγνωση σε μη αρχικοποιημένα δεδομένα από τη μνήμη πυρήνα (kernel)

    Περιγραφή: Υπήρχε ένα πρόβλημα πρόσβασης σε μη αρχικοποιημένη μνήμη κατά τον χειρισμό των συναρτήσεων IOKit. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης αρχικοποίησης της μνήμης

    CVE-ID

    CVE-2014-4407 : @PanguTeam

  • IOKit

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

    Περιγραφή: Υπήρχε πρόβλημα επικύρωσης κατά τον χειρισμό συγκεκριμένων πεδίων μεταδεδομένων αντικειμένων IODataQueue. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης μεταδεδομένων.

    CVE-ID

    CVE-2014-4418 : Ian Beer του Google Project Zero

  • IOKit

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

    Περιγραφή: Υπήρχε πρόβλημα επικύρωσης κατά τον χειρισμό συγκεκριμένων πεδίων μεταδεδομένων αντικειμένων IODataQueue. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης μεταδεδομένων.

    CVE-ID

    CVE-2014-4388 : @PanguTeam

  • IOKit

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

    Περιγραφή: Υπήρχε υπερχείλιση ακεραίου κατά τον χειρισμό συναρτήσεων IOKit. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση των ορισμάτων API του IOKit.

    CVE-ID

    CVE-2014-4389 : Ian Beer του Google Project Zero

  • Kernel

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί προσδιορίσει τη διάταξη μνήμης του πυρήνα (kernel)

    Περιγραφή: Υπήρχαν πολλά προβλήματα μη αρχικοποιημένης μνήμης στη διασύνδεση στατιστικών στοιχείων δικτύου, τα οποία οδήγησαν στην αποκάλυψη περιεχομένου της μνήμης πυρήνα. Αυτό το πρόβλημα αντιμετωπίστηκε με πρόσθετη αρχικοποίηση μνήμης.

    CVE-ID

    CVE-2014-4371 : Fermin J. Serna της Google Security Team

    CVE-2014-4419 : Fermin J. Serna της Google Security Team

    CVE-2014-4420 : Fermin J. Serna της Google Security Team

    CVE-2014-4421 : Fermin J. Serna της Google Security Team

  • Kernel

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένα άτομο με προνομιακή θέση δικτύου ενδέχεται να προκαλέσει άρνηση υπηρεσίας

    Περιγραφή: Υπήρχε ένα πρόβλημα συνθήκης race στον χειρισμό πακέτων IPv6. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο έλεγχο της κατάστασης κλειδώματος.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Kernel

    Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας τοπικός χρήστης ενδεχομένως να μπορεί να προκαλέσει απρόσμενο τερματισμό του συστήματος ή εκτέλεση αυθαίρετου κώδικα στον πυρήνα

    Περιγραφή: Υπήρχε πρόβλημα double free κατά τον χειρισμό θυρών Mach. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση των θυρών Mach.

    CVE-ID

    CVE-2014-4375 : ένας ανώνυμος ερευνητής

  • Kernel

    Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας τοπικός χρήστης ενδεχομένως να μπορεί να προκαλέσει απρόσμενο τερματισμό του συστήματος ή εκτέλεση αυθαίρετου κώδικα στον πυρήνα

    Περιγραφή: Υπήρχε πρόβλημα ανάγνωσης εκτός ορίων στο rt_setgate. Αυτό ενδέχεται να προκαλέσει την αποκάλυψη ή καταστροφή της μνήμης. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

    CVE-ID

    CVE-2014-4408

  • Kernel

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ορισμένα μέτρα ενίσχυσης του πυρήνα ενδέχεται να παρακάμπτονται

    Περιγραφή: Ο δημιουργός τυχαίων αριθμών που χρησιμοποιείται για τα μέτρα ενίσχυσης του πυρήνα νωρίς στη διαδικασία εκκίνησης δεν ήταν κρυπτογραφικά ασφαλής. Ορισμένα αποτελέσματά της μπορούσαν να αποκαλυφθούν από τον χώρο του χρήστη, επιτρέποντας την παράκαμψη των μέτρων ενίσχυσης. Αυτό το πρόβλημα αντιμετωπίστηκε χρησιμοποιώντας έναν ασφαλή αλγόριθμο κρυπτογράφησης.

    CVE-ID

    CVE-2014-4422 : Tarjei Mandt της Azimuth Security

  • Libnotify

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια ρίζας

    Περιγραφή: Υπήρχε ένα πρόβλημα εγγραφής εκτός ορίων στο Libnotify. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

    CVE-ID

    CVE-2014-4381 : Ian Beer του Google Project Zero

  • Lockdown

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια συσκευή μπορεί να χρησιμοποιηθεί κακόβουλα ώστε να παρουσιάζει λανθασμένα την οθόνη Αφετηρίας όταν η συσκευή έχει κλείδωμα ενεργοποίησης

    Περιγραφή: Υπήρχε ένα πρόβλημα με τη συμπεριφορά ξεκλειδώματος που οδήγησε μια συσκευή να προχωρήσει στην οθόνη Αφετηρίας ακόμα και αν έπρεπε να είναι ακόμα σε κατάσταση κλειδώματος ενεργοποίησης. Αυτό το πρόβλημα αντιμετωπίστηκε αλλάζοντας τις πληροφορίες που επαληθεύει μια συσκευή κατά τη διάρκεια μιας αίτησης ξεκλειδώματος.

    CVE-ID

    CVE-2014-1360

  • Mail

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Τα διαπιστευτήρια σύνδεσης μπορούν να αποσταλούν σε απλό κείμενο ακόμα και εάν ο διακομιστής έχει ανακοινώσει τη δυνατότητα LOGINDISABLED IMAP

    Περιγραφή: Η εφαρμογή Mail έστειλε την εντολή LOGIN σε διακομιστές ακόμα και εάν αυτοί είχαν ανακοινώσει τη δυνατότητα LOGINDISABLED IMAP. Αυτό το πρόβλημα είναι σημαντικό κυρίως κατά τη σύνδεση σε διακομιστές, οι οποίοι έχουν ρυθμιστεί για να αποδέχονται μη κρυπτογραφημένες συνδέσεις και να ανακοινώνουν τη δυνατότητα LOGINDISABLED. Αυτό το πρόβλημα αντιμετωπίστηκε τηρώντας τη δυνατότητα LOGINDISABLED IMAP.

    CVE-ID

    CVE-2014-4366 : Mark Crispin

  • Mail

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένα άτομο με φυσική πρόσβαση σε μια συσκευή iOS ενδέχεται να διαβάσει πιθανόν συνημμένα email

    Περιγραφή: Υπήρχε ένα πρόβλημα λογικής στη χρήση από την εφαρμογή Mail της Προστασίας δεδομένων σε συνημμένα email. Αυτό το πρόβλημα αντιμετωπίστηκε ρυθμίζοντας κατάλληλα την κλάση «Προστασία δεδομένων» για τα συνημμένα αρχεία των email.

    CVE-ID

    CVE-2014-1348 : Andreas Kurtz των NESO Security Labs

  • Profiles

    Διαθέσιμο για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Η Φωνητική κλήση ενεργοποιείται απρόσμενα μετά από την αναβάθμιση του iOS

    Περιγραφή: Η Φωνητική κλήση ενεργοποιήθηκε αυτόματα μετά από την αναβάθμιση του iOS. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

    CVE-ID

    CVE-2014-4367 : Sven Heinemann

  • Safari

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Τα διαπιστευτήρια χρηστών μπορούν να αποκαλυφθούν σε μη σκόπιμο ιστότοπο μέσω της αυτόματης συμπλήρωσης

    Περιγραφή: Το Safari ενδέχεται να έχει συμπληρώσει αυτόματα ονόματα χρηστών και συνθηματικά σε ένα δευτερεύον πλαίσιο από έναν διαφορετικό τομέα από αυτόν του κύριου πλαισίου. Αυτό το πρόβλημα αντιμετωπίστηκε με τη βελτίωση του εντοπισμού προέλευσης.

    CVE-ID

    CVE-2013-5227 : Niklas Malmgren της Klarna AB

  • Safari

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση δικτύου μπορεί να υποκλέψει τα διαπιστευτήρια χρηστών

    Περιγραφή: Τα αποθηκευμένα συνθηματικά συμπληρώθηκαν αυτόματα σε ιστότοπους http, σε ιστότοπους https με παραβιασμένη αξιοπιστία και σε iframes. Αυτό το πρόβλημα αντιμετωπίστηκε περιορίζοντας την αυτόματη συμπλήρωση συνθηματικών στο κύριο πλαίσιο των ιστότοπων https με έγκυρες αλυσίδες πιστοποιητικών.

    CVE-ID

    CVE-2014-4363 : David Silver, Suman Jana και Dan Boneh του Stanford University σε συνεργασία με τους Eric Chen και Collin Jackson του Carnegie Mellon University

  • Safari

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση δικτύου ενδέχεται να πλαστογραφήσει διευθύνσεις URL στο Safari

    Περιγραφή: Υπήρχε μια ασυνέπεια διεπαφής χρήστη στο Safari σε συσκευές με ενεργοποιημένες λύσεις MDM. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένων ελέγχων συνέπειας διεπαφής χρήστη.

    CVE-ID

    CVE-2014-8841 : Angelo Prado της Salesforce Product Security

  • Sandbox Profiles

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Οι πληροφορίες Apple ID είναι προσπελάσιμες από εφαρμογές τρίτων

    Περιγραφή: Υπήρχε ένα πρόβλημα αποκάλυψης πληροφοριών στο sandbox εφαρμογών τρίτων. Αυτό το πρόβλημα αντιμετωπίστηκε βελτιώνοντας το προφίλ sandbox τρίτου.

    CVE-ID

    CVE-2014-4362 : Andreas Kurtz των NESO Security Labs και Markus Troßbach του Heilbronn University

  • Settings

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ενδέχεται να εμφανίζονται προεπισκοπήσεις μηνυμάτων κειμένου στην οθόνη κλειδώματος ακόμα και όταν αυτή η δυνατότητα είναι απενεργοποιημένη

    Περιγραφή: Υπήρχε ένα πρόβλημα στην προεπισκόπηση των γνωστοποιήσεων μηνυμάτων κειμένου στην οθόνη κλειδώματος. Ως αποτέλεσμα, το περιεχόμενο των μηνυμάτων που είχαν ληφθεί εμφανιζόταν στην οθόνη κλειδώματος, ακόμα και όταν οι προεπισκοπήσεις ήταν απενεργοποιημένες στις Ρυθμίσεις. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη παρατήρηση αυτής της ρύθμισης.

    CVE-ID

    CVE-2014-4356 : Mattia Schirinzi από το San Pietro Vernotico (BR), Ιταλία

  • syslog

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να αλλάξει δικαιώματα σε αυθαίρετα αρχεία

    Περιγραφή: Το syslogd ακολούθησε συμβολικούς συνδέσμους κατά την αλλαγή δικαιωμάτων σε αρχεία. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό των συμβολικών συνδέσμων.

    CVE-ID

    CVE-2014-4372 : Tielei Wang και YeongJin Jang του Georgia Tech Information Security Center (GTISC)

  • Weather

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Οι πληροφορίες τοποθεσίας αποστέλλονταν μη κρυπτογραφημένες

    Περιγραφή: Υπήρχε ένα πρόβλημα αποκάλυψης πληροφοριών σε ένα API που χρησιμοποιήθηκε για τον προσδιορισμό του καιρού τοπικά. Αυτό το πρόβλημα αντιμετωπίστηκε αλλάζοντας API.

  • WebKit

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας κακόβουλος ιστότοπος ενδέχεται να μπορεί να παρακολουθεί τους χρήστες ακόμα και όταν έχει ενεργοποιηθεί η ιδιωτική περιήγηση

    Περιγραφή: Μια εφαρμογή Ιστού μπορούσε να αποθηκεύσει δεδομένα cache εφαρμογών HTML 5 κατά την κανονική περιήγηση και, στη συνέχεια, να εκτελεί ανάγνωση των δεδομένων κατά την ιδιωτική περιήγηση. Αυτό αντιμετωπίστηκε απενεργοποιώντας την πρόσβαση στο cache της εφαρμογής κατά τη διάρκεια της ιδιωτικής περιήγησης.

    CVE-ID

    CVE-2014-4409 : Yosuke Hasegawa (NetAgent Co., Led.)

  • WebKit

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπήρχαν πολλά προβλήματα αλλοίωσης μνήμης στο WebKit. Αυτά τα προβλήματα αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.

    CVE-ID

    CVE-2013-6663 : Atte Kettunen της OUSPG

    CVE-2014-1384 : Apple

    CVE-2014-1385 : Apple

    CVE-2014-1387 : Google Chrome Security Team

    CVE-2014-1388 : Apple

    CVE-2014-1389 : Apple

    CVE-2014-4410 : Eric Seidel της Google

    CVE-2014-4411 : Google Chrome Security Team

    CVE-2014-4412 : Apple

    CVE-2014-4413 : Apple

    CVE-2014-4414 : Apple

    CVE-2014-4415 : Apple

  • Wi-Fi

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια συσκευή μπορεί να παρακολουθείται παθητικά από τη διεύθυνση της MAC Wi-Fi

    Περιγραφή: Υπήρχε μια αποκάλυψη πληροφοριών επειδή χρησιμοποιήθηκε μια σταθερή διεύθυνση MAC για τη σάρωση δικτύων Wi-Fi. Αυτό το πρόβλημα αντιμετωπίστηκε χρησιμοποιώντας τυχαία διεύθυνση MAC για παθητικές σαρώσεις Wi-Fi.

Σημείωση:

Το iOS 8 περιλαμβάνει αλλαγές σε ορισμένες δυνατότητες διαγνωστικών. Για περισσότερες πληροφορίες, ανατρέξτε στο άρθρο https://support.apple.com/HT203034

Τώρα, το iOS 8 επιτρέπει σε συσκευές να καταργούν την αξιοπιστία όλων των υπολογιστών που θεωρούνταν αξιόπιστοι στο παρελθόν. Για οδηγίες, ανατρέξτε στο άρθρο https://support.apple.com/HT202778

Το FaceTime δεν είναι διαθέσιμο σε όλες τις χώρες ή περιοχές.

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.

Ημερομηνία δημοσίευσης: