Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του iOS 8.1.3

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του iOS 8.1.3

Για την προστασία των πελατών μας, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει θέματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple.

Για περισσότερες πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, ανατρέξτε στο άρθρο Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple.

Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE, για την αναφορά σε συγκεκριμένες ευπάθειες για περαιτέρω πληροφόρηση.

Για να ενημερωθείτε σχετικά με άλλες Ενημερώσεις ασφάλειας, ανατρέξτε στο άρθρο Ενημερώσεις ασφάλειας Apple.

iOS 8.1.3

  • AppleFileConduit

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια κακόβουλη εντολή afc ενδέχεται να επιτρέψει την πρόσβαση σε προστατευμένα τμήματα του συστήματος αρχείων

    Περιγραφή: Υπήρχε μια ευπάθεια στον μηχανισμό συμβολικών συνδέσεων της εντολής afc. Αυτό το πρόβλημα αντιμετωπίστηκε με την προσθήκη επιπλέον ελέγχων διαδρομών.

    Αναγνωριστικό CVE

    CVE-2014-4480 : TaiG Jailbreak Team

  • CoreGraphics

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Το άνοιγμα ενός κακόβουλου αρχείου PDF ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα

    Περιγραφή: Υπήρχε υπερχείλιση ακεραίων στο χειρισμό των αρχείων PDF. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

    Αναγνωριστικό CVE

    CVE-2014-4481 : Felipe Andres Manzano του Binamuse VRT, μέσω του προγράμματος iSIGHT Partners GVP

  • dyld

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να εκτελεί κώδικα χωρίς υπογραφή

    Περιγραφή: Στον χειρισμό εκτελέσιμων αρχείων Mach-O με επικαλυπτόμενα τμήματα υπήρχε πρόβλημα διαχείρισης της κατάστασης. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση των μεγεθών των τμημάτων.

    Αναγνωριστικό CVE

    CVE-2014-4455 : TaiG Jailbreak Team

  • FontParser

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Το άνοιγμα ενός κακόβουλου αρχείου PDF ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα

    Περιγραφή: Υπήρχε υπερχείλιση buffer στο χειρισμό αρχείων γραμματοσειρών. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

    Αναγνωριστικό CVE

    CVE-2014-4483 : Apple

  • FontParser

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου .dfont ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα

    Περιγραφή: Υπήρχε πρόβλημα αλλοίωσης μνήμης στο χειρισμό αρχείων .dfont. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

    Αναγνωριστικό CVE

    CVE-2014-4484 : Gaurav Baruah σε συνεργασία με το πρόγραμμα Zero Day Initiative της HP

  • Υποδομή

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Η προβολή κακόβουλου αρχείου XML ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα

    Περιγραφή: Υπήρχε υπερχείλιση buffer στον συντακτικό αναλυτή XML. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

    Αναγνωριστικό CVE

    CVE-2014-4485 : Apple

  • IOAcceleratorFamily

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελεί αυθαίρετο κώδικα με προνόμια συστήματος

    Περιγραφή: Υπήρχε μια διακοπή αναφοράς δείκτη null στο χειρισμό των λιστών πόρων από το IOAcceleratorFamily. Αυτό το πρόβλημα αντιμετωπίστηκε αφαιρώντας μη απαραίτητο κώδικα.

    Αναγνωριστικό CVE

    CVE-2014-4486 : Ian Beer του Google Project Zero

  • IOHIDFamily

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελεί αυθαίρετο κώδικα με προνόμια συστήματος

    Περιγραφή: Υπήρχε υπερχείλιση buffer στο IOHIDFamily. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση μεγέθους.

    Αναγνωριστικό CVE

    CVE-2014-4487 : TaiG Jailbreak Team

  • IOHIDFamily

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελεί αυθαίρετο κώδικα με προνόμια συστήματος

    Περιγραφή: Υπήρχε ένα πρόβλημα επικύρωσης στο χειρισμό μεταδεδομένων ουράς πόρων από το IOHIDFamily. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση των μεταδεδομένων.

    Αναγνωριστικό CVE

    CVE-2014-4488 : Apple

  • IOHIDFamily

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελεί αυθαίρετο κώδικα με προνόμια συστήματος

    Περιγραφή: Υπήρχε μια διακοπή αναφοράς δείκτη null στο χειρισμό των ουρών συμβάντων από το IOHIDFamily. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση.

    Αναγνωριστικό CVE

    CVE-2014-4489 : @beist

  • iTunes Store

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας ιστότοπος ενδέχεται να μπορεί να παρακάμψει τους περιορισμούς sandbox χρησιμοποιώντας το iTunes Store

    Περιγραφή: Υπήρχε ένα πρόβλημα στο χειρισμό των διευθύνσεων URL που ανακατευθύνονταν από το Safari στο iTunes Store, το οποίο μπορούσε να επιτρέψει σε έναν κακόβουλο ιστότοπο να παρακάμψει τους περιορισμούς sandbox του Safari. Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο φιλτράρισμα των διευθύνσεων URL που άνοιγε το iTunes Store.

    Αναγνωριστικό CVE

    CVE-2014-8840 : lokihardt@ASRT σε συνεργασία με το πρόγραμμα Zero Day Initiative της HP

  • Kerberos

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελεί αυθαίρετο κώδικα με προνόμια συστήματος

    Περιγραφή: Η βιβλιοθήκη Kerberos libgssapi επέστρεφε ένα διακριτικό περιβάλλοντος με έναν αιωρούμενο δείκτη. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

    Αναγνωριστικό CVE

    CVE-2014-5352

  • Πυρήνας

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Κακόβουλες ή παραβιασμένες εφαρμογές iOS ενδέχεται να μπορούν να προσδιορίσουν διευθύνσεις στον πυρήνα

    Περιγραφή: Υπήρχε πρόβλημα αποκάλυψης πληροφοριών στο χειρισμό API που είχαν σχέση με επεκτάσεις του πυρήνα. Οι απαντήσεις που περιέχουν ένα κλειδί OSBundleMachOHeaders ενδέχεται να έχουν συμπεριλάβει διευθύνσεις του πυρήνα, γεγονός που ενδέχεται να βοηθά στην παράκαμψη της προστασίας τυχαίας διαμόρφωσης του χώρου διευθύνσεων του πυρήνα. Αυτό το πρόβλημα αντιμετωπίστηκε με αλλαγή της θέσης των διευθύνσεων πριν την επιστροφή τους.

    Αναγνωριστικό CVE

    CVE-2014-4491 : @PanguTeam, Stefan Esser

  • Πυρήνας

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελεί αυθαίρετο κώδικα με προνόμια συστήματος

    Περιγραφή: Υπήρχε ένα πρόβλημα στο υποσύστημα κοινόχρηστης μνήμης του πυρήνα που επέτρεπε σε έναν εισβολέα την εγγραφή σε μνήμη που προοριζόταν μόνο για ανάγνωση. Αυτό το πρόβλημα αντιμετωπίστηκε με αυστηρότερο έλεγχο των δικαιωμάτων κοινόχρηστης μνήμης.

    Αναγνωριστικό CVE

    CVE-2014-4495 : Ian Beer του Google Project Zero

  • Πυρήνας

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Κακόβουλες ή παραβιασμένες εφαρμογές iOS ενδέχεται να μπορούν να προσδιορίσουν διευθύνσεις στον πυρήνα

    Περιγραφή: Η διεπαφή πυρήνα mach_port_kobject επέτρεπε τη διαρροή διευθύνσεων πυρήνα και τιμής μεταλλαγής σωρού, γεγονός που μπορεί να βοηθήσει στην παράκαμψη της προστασίας τυχαίας διαμόρφωσης του χώρου διευθύνσεων του πυρήνα. Αυτό το πρόβλημα αντιμετωπίστηκε με την απενεργοποίηση της διεπαφής mach_port_kobject στις διαμορφώσεις παραγωγής.

    Αναγνωριστικό CVE

    CVE-2014-4496 : TaiG Jailbreak Team

  • libnetcore

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια κακόβουλη εφαρμογή στο sandbox μπορεί να παραβιάσει το δαίμονα networkd

    Περιγραφή: Υπήρχαν πολλά προβλήματα σύγχυσης τύπου στο χειρισμό της επικοινωνίας μεταξύ διεργασιών από το δαίμονα networkd. Με την αποστολή ενός κακόβουλου μηνύματος στο δαίμονα networkd, ήταν δυνατό να εκτελεστεί αυθαίρετος κώδικας ως διεργασία networkd. Το πρόβλημα αντιμετωπίστηκε με πρόσθετο έλεγχο τύπου.

    Αναγνωριστικό CVE

    CVE-2014-4492 : Ian Beer του Google Project Zero

  • MobileInstallation

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια κακόβουλη εφαρμογή με εταιρική υπογραφή ενδέχεται να μπορεί να αναλάβει τον έλεγχο του τοπικού κοντέινερ για εφαρμογές που βρίσκονται ήδη σε μια συσκευή

    Περιγραφή: Υπήρχε μια ευπάθεια στη διαδικασία εγκατάστασης εφαρμογών. Αυτό το πρόβλημα αντιμετωπίστηκε μην επιτρέποντας στις εταιρικές εφαρμογές να αντικαθιστούν τις υπάρχουσες εφαρμογές σε συγκεκριμένες συνθήκες.

    Αναγνωριστικό CVE

    CVE-2014-4493 : Hui Xue και Tao Wei της FireEye, Inc.

  • Αφετηρία

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ενδέχεται να γίνει έναρξη εφαρμογών με εταιρική υπογραφή χωρίς ερώτηση για επιβεβαίωση αξιοπιστίας

    Περιγραφή: Υπήρχε ένα πρόβλημα στον προσδιορισμό του χρόνου ερώτησης για επιβεβαίωση αξιοπιστίας κατά το άνοιγμα για πρώτη φορά μιας εφαρμογής με εταιρική υπογραφή. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση υπογραφής κώδικα.

    Αναγνωριστικό CVE

    CVE-2014-4494 : Song Jin, Hui Xue και Tao Wei της FireEye, Inc.

  • WebKit

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Η επίσκεψη σε έναν ιστότοπο με κακόβουλο περιεχόμενο ενδέχεται να προκαλέσει πλαστογράφηση του περιβάλλοντος χρήστη

    Περιγραφή: Υπήρχε πρόβλημα πλαστογράφησης περιβάλλοντος χρήστη στο χειρισμό των ορίων γραμμών κύλισης. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

    Αναγνωριστικό CVE

    CVE-2014-4467 : Jordan Milne

  • WebKit

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Τα φύλλα στυλ φορτώνονται μεταξύ προελεύσεων γεγονός που ενδέχεται να επιτρέψει την υποκλοπή δεδομένων

    Περιγραφή: Ένα SVG που έχει φορτωθεί σε ένα στοιχείο img μπορούσε να φορτώσει ένα αρχείο CSS μεταξύ προελεύσεων. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο αποκλεισμό εξωτερικών παραπομπών CSS σε SVG.

    Αναγνωριστικό CVE

    CVE-2014-4465 : Rennie deGraaf της iSEC Partners

  • WebKit

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Η επίσκεψη σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα

    Περιγραφή: Στο WebKit υπήρχαν πολλά προβλήματα αλλοίωσης της μνήμης. Αυτά τα προβλήματα αντιμετωπίστηκαν με βελτιωμένο χειρισμό της μνήμης.

    Αναγνωριστικό CVE

    CVE-2014-3192 : cloudfuzzer

    CVE-2014-4459

    CVE-2014-4466 : Apple

    CVE-2014-4468 : Apple

    CVE-2014-4469 : Apple

    CVE-2014-4470 : Apple

    CVE-2014-4471 : Apple

    CVE-2014-4472 : Apple

    CVE-2014-4473 : Apple

    CVE-2014-4474 : Apple

    CVE-2014-4475 : Apple

    CVE-2014-4476 : Apple

    CVE-2014-4477 : lokihardt@ASRT σε συνεργασία με το πρόγραμμα Zero Day Initiative της HP

    CVE-2014-4479 : Apple

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Υπάρχουν κίνδυνοι στη χρήση του Διαδικτύου. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες. Οι επωνυμίες άλλων εταιρειών και προϊόντων ενδέχεται να είναι εμπορικά σήματα των αντίστοιχων κατόχων τους.

Published Date: