Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του iOS 7.1.1

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του iOS 7.1.1.

Για την προστασία των πελατών μας, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει θέματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple.

Για πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, διαβάστε το άρθρο "Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple".

Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE, για την αναφορά σε συγκεκριμένες ευπάθειες για περαιτέρω πληροφόρηση.

Για να ενημερωθείτε σχετικά με άλλες ενημερώσεις ασφάλειας, διαβάστε το άρθρο "Ενημερώσεις ασφάλειας Apple."

iOS 7.1.1

  • CFNetwork HTTPProtocol

    Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση στο δίκτυο μπορεί να αποκτήσει διαπιστευτήρια ιστότοπου

    Περιγραφή: Θα γινόταν επεξεργασία των κεφαλίδων HTTP Set-Cookie ακόμα και αν η σύνδεση έκλεινε πριν η γραμμή της κεφαλίδας ολοκληρωθεί. Ένας εισβολέας θα μπορούσε να αφαιρέσει τις ρυθμίσεις ασφάλειας από το cookie, τερματίζοντας τη σύνδεση πριν ολοκληρωθεί η αποστολή των ρυθμίσεων ασφάλειας και, στη συνέχεια, αποκτώντας την τιμή του μη προστατευμένου cookie. Αυτό το πρόβλημα αντιμετωπίστηκε αγνοώντας τις ατελείς γραμμές κεφαλίδας HTTP.

    Αναγνωριστικό CVE

    CVE-2014-1296 : Antoine Delignat-Lavaud της Prosecco στο Inria Paris

  • Πυρήνας IOKit

    Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να διαβάσει δείκτες του πυρήνα, οι οποίοι μπορούν να χρησιμοποιηθούν για να παρακάμψουν την τυχαία διαμόρφωση του χώρου διευθύνσεων του πυρήνα

    Περιγραφή: Θα μπορούσε να ανακτηθεί από το userland ένα σύνολο από δείκτες πυρήνα που είναι αποθηκευμένοι σε ένα αντικείμενο IOKit. Αυτό το πρόβλημα αντιμετωπίστηκε καταργώντας τους δείκτες από το αντικείμενο.

    Αναγνωριστικό CVE

    CVE-2014-1320 : Ο Ian Beer του Google Project Zero σε συνεργασία με το πρόγραμμα Zero Day Initiative της HP

  • Ασφάλεια - Διασύνδεση ασφαλούς μεταφοράς

    Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση στο δίκτυο μπορεί να καταγράψει δεδομένα ή να αλλάξει τις λειτουργίες που εκτελούνται σε περιόδους λειτουργίας, οι οποίες διαθέτουν προστασία SSL

    Περιγραφή: Σε μια επίθεση 'triple handshake', ένας εισβολέας μπορούσε να δημιουργήσει δύο συνδέσεις οι οποίες διέθεταν τα ίδια κλειδιά κρυπτογράφησης και handshake, να εισαγάγει τα δεδομένα του σε μία από τις συνδέσεις και να κάνει επαναδιαπραγμάτευση ώστε οι συνδέσεις να μπορούν να προωθούνται μεταξύ τους. Για να αποτραπούν τέτοιου είδους επιθέσεις, τροποποιήθηκε η Διασύνδεση ασφαλούς μεταφοράς έτσι ώστε, από προεπιλογή, μια επαναδιαπραγμάτευση να πρέπει να παρουσιάζει το ίδιο πιστοποιητικό διακομιστή με αυτό που παρουσιάστηκε στην αρχική σύνδεση.

    Αναγνωριστικό CVE

    CVE-2014-1295 : Antoine Delignat-Lavaud, Karthikeyan Bhargavan και Alfredo Pironti της Prosecco στο Inria Paris

  • WebKit

    Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Η επίσκεψη σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα

    Περιγραφή: Στο WebKit υπήρχαν πολλά προβλήματα αλλοίωσης της μνήμης. Αυτά τα προβλήματα αντιμετωπίστηκαν με τη βελτίωση της διαχείρισης της μνήμης.

    Αναγνωριστικό CVE

    CVE-2013-2871 : miaubiz

    CVE-2014-1298 : Ομάδα ασφάλειας Google Chrome

    CVE-2014-1299 : Ομάδα ασφάλειας Google Chrome, Apple, Renata Hodovan του University of Szeged / Samsung Electronics

    CVE-2014-1300 : Ο Ian Beer του Google Project Zero σε συνεργασία με το πρόγραμμα Zero Day Initiative της HP

    CVE-2014-1302 : Ομάδα ασφάλειας Google Chrome, Apple

    CVE-2014-1303 : Η KeenTeam σε συνεργασία με το πρόγραμμα Zero Day Initiative της HP

    CVE-2014-1304 : Apple

    CVE-2014-1305 : Apple

    CVE-2014-1307 : Ομάδα ασφάλειας Google Chrome

    CVE-2014-1308 : Ομάδα ασφάλειας Google Chrome

    CVE-2014-1309 : cloudfuzzer

    CVE-2014-1310 : Ομάδα ασφάλειας Google Chrome

    CVE-2014-1311 : Ομάδα ασφάλειας Google Chrome

    CVE-2014-1312 : Ομάδα ασφάλειας Google Chrome

    CVE-2014-1313 : Ομάδα ασφάλειας Google Chrome

    CVE-2014-1713 : Η VUPEN σε συνεργασία με το πρόγραμμα Zero Day Initiative της HP

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Υπάρχουν κίνδυνοι στη χρήση του Διαδικτύου. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες. Οι επωνυμίες άλλων εταιρειών και προϊόντων ενδέχεται να είναι εμπορικά σήματα των αντίστοιχων κατόχων τους.

Published Date: