H Apple, για λόγους προστασίας των πελατών της, δεν αποκαλύπτει, δεν συζητά ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple.
Για περισσότερες πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, ανατρέξτε στο άρθρο Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple.
Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE, για την αναφορά σε συγκεκριμένες ευπάθειες για περαιτέρω πληροφόρηση.
Για να ενημερωθείτε σχετικά με άλλες Ενημερώσεις ασφάλειας, ανατρέξτε στο άρθρο Ενημερώσεις ασφάλειας Apple.
iOS 8
802.1X
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένας εισβολέας μπορεί να αποκτήσει διαπιστευτήρια Wi-Fi
Περιγραφή: Ένας εισβολέας θα μπορούσε να προσποιηθεί ένα σημείο πρόσβασης Wi-Fi, να επαληθεύσει την ταυτότητά του με LEAP, να «σπάσει» τον κατακερματισμό MS-CHAPv1 και να χρησιμοποιήσει τα διαπιστευτήρια που απέκτησε για να επαληθεύσει την ταυτότητά του στο σημείο πρόσβασης που θέλει, ακόμα και αν αυτό το σημείο πρόσβασης υποστηρίζει πιο ισχυρές μεθόδους ελέγχου ταυτότητας. Αυτό το θέμα αντιμετωπίστηκε απενεργοποιώντας το LEAP ως προεπιλογή.
Αναγνωριστικό CVE
CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax και Wim Lamotte του Universiteit Hasselt
Λογαριασμοί
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εντοπίσει το Apple ID του χρήστη
Περιγραφή: Υπήρχε πρόβλημα στη λογική ελέγχου πρόσβασης για τους λογαριασμούς. Μια εφαρμογή sandbox θα μπορούσε να αποκτήσει πρόσβαση σε πληροφορίες για τον ενεργό λογαριασμό iCloud, συμπεριλαμβανομένου του ονόματος του λογαριασμού. Αυτό το πρόβλημα αντιμετωπίστηκε περιορίζοντας την πρόσβαση σε ορισμένους τύπους λογαριασμών από μη εξουσιοδοτημένες εφαρμογές.
Αναγνωριστικό CVE
CVE-2014-4423: Adam Weaver
Προσβασιμότητα
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Η συσκευή ενδέχεται να μην κλειδώσει την οθόνη κατά τη χρήση του AssistiveTouch
Περιγραφή: Υπήρχε πρόβλημα λογικής στον χειρισμό συμβάντων του AssistiveTouch, το οποίο είχε ως αποτέλεσμα η οθόνη να μην κλειδώνεται. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό του χρονοδιακόπτη κλειδώματος.
Αναγνωριστικό CVE
CVE-2014-4368: Hendrik Bettermann
Πλαίσιο εργασίας λογαριασμών
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένας εισβολέας με πρόσβαση σε μια συσκευή iOS θα μπορούσε να έχει πρόσβαση σε ευαίσθητες πληροφορίες από αρχεία καταγραφής
Περιγραφή: Γινόταν καταγραφή ευαίσθητων πληροφοριών του χρήστη. Αυτό το πρόβλημα αντιμετωπίστηκε καταγράφοντας λιγότερες πληροφορίες.
Αναγνωριστικό CVE
CVE-2014-4357: Heli Myllykoski του OP-Pohjola Group
Βιβλίο διευθύνσεων
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένα άτομο με φυσική πρόσβαση σε μια συσκευή iOS μπορεί να διαβάσει το βιβλίο διευθύνσεων
Περιγραφή: Το βιβλίο διευθύνσεων κρυπτογραφήθηκε με ένα κλειδί το οποίο προστατεύεται μόνο από το UID υλικού. Αυτό το πρόβλημα αντιμετωπίστηκε κρυπτογραφώντας το βιβλίο διευθύνσεων με ένα κλειδί, το οποίο προστατεύεται από το UID υλικού και το συνθηματικό του χρήστη.
Αναγνωριστικό CVE
CVE-2014-4352: Jonathan Zdziarski
Εγκατάσταση εφαρμογών
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένας τοπικός εισβολέας μπορεί να κάνει κλιμάκωση δικαιωμάτων και να εγκαταστήσει εφαρμογές που δεν έχουν επαληθευτεί
Περιγραφή: Υπήρχε ένα πρόβλημα συνθήκης συναγωνισμού στην εγκατάσταση εφαρμογών. Ένας εισβολέας με δυνατότητα εγγραφής στο /tmp θα μπορούσε να εγκαταστήσει μια εφαρμογή που δεν έχει επαληθευτεί. Αυτό το πρόβλημα αντιμετωπίστηκε ορίζοντας την εγκατάσταση αρχείων σε έναν άλλο κατάλογο.
Αναγνωριστικό CVE
CVE-2014-4386: evad3rs
Εγκατάσταση εφαρμογών
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένας τοπικός εισβολέας μπορεί να κάνει κλιμάκωση δικαιωμάτων και να εγκαταστήσει εφαρμογές που δεν έχουν επαληθευτεί
Περιγραφή: Υπήρχε ένα πρόβλημα μετάβασης διαδρομής στην εγκατάσταση εφαρμογών. Ένας τοπικός εισβολέας θα μπορούσε να αλλάξει τον προορισμό της επικύρωσης υπογραφής κώδικα σε ένα πακέτο που διαφέρει από αυτό που εγκαθίσταται και να προκαλέσει την εγκατάσταση μιας μη επαληθευμένης εφαρμογής. Αυτό το πρόβλημα αντιμετωπίστηκε εντοπίζοντας και αποτρέποντας τη μετάβαση σε μια διαδρομή κατά τον καθορισμό της υπογραφής κώδικα που πρέπει να επαληθευτεί.
Αναγνωριστικό CVE
CVE-2014-4384: evad3rs
Πόροι
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση στο δίκτυο μπορεί να κάνει μια συσκευή iOS να νομίζει ότι είναι ενημερωμένη, όταν στην πραγματικότητα δεν είναι
Περιγραφή: Υπήρχε ένα πρόβλημα επαλήθευσης στον χειρισμό των αποκρίσεων ελέγχου ενημερώσεων. Ψευδείς ημερομηνίες από κεφαλίδες απόκρισης Last-Modified που είχαν οριστεί σε μελλοντικές ημερομηνίες χρησιμοποιήθηκαν για ελέγχους If-Modified-Since σε επόμενες αιτήσεις ενημέρωσης. Αυτό το πρόβλημα αντιμετωπίστηκε με επαλήθευση της κεφαλίδας Last-Modified.
Αναγνωριστικό CVE
CVE-2014-4383: Raul Siles του DinoSec
Bluetooth
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Το Bluetooth ενεργοποιείται απρόσμενα από προεπιλογή μετά την αναβάθμιση του iOS
Περιγραφή: Το Bluetooth ενεργοποιούταν αυτόματα μετά την αναβάθμιση του iOS. Αυτό το πρόβλημα αντιμετωπίστηκε ενεργοποιώντας το Bluetooth μόνο για μεγάλες ή μικρές ενημερώσεις έκδοσης.
Αναγνωριστικό CVE
CVE-2014-4354: Maneet Singh, Sean Bluestein
Πολιτική αξιοπιστίας πιστοποιητικών
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ενημέρωση στην πολιτική αξιοπιστίας πιστοποιητικών
Περιγραφή: Ενημερώθηκε η πολιτική αξιοπιστίας πιστοποιητικών. Η πλήρης λίστα πιστοποιητικών είναι διαθέσιμη στη διεύθυνση https://support.apple.com/el-gr/HT204132.
CoreGraphics
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Το άνοιγμα ενός κακόβουλου αρχείου PDF ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Υπήρχε υπερχείλιση ακεραίων στον χειρισμό των αρχείων PDF. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.
Αναγνωριστικό CVE
CVE-2014-4377: Felipe Andres Manzano του Binamuse VRT σε συνεργασία με το πρόγραμμα iSIGHT Partners GVP
CoreGraphics
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Το άνοιγμα ενός κακόβουλου αρχείου PDF ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αποκάλυψη πληροφοριών
Περιγραφή: Υπήρχε ένα πρόβλημα ανάγνωσης μνήμης εκτός ορίων στον χειρισμό των αρχείων PDF. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.
Αναγνωριστικό CVE
CVE-2014-4378: Felipe Andres Manzano του Binamuse VRT σε συνεργασία με το πρόγραμμα iSIGHT Partners GVP
Ανίχνευση δεδομένων
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Πατώντας μια σύνδεση FaceTime στο Mail μπορούσε να έχει ως αποτέλεσμα την έναρξη μιας κλήσης ήχου FaceTime χωρίς ερώτηση
Περιγραφή: Το Mail δεν ενημέρωνε τον χρήστη πριν από την εκκίνηση διευθύνσεων URL facetime-audio://. Αυτό το πρόβλημα αντιμετωπίστηκε με την προσθήκη ενός ερωτήματος επιβεβαίωσης.
Αναγνωριστικό CVE
CVE-2013-6835: Guillaume Ross
Υποδομή
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή που χρησιμοποιεί το NSXMLParser μπορεί να χρησιμοποιηθεί με κακόβουλο τρόπο για την αποκάλυψη πληροφοριών
Περιγραφή: Υπήρχε ένα πρόβλημα με το XML External Entity στον χειρισμό του XML από το NSXMLParser. Αυτό το πρόβλημα αντιμετωπίστηκε αποτρέποντας τη φόρτωση εξωτερικών οντοτήτων μεταξύ προελεύσεων.
Αναγνωριστικό CVE
CVE-2014-4374: George Gal του VSR (http://www.vsecurity.com/)
Οθόνη Αφετηρίας και οθόνη κλειδώματος
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή στο παρασκήνιο μπορεί να καθορίσει ποια εφαρμογή είναι στο προσκήνιο
Περιγραφή: Το ιδιωτικό API για τον καθορισμό της εφαρμογής που είναι στο προσκήνιο δεν διέθετε επαρκή έλεγχο πρόσβασης. Το πρόβλημα αντιμετωπίστηκε με πρόσθετο έλεγχο πρόσβασης.
Αναγνωριστικό CVE
CVE-2014-4361: Andreas Kurtz του NESO Security Labs και Markus Troßbach του Heilbronn University
iMessage
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Τα συνημμένα ενδέχεται να εξακολουθούν να υπάρχουν ύστερα από τη διαγραφή του γονικού μηνύματος iMessage ή MMS
Περιγραφή: Υπήρχε ένα πρόβλημα συνθήκης συναγωνισμού στον τρόπο διαγραφής των συνημμένων. Αυτό το πρόβλημα αντιμετωπίστηκε με την εκτέλεση πρόσθετων ελέγχων σχετικά με τη διαγραφή ενός συνημμένου.
Αναγνωριστικό CVE
CVE-2014-4353: Silviu Schiau
- IOAcceleratorFamily
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να προκαλέσει απρόσμενο τερματισμό του συστήματος
Περιγραφή: Υπήρχε ένα πρόβλημα διακοπής αναφοράς δείκτη null στον χειρισμό των ορισμάτων του API IOAcceleratorFamily. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση των ορισμάτων του API IOAcceleratorFamily.
Αναγνωριστικό CVE
CVE-2014-4369: Sarah γνωστή και ως winocm, και Cererdlong της Alibaba Mobile Security Team
Η καταχώριση ενημερώθηκε στις 3 Φεβρουαρίου 2020 IOAcceleratorFamily
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Η συσκευή ενδέχεται να επανεκκινηθεί απρόσμενα
Περιγραφή: Υπήρχε ένα πρόβλημα διακοπής αναφοράς δείκτη null στο πρόγραμμα οδήγησης IntelAccelerator. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό σφαλμάτων.
Αναγνωριστικό CVE
CVE-2014-4373: cunzhang από το Adlab του Venustech
IOHIDFamily
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή θα μπορούσε να διαβάσει δείκτες του πυρήνα, οι οποίοι μπορούν να χρησιμοποιηθούν για να παρακάμψουν την τυχαία διαμόρφωση του χώρου διευθύνσεων του πυρήνα
Περιγραφή: Υπήρχε ένα πρόβλημα ανάγνωσης εκτός ορίων στον χειρισμό μιας συνάρτησης IOHIDFamily. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.
Αναγνωριστικό CVE
CVE-2014-4379: Ian Beer του Google Project Zero
IOHIDFamily
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Υπήρχε υπερχείλιση buffer σωρού στον χειρισμό των ιδιοτήτων αντιστοίχισης πλήκτρων από το IOHIDFamily. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.
Αναγνωριστικό CVE
CVE-2014-4404: Ian Beer του Google Project Zero
IOHIDFamily
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Υπήρχε ένα πρόβλημα διακοπής αναφοράς δείκτη null στον χειρισμό των ιδιοτήτων αντιστοίχισης πλήκτρων από το IOHIDFamily. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση των ιδιοτήτων αντιστοίχισης πλήκτρων από το IOHIDFamily.
Αναγνωριστικό CVE
CVE-2014-4405: Ian Beer του Google Project Zero
IOHIDFamily
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Υπήρχε ένα πρόβλημα εγγραφής εκτός ορίων στην επέκταση πυρήνα IOHIDFamily. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.
Αναγνωριστικό CVE
CVE-2014-4380: cunzhang από το Adlab του Venustech
IOKit
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να διαβάσει μη αρχικοποιημένα δεδομένα από τη μνήμη πυρήνα
Περιγραφή: Υπήρχε ένα πρόβλημα πρόσβασης μη αρχικοποιημένης μνήμης στον χειρισμό των συναρτήσεων IOKit. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη αρχικοποίηση της μνήμης
Αναγνωριστικό CVE
CVE-2014-4407: @PanguTeam
IOKit
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Υπήρχε ένα πρόβλημα επαλήθευσης στον χειρισμό ορισμένων πεδίων μεταδεδομένων των αντικειμένων IODataQueue. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης μεταδεδομένων.
Αναγνωριστικό CVE
CVE-2014-4418: Ian Beer του Google Project Zero
IOKit
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Υπήρχε ένα πρόβλημα επαλήθευσης στον χειρισμό ορισμένων πεδίων μεταδεδομένων των αντικειμένων IODataQueue. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης μεταδεδομένων.
Αναγνωριστικό CVE
CVE-2014-4388: @PanguTeam
IOKit
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Υπήρχε υπερχείλιση ακεραίων στον χειρισμό των συναρτήσεων IOKit. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση των ορισμάτων API του IOKit.
Αναγνωριστικό CVE
CVE-2014-4389: Ian Beer του Google Project Zero
Πυρήνας
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένας τοπικός χρήστης ενδεχομένως να μπορεί να καθορίσει τη διαμόρφωση της μνήμης πυρήνα
Περιγραφή: Υπήρχαν πολλά προβλήματα μη αρχικοποιημένης μνήμης στη διασύνδεση στατιστικών δικτύου, κάτι που οδήγησε σε αποκάλυψη του περιεχομένου της μνήμης πυρήνα. Αυτό το πρόβλημα αντιμετωπίστηκε με πρόσθετη αρχικοποίηση μνήμης.
Αναγνωριστικό CVE
CVE-2014-4371: Fermin J. Serna της Google Security Team
CVE-2014-4419: Fermin J. Serna της Google Security Team
CVE-2014-4420: Fermin J. Serna της Google Security Team
CVE-2014-4421: Fermin J. Serna της Google Security Team
Πυρήνας
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένα άτομο με προνομιακή θέση στο δίκτυο μπορεί να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Υπήρχε ένα πρόβλημα συνθήκης συναγωνισμού στον χειρισμό των πακέτων IPv6. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο έλεγχο της κατάστασης κλειδώματος.
Αναγνωριστικό CVE
CVE-2011-2391: Marc Heuse
Πυρήνας
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να έχει τη δυνατότητα να προκαλέσει μη αναμενόμενο τερματισμό του συστήματος ή αυθαίρετη εκτέλεση κώδικα στον πυρήνα
Περιγραφή: Υπήρχε ένα πρόβλημα σφάλματος τύπου «double free» στον χειρισμό των θυρών Mach. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση των θυρών Mach.
Αναγνωριστικό CVE
CVE-2014-4375: ένας ανώνυμος ερευνητής
Πυρήνας
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να έχει τη δυνατότητα να προκαλέσει μη αναμενόμενο τερματισμό του συστήματος ή αυθαίρετη εκτέλεση κώδικα στον πυρήνα
Περιγραφή: Υπήρχε ένα πρόβλημα ανάγνωσης εκτός ορίων στο rt_setgate. Αυτό ενδέχεται να προκαλέσει την αποκάλυψη ή καταστροφή της μνήμης. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.
Αναγνωριστικό CVE
CVE-2014-4408
Πυρήνας
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ορισμένα μέτρα ενίσχυσης του πυρήνα μπορούν να παρακαμφθούν
Περιγραφή: Η γεννήτρια τυχαίων αριθμών που χρησιμοποιείται νωρίς στη διαδικασία εκκίνησης για τα μέτρα ενίσχυσης του πυρήνα δεν διέθετε ασφαλή κρυπτογράφηση. Ορισμένα αποτελέσματά της μπορούσαν να αποκαλυφθούν από τον χώρο του χρήστη, επιτρέποντας την παράκαμψη των μέτρων ενίσχυσης. Αυτό το πρόβλημα αντιμετωπίστηκε χρησιμοποιώντας έναν ασφαλή αλγόριθμο κρυπτογράφησης.
Αναγνωριστικό CVE
CVE-2014-4422: Tarjei Mandt της Azimuth Security
Libnotify
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια ρίζας
Περιγραφή: Υπήρχε ένα πρόβλημα εγγραφής εκτός ορίων στο Libnotify. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.
Αναγνωριστικό CVE
CVE-2014-4381: Ian Beer του Google Project Zero
Κλείδωμα
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Μια συσκευή μπορεί να τροποποιηθεί ώστε να εμφανίζει λανθασμένα την οθόνη Αφετηρίας όταν κλειδωθεί η ενεργοποίηση της συσκευής
Περιγραφή: Υπήρχε ένα πρόβλημα με τη συμπεριφορά ξεκλειδώματος, η οποία είχε ως αποτέλεσμα τη μετάβαση της συσκευής στην οθόνη Αφετηρίας, ακόμα και όταν έπρεπε να βρίσκεται κατάσταση κλειδώματος ενεργοποίησης. Αυτό το πρόβλημα αντιμετωπίστηκε αλλάζοντας τις πληροφορίες που επαληθεύει μια συσκευή κατά τη διάρκεια μιας αίτησης ξεκλειδώματος.
Αναγνωριστικό CVE
CVE-2014-1360
Mail
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Τα διαπιστευτήρια σύνδεσης μπορούν να αποσταλούν σε μορφή απλού κειμένου, ακόμα και όταν ο διακομιστής έχει ανακοινώσει τη δυνατότητα LOGINDISABLED IMAP
Περιγραφή: Το Mail έκανε αποστολή της εντολής LOGIN στους διακομιστές, ακόμα και όταν οι διακομιστές είχαν ανακοινώσει τη δυνατότητα LOGINDISABLED IMAP. Αυτό το πρόβλημα είναι σημαντικό κυρίως κατά τη σύνδεση σε διακομιστές, οι οποίοι έχουν ρυθμιστεί για να αποδέχονται μη κρυπτογραφημένες συνδέσεις και να ανακοινώνουν τη δυνατότητα LOGINDISABLED. Αυτό το πρόβλημα αντιμετωπίστηκε τηρώντας τη δυνατότητα LOGINDISABLED IMAP.
Αναγνωριστικό CVE
CVE-2014-4366: Mark Crispin
Mail
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένα άτομο με φυσική πρόσβαση σε μια συσκευή iOS ενδεχομένως να μπορεί να διαβάσει τα συνημμένα email
Περιγραφή: Υπήρχε ένα πρόβλημα λογικής στον τρόπο με τον οποίο το Mail χρησιμοποιούσε την Προστασία δεδομένων στα συνημμένα αρχεία των email. Αυτό το πρόβλημα αντιμετωπίστηκε ρυθμίζοντας κατάλληλα την κλάση «Προστασία δεδομένων» για τα συνημμένα αρχεία των email.
Αναγνωριστικό CVE
CVE-2014-1348: Andreas Kurtz του NESO Security Labs
Προφίλ
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Η Φωνητική κλήση ενεργοποιείται απρόσμενα μετά την αναβάθμιση του iOS
Περιγραφή: Η Φωνητική κλήση ενεργοποιούταν αυτόματα μετά την αναβάθμιση του iOS. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.
Αναγνωριστικό CVE
CVE-2014-4367: Sven Heinemann
Safari
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Τα διαπιστευτήρια χρήστη ενδέχεται να αποκαλυφθούν σε έναν μη προοριζόμενο ιστότοπο μέσω αυτόματης συμπλήρωσης
Περιγραφή: Το Safari ενδέχεται να έχει συμπληρώσει αυτόματα ονόματα χρήστη και συνθηματικά σε ένα δευτερεύον πλαίσιο από έναν διαφορετικό τομέα, αντί για το κύριο πλαίσιο. Αυτό το πρόβλημα αντιμετωπίστηκε με τη βελτίωση του εντοπισμού προέλευσης.
Αναγνωριστικό CVE
CVE-2013-5227: Niklas Malmgren της Klarna AB
Safari
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση δικτύου μπορεί να υποκλέψει τα διαπιστευτήρια ενός χρήστη
Περιγραφή: Τα αποθηκευμένα συνθηματικά συμπληρωνόταν αυτόματα σε ιστότοπους http, σε μη αξιόπιστους ιστότοπους https και σε iframe. Αυτό το πρόβλημα αντιμετωπίστηκε περιορίζοντας την αυτόματη συμπλήρωση συνθηματικών στο κύριο πλαίσιο των ιστότοπων https με έγκυρες αλυσίδες πιστοποιητικών.
Αναγνωριστικό CVE
CVE-2014-4363: David Silver, Suman Jana και Dan Boneh του Stanford University σε συνεργασία με τους Eric Chen και Collin Jackson του Carnegie Mellon University
Safari
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση δικτύου μπορεί να πλαστογραφήσει διευθύνσεις URL στο Safari
Περιγραφή: Υπήρχε μια ασυνέπεια διεπαφής χρήστη στο Safari στις συσκευές με δυνατότητα MDM. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένων ελέγχων συνέπειας διεπαφής χρήστη.
Αναγνωριστικό CVE
CVE-2014-8841: Angelo Prado της Salesforce Product Security
Προφίλ sandbox
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Τα στοιχεία του Apple ID γίνονται διαθέσιμα σε εφαρμογές τρίτων
Περιγραφή: Υπήρχε πρόβλημα αποκάλυψης πληροφοριών στο sandbox της εφαρμογής τρίτου. Αυτό το πρόβλημα αντιμετωπίστηκε βελτιώνοντας το προφίλ sandbox τρίτου.
Αναγνωριστικό CVE
CVE-2014-4362: Andreas Kurtz του NESO Security Labs και Markus Troßbach του Heilbronn University
Ρυθμίσεις
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Οι προεπισκοπήσεις μηνυμάτων κειμένου ενδέχεται να εμφανιστούν στην οθόνη κλειδώματος, ακόμα και όταν αυτή η δυνατότητα είναι απενεργοποιημένη
Περιγραφή: Υπήρχε ένα πρόβλημα με την προεπισκόπηση των ειδοποιήσεων μηνυμάτων κειμένου στην οθόνη κλειδώματος. Ως αποτέλεσμα, το περιεχόμενο των μηνυμάτων που είχαν ληφθεί εμφανιζόταν στην οθόνη κλειδώματος, ακόμα και όταν οι προεπισκοπήσεις ήταν απενεργοποιημένες στις Ρυθμίσεις. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη παρατήρηση αυτής της ρύθμισης.
Αναγνωριστικό CVE
CVE-2014-4356: Mattia Schirinzi από το San Pietro Vernotico (BR), Ιταλία
syslog
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να αλλάξει τα δικαιώματα σε αυθαίρετα αρχεία
Περιγραφή: Το syslogd ακολουθούσε συμβολικούς συνδέσμους κατά την αλλαγή δικαιωμάτων στα αρχεία. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό των συμβολικών συνδέσμων.
Αναγνωριστικό CVE
CVE-2014-4372: Tielei Wang και YeongJin Jang του Georgia Tech Information Security Center (GTISC)
Καιρός
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Οι πληροφορίες τοποθεσίες αποστέλλονταν χωρίς κρυπτογράφηση
Περιγραφή: Υπήρχε ένα πρόβλημα αποκάλυψης πληροφοριών σε ένα API που χρησιμοποιείται για τον καθορισμό του τοπικού καιρού. Αυτό το πρόβλημα αντιμετωπίστηκε αλλάζοντας API.
WebKit
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένας κακόβουλος ιστότοπος ενδέχεται να μπορεί να παρακολουθεί τους επισκέπτες ακόμα και όταν είναι ενεργοποιημένη η ιδιωτική περιήγηση
Περιγραφή: Μια εφαρμογή ιστού μπορούσε να αποθηκεύσει δεδομένα cache εφαρμογών HTML 5 κατά τη διάρκεια της κανονικής περιήγησης και έπειτα να τα διαβάσει κατά την ιδιωτική περιήγηση. Αυτό αντιμετωπίστηκε απενεργοποιώντας την πρόσβαση στο cache της εφαρμογής κατά τη διάρκεια της ιδιωτικής περιήγησης.
Αναγνωριστικό CVE
CVE-2014-4409: Yosuke Hasegawa (NetAgent Co., Led.)
WebKit
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Η επίσκεψη σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Υπήρχαν προβλήματα αλλοίωσης μνήμης στο WebKit. Αυτά τα προβλήματα αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.
Αναγνωριστικό CVE
CVE-2013-6663: Atte Kettunen του OUSPG
CVE-2014-1384: Apple
CVE-2014-1385: Apple
CVE-2014-1387: Google Chrome Security Team
CVE-2014-1388: Apple
CVE-2014-1389: Apple
CVE-2014-4410: Eric Seidel της Google
CVE-2014-4411: Google Chrome Security Team
CVE-2014-4412: Apple
CVE-2014-4413: Apple
CVE-2014-4414: Apple
CVE-2014-4415: Apple
Wi-Fi
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Μπορεί να γίνει παθητική παρακολούθηση μιας συσκευής από τη διεύθυνση MAC του Wi-Fi
Περιγραφή: Υπήρχε ένα πρόβλημα αποκάλυψης πληροφοριών επειδή χρησιμοποιούνταν μια σταθερή διεύθυνση MAC για τη σάρωση δικτύων Wi-Fi. Αυτό το πρόβλημα αντιμετωπίστηκε χρησιμοποιώντας τυχαία διεύθυνση MAC για παθητικές σαρώσεις Wi-Fi.
Σημείωση:
Το iOS 8 περιλαμβάνει αλλαγές σε ορισμένες δυνατότητες διαγνωστικών. Για περισσότερες πληροφορίες, ανατρέξτε στο άρθρο https://support.apple.com/el-gr/HT203034
Τώρα, το iOS 8 επιτρέπει σε συσκευές να καταργούν την αξιοπιστία όλων των υπολογιστών που θεωρούνταν αξιόπιστοι στο παρελθόν. Για οδηγίες, ανατρέξτε στο άρθρο https://support.apple.com/el-gr/HT202778
Το FaceTime δεν είναι διαθέσιμο σε όλες τις χώρες ή περιοχές.