Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του iOS 8

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του iOS 8.

Για την προστασία των πελατών μας, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε την ιστοσελίδα της Ασφάλειας προϊόντων Apple.

Για περισσότερες πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, ανατρέξτε στο άρθρο Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple.

Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE, για την αναφορά σε συγκεκριμένες ευπάθειες για περαιτέρω πληροφόρηση.

Για να ενημερωθείτε σχετικά με άλλες Ενημερώσεις ασφάλειας, διαβάστε το άρθρο Ενημερώσεις ασφάλειας Apple.

iOS 8

  • 802.1X

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας εισβολέας μπορεί να αποκτήσει διαπιστευτήρια WiFi

    Περιγραφή: Ένας εισβολέας θα μπορούσε να προσποιηθεί ένα σημείο πρόσβασης WiFi, να επαληθεύσει την ταυτότητά του με LEAP, να "σπάσει" τον κατακερματισμό MS-CHAPv1 και να χρησιμοποιήσει τα διαπιστευτήρια που απέκτησε για να επαληθεύσει την ταυτότητά του στο σημείο πρόσβασης που θέλει, ακόμα και αν αυτό το σημείο πρόσβασης υποστηρίζει πιο ισχυρές μεθόδους ελέγχου ταυτότητας. Αυτό το πρόβλημα αντιμετωπίστηκε απενεργοποιώντας το LEAP από προεπιλογή.

    Αναγνωριστικό CVE

    CVE-2014-4364 : Pieter Robyns, Bram Bonne, Peter Quax και Wim Lamotte του Universiteit Hasselt

  • Λογαριασμοί

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εντοπίσει το Apple ID του χρήστη

    Περιγραφή: Υπήρχε πρόβλημα στη λογική ελέγχου πρόσβασης για τους λογαριασμούς. Μια εφαρμογή sandbox θα μπορούσε να αποκτήσει πρόσβαση σε πληροφορίες για τον ενεργό λογαριασμό iCloud, συμπεριλαμβανομένου του ονόματος του λογαριασμού. Αυτό το πρόβλημα αντιμετωπίστηκε περιορίζοντας την πρόσβαση σε ορισμένους τύπους λογαριασμών από μη εξουσιοδοτημένες εφαρμογές.

    Αναγνωριστικό CVE

    CVE-2014-4423 : Adam Weaver

  • Προσβασιμότητα

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Η συσκευή ενδέχεται να μην κλειδώσει την οθόνη κατά τη χρήση του AssistiveTouch

    Περιγραφή: Υπήρχε πρόβλημα λογικής στο χειρισμό συμβάντων του AssistiveTouch, το οποίο είχε ως αποτέλεσμα η οθόνη να μην κλειδώνεται. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό του χρονοδιακόπτη κλειδώματος.

    Αναγνωριστικό CVE

    CVE-2014-4368 : Hendrik Bettermann

  • Πλαίσιο εργασίας λογαριασμών

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας εισβολέας με πρόσβαση σε μια συσκευή iOS θα μπορούσε να έχει πρόσβαση σε ευαίσθητες πληροφορίες από αρχεία καταγραφής

    Περιγραφή: Γινόταν καταγραφή ευαίσθητων πληροφοριών του χρήστη. Αυτό το πρόβλημα αντιμετωπίστηκε καταγράφοντας λιγότερες πληροφορίες.

    Αναγνωριστικό CVE

    CVE-2014-4357 : Heli Myllykoski του OP-Pohjola Group

  • Βιβλίο διευθύνσεων

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένα άτομο με φυσική πρόσβαση σε μια συσκευή iOS μπορεί να διαβάσει το βιβλίο διευθύνσεων

    Περιγραφή: Το βιβλίο διευθύνσεων κρυπτογραφήθηκε με ένα κλειδί το οποίο προστατεύεται μόνο από το UID υλικού. Αυτό το πρόβλημα αντιμετωπίστηκε κρυπτογραφώντας το βιβλίο διευθύνσεων με ένα κλειδί, το οποίο προστατεύεται από το UID υλικού και το συνθηματικό του χρήστη.

    Αναγνωριστικό CVE

    CVE-2014-4352 : Jonathan Zdziarski

  • Εγκατάσταση εφαρμογών

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας τοπικός εισβολέας μπορεί να κάνει κλιμάκωση δικαιωμάτων και να εγκαταστήσει εφαρμογές που δεν έχουν επαληθευτεί

    Περιγραφή: Υπήρχε ένα πρόβλημα συνθήκης συναγωνισμού στην εγκατάσταση εφαρμογών. Ένας εισβολέας με δυνατότητα εγγραφής στο /tmp θα μπορούσε να εγκαταστήσει μια εφαρμογή που δεν έχει επαληθευτεί. Αυτό το πρόβλημα αντιμετωπίστηκε ορίζοντας την εγκατάσταση αρχείων σε έναν άλλο κατάλογο.

    Αναγνωριστικό CVE

    CVE-2014-4386 : evad3rs

  • Εγκατάσταση εφαρμογών

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας τοπικός εισβολέας μπορεί να κάνει κλιμάκωση δικαιωμάτων και να εγκαταστήσει εφαρμογές που δεν έχουν επαληθευτεί

    Περιγραφή: Υπήρχε ένα πρόβλημα μετάβασης διαδρομής στην εγκατάσταση εφαρμογών. Ένας τοπικός εισβολέας θα μπορούσε να αλλάξει τον προορισμό της επικύρωσης υπογραφής κώδικα σε ένα πακέτο που διαφέρει από αυτό που εγκαθίσταται και να προκαλέσει την εγκατάσταση μιας μη επαληθευμένης εφαρμογής. Αυτό το πρόβλημα αντιμετωπίστηκε εντοπίζοντας και αποτρέποντας τη μετάβαση σε μια διαδρομή κατά τον καθορισμό της υπογραφής κώδικα που πρέπει να επαληθευτεί.

    Αναγνωριστικό CVE

    CVE-2014-4384 : evad3rs

  • Πόροι

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση στο δίκτυο μπορεί να κάνει μια συσκευή iOS να "νομίζει" ότι είναι ενημερωμένη, όταν στην πραγματικότητα δεν είναι

    Περιγραφή: Υπήρχε ένα πρόβλημα επαλήθευσης στο χειρισμό των αποκρίσεων ελέγχου ενημερώσεων. Ψευδείς ημερομηνίες από κεφαλίδες απόκρισης Last-Modified που είχαν οριστεί σε μελλοντικές ημερομηνίες χρησιμοποιήθηκαν για ελέγχους If-Modified-Since σε επόμενες αιτήσεις ενημέρωσης. Αυτό το πρόβλημα αντιμετωπίστηκε με επαλήθευση της κεφαλίδας Last-Modified.

    Αναγνωριστικό CVE

    CVE-2014-4383 : Raul Siles της DinoSec

  • Bluetooth

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Το Bluetooth ενεργοποιείται απρόσμενα από προεπιλογή μετά την αναβάθμιση του iOS

    Περιγραφή: Το Bluetooth ενεργοποιούταν αυτόματα μετά την αναβάθμιση του iOS. Αυτό το πρόβλημα αντιμετωπίστηκε ενεργοποιώντας το Bluetooth μόνο για μεγάλες ή μικρές ενημερώσεις έκδοσης.

    Αναγνωριστικό CVE

    CVE-2014-4354 : Maneet Singh, Sean Bluestein

  • Πολιτική αξιοπιστίας πιστοποιητικού

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ενημέρωση της πολιτικής αξιοπιστίας πιστοποιητικού

    Περιγραφή: Ενημερώθηκε η πολιτική αξιοπιστίας πιστοποιητικού. Η πλήρης λίστα πιστοποιητικών είναι διαθέσιμη στη διεύθυνση https://support.apple.com/el-gr/HT204132.

  • CoreGraphics

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Το άνοιγμα ενός κακόβουλου αρχείου PDF μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα

    Περιγραφή: Υπήρχε υπερχείλιση ακεραίων στο χειρισμό των αρχείων PDF. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

    Αναγνωριστικό CVE

    CVE-2014-4377 : Felipe Andres Manzano της Binamuse VRT σε συνεργασία με το πρόγραμμα iSIGHT Partners GVP

  • CoreGraphics

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Το άνοιγμα ενός κακόβουλου αρχείου PDF ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αποκάλυψη πληροφοριών

    Περιγραφή: Υπήρχε ένα πρόβλημα ανάγνωσης μνήμης εκτός ορίων στο χειρισμό των αρχείων PDF. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

    Αναγνωριστικό CVE

    CVE-2014-4378 : Felipe Andres Manzano της Binamuse VRT σε συνεργασία με το πρόγραμμα iSIGHT Partners GVP

  • Ανίχνευση δεδομένων

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Πατώντας μια σύνδεση FaceTime στο Mail μπορούσε να έχει ως αποτέλεσμα την έναρξη μιας κλήσης ήχου FaceTime χωρίς ερώτηση

    Περιγραφή: Το Mail δεν ενημέρωνε το χρήστη πριν από την εκκίνηση διευθύνσεων URL facetime-audio://. Αυτό το πρόβλημα αντιμετωπίστηκε με την προσθήκη ενός ερωτήματος επιβεβαίωσης.

    Αναγνωριστικό CVE

    CVE-2013-6835 : Guillaume Ross

  • Υποδομή

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια εφαρμογή που χρησιμοποιεί το NSXMLParser μπορεί να χρησιμοποιηθεί με κακόβουλο τρόπο για την αποκάλυψη πληροφοριών

    Περιγραφή: Υπήρχε ένα πρόβλημα XML External Entity στον χειρισμό XML από το NSXMLParser. Αυτό το πρόβλημα αντιμετωπίστηκε αποτρέποντας τη φόρτωση εξωτερικών οντοτήτων μεταξύ προελεύσεων.

    Αναγνωριστικό CVE

    CVE-2014-4374 : George Gal της VSR (http://www.vsecurity.com/)

  • Οθόνη Αφετηρίας και οθόνη κλειδώματος

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια εφαρμογή στο παρασκήνιο μπορεί να καθορίσει ποια εφαρμογή είναι στο προσκήνιο

    Περιγραφή: Το ιδιωτικό API για τον καθορισμό της εφαρμογής που είναι στο προσκήνιο δεν διέθετε επαρκή έλεγχο πρόσβασης. Το πρόβλημα αντιμετωπίστηκε με πρόσθετο έλεγχο πρόσβασης.

    Αναγνωριστικό CVE

    CVE-2014-4361 : Andreas Kurtz της NESO Security Labs και Markus Troßbach του Heilbronn University

  • iMessage

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Τα συνημμένα ενδέχεται να εξακολουθούν να υπάρχουν ύστερα από τη διαγραφή του γονικού μηνύματος iMessage ή MMS

    Περιγραφή: Υπήρχε ένα πρόβλημα συνθήκης συναγωνισμού στον τρόπο διαγραφής των συνημμένων. Αυτό το πρόβλημα αντιμετωπίστηκε με την εκτέλεση πρόσθετων ελέγχων σχετικά με τη διαγραφή ενός συνημμένου.

    Αναγνωριστικό CVE

    CVE-2014-4353 : Silviu Schiau

  • IOAcceleratorFamily

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια εφαρμογή ενδέχεται να προκαλέσει απρόσμενο τερματισμό του συστήματος

    Περιγραφή: Υπήρχε ένα πρόβλημα διακοπής αναφοράς δείκτη null στο χειρισμό των ορισμάτων του API IOAcceleratorFamily. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση των ορισμάτων του API IOAcceleratorFamily.

    Αναγνωριστικό CVE

    CVE-2014-4369 : Catherine aka winocm και Cererdlong της Alibaba Mobile Security Team

  • IOAcceleratorFamily

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Η συσκευή ενδέχεται να επανεκκινηθεί απρόσμενα

    Περιγραφή: Υπήρχε ένα πρόβλημα διακοπής αναφοράς δείκτη null στο πρόγραμμα οδήγησης IntelAccelerator. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό σφαλμάτων.

    Αναγνωριστικό CVE

    CVE-2014-4373 : cunzhang από το Adlab του Venustech

  • IOHIDFamily

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια κακόβουλη εφαρμογή θα μπορούσε να διαβάσει δείκτες πυρήνα, οι οποίοι μπορούν να χρησιμοποιηθούν για να παρακάμψουν την τυχαία διαμόρφωση του χώρου διευθύνσεων του πυρήνα

    Περιγραφή: Υπήρχε ένα πρόβλημα ανάγνωσης εκτός ορίων στο χειρισμό μιας συνάρτησης IOHIDFamily. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

    Αναγνωριστικό CVE

    CVE-2014-4379 : Ian Beer του Google Project Zero

  • IOHIDFamily

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

    Περιγραφή: Υπήρχε υπερχείλιση buffer σωρού στο χειρισμό των ιδιοτήτων αντιστοίχισης πλήκτρων από το IOHIDFamily. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

    Αναγνωριστικό CVE

    CVE-2014-4404 : Ian Beer του Google Project Zero

  • IOHIDFamily

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

    Περιγραφή: Υπήρχε ένα πρόβλημα διακοπής αναφοράς δείκτη null στο χειρισμό των ιδιοτήτων αντιστοίχισης πλήκτρων από το IOHIDFamily. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση των ιδιοτήτων αντιστοίχισης πλήκτρων από το IOHIDFamily.

    Αναγνωριστικό CVE

    CVE-2014-4405 : Ian Beer του Google Project Zero

  • IOHIDFamily

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

    Περιγραφή: Υπήρχε ένα πρόβλημα εγγραφής εκτός ορίων στην επέκταση πυρήνα IOHIDFamily. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

    Αναγνωριστικό CVE

    CVE-2014-4380 : cunzhang από το Adlab του Venustech

  • IOKit

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να διαβάσει μη αρχικοποιημένα δεδομένα από τη μνήμη πυρήνα

    Περιγραφή: Υπήρχε ένα πρόβλημα πρόσβασης μη αρχικοποιημένης μνήμης στο χειρισμό των συναρτήσεων IOKit. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη αρχικοποίηση της μνήμης

    Αναγνωριστικό CVE

    CVE-2014-4407 : @PanguTeam

  • IOKit

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

    Περιγραφή: Υπήρχε ένα πρόβλημα επαλήθευσης στο χειρισμό ορισμένων πεδίων μετα-δεδομένων των αντικειμένων IODataQueue. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης μετα-δεδομένων.

    Αναγνωριστικό CVE

    CVE-2014-4418 : Ian Beer του Google Project Zero

  • IOKit

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

    Περιγραφή: Υπήρχε ένα πρόβλημα επαλήθευσης στο χειρισμό ορισμένων πεδίων μετα-δεδομένων των αντικειμένων IODataQueue. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης μετα-δεδομένων.

    Αναγνωριστικό CVE

    CVE-2014-4388 : @PanguTeam

  • IOKit

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

    Περιγραφή: Υπήρχε υπερχείλιση ακεραίων στο χειρισμό των συναρτήσεων IOKit. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση των ορισμάτων API του IOKit.

    Αναγνωριστικό CVE

    CVE-2014-4389 : Ian Beer του Google Project Zero

  • Πυρήνας

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας τοπικός χρήστης ενδεχομένως να μπορεί να καθορίσει τη διαμόρφωση της μνήμης πυρήνα

    Περιγραφή: Υπήρχαν πολλαπλά προβλήματα μη αρχικοποιημένης μνήμης στη διασύνδεση στατιστικών δικτύου, κάτι που οδήγησε σε αποκάλυψη του περιεχομένου της μνήμης πυρήνα. Αυτό το πρόβλημα αντιμετωπίστηκε με πρόσθετη αρχικοποίηση μνήμης.

    Αναγνωριστικό CVE

    CVE-2014-4371 : Fermin J. Serna της Ομάδας Ασφάλειας Google

    CVE-2014-4419 : Fermin J. Serna της Ομάδας Ασφάλειας Google

    CVE-2014-4420 : Fermin J. Serna της Ομάδας Ασφάλειας Google

    CVE-2014-4421 : Fermin J. Serna της Ομάδας Ασφάλειας Google

  • Πυρήνας

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένα άτομο με προνομιακή θέση στο δίκτυο μπορεί να προκαλέσει άρνηση υπηρεσίας

    Περιγραφή: Υπήρχε ένα πρόβλημα συνθήκης συναγωνισμού στο χειρισμό των πακέτων IPv6. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο έλεγχο της κατάστασης κλειδώματος.

    Αναγνωριστικό CVE

    CVE-2011-2391 : Marc Heuse

  • Πυρήνας

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να έχει τη δυνατότητα να προκαλέσει μη αναμενόμενο τερματισμό του συστήματος ή αυθαίρετη εκτέλεση κώδικα στον πυρήνα

    Περιγραφή: Υπήρχε ένα πρόβλημα σφάλματος τύπου "double free" στο χειρισμό των θυρών Mach. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση των θυρών Mach.

    Αναγνωριστικό CVE

    CVE-2014-4375 : ένας ανώνυμος ερευνητής

  • Πυρήνας

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να έχει τη δυνατότητα να προκαλέσει μη αναμενόμενο τερματισμό του συστήματος ή αυθαίρετη εκτέλεση κώδικα στον πυρήνα

    Περιγραφή: Υπήρχε ένα πρόβλημα ανάγνωσης εκτός ορίων στο rt_setgate. Αυτό ενδέχεται να προκαλέσει την αποκάλυψη ή καταστροφή της μνήμης. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

    Αναγνωριστικό CVE

    CVE-2014-4408

  • Πυρήνας

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ορισμένα μέτρα ενίσχυσης του πυρήνα μπορούν να παρακαμφθούν

    Περιγραφή: Η γεννήτρια τυχαίων αριθμών που χρησιμοποιείται νωρίς στη διαδικασία εκκίνησης για τα μέτρα ενίσχυσης του πυρήνα δεν διέθετε ασφαλή κρυπτογράφηση. Ορισμένα αποτελέσματά της μπορούσαν να αποκαλυφθούν από το χώρο του χρήστη, επιτρέποντας την παράκαμψη των μέτρων ενίσχυσης. Αυτό το πρόβλημα αντιμετωπίστηκε χρησιμοποιώντας έναν ασφαλή αλγόριθμο κρυπτογράφησης.

    Αναγνωριστικό CVE

    CVE-2014-4422 : Tarjei Mandt της Azimuth Security

  • Libnotify

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια ρίζας

    Περιγραφή: Υπήρχε ένα πρόβλημα εγγραφής εκτός ορίων στο Libnotify. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

    Αναγνωριστικό CVE

    CVE-2014-4381 : Ian Beer του Google Project Zero

  • Κλείδωμα

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια συσκευή μπορεί να τροποποιηθεί ώστε να εμφανίζει λανθασμένα την οθόνη Αφετηρίας όταν κλειδωθεί η ενεργοποίηση της συσκευής

    Περιγραφή: Υπήρχε ένα πρόβλημα με τη συμπεριφορά ξεκλειδώματος, το οποίο είχε ως αποτέλεσμα τη μετάβαση της συσκευής στην οθόνη Αφετηρίας, ακόμα και όταν έπρεπε να βρίσκεται σε κατάσταση κλειδώματος ενεργοποίησης. Αυτό το πρόβλημα αντιμετωπίστηκε αλλάζοντας τις πληροφορίες που επαληθεύει μια συσκευή κατά τη διάρκεια μιας αίτησης ξεκλειδώματος.

    Αναγνωριστικό CVE

    CVE-2014-1360

  • Mail

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Τα διαπιστευτήρια σύνδεσης μπορούν να αποσταλούν σε μορφή απλού κειμένου, ακόμα και όταν ο διακομιστής έχει ανακοινώσει τη δυνατότητα LOGINDISABLED IMAP

    Περιγραφή: Το Mail έκανε αποστολή της εντολής LOGIN στους διακομιστές, ακόμα και όταν οι διακομιστές είχαν ανακοινώσει τη δυνατότητα LOGINDISABLED IMAP. Αυτό το πρόβλημα είναι σημαντικό κυρίως κατά τη σύνδεση σε διακομιστές, οι οποίοι έχουν ρυθμιστεί για να αποδέχονται μη κρυπτογραφημένες συνδέσεις και να ανακοινώνουν τη δυνατότητα LOGINDISABLED. Αυτό το πρόβλημα αντιμετωπίστηκε τηρώντας τη δυνατότητα LOGINDISABLED IMAP.

    Αναγνωριστικό CVE

    CVE-2014-4366 : Mark Crispin

  • Mail

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένα άτομο με φυσική πρόσβαση σε μια συσκευή iOS ενδεχομένως να μπορεί να διαβάσει τα συνημμένα email

    Περιγραφή: Υπήρχε ένα πρόβλημα λογικής στον τρόπο με τον οποίο το Mail χρησιμοποιούσε την Προστασία δεδομένων στα συνημμένα αρχεία των email. Αυτό το πρόβλημα αντιμετωπίστηκε ρυθμίζοντας κατάλληλα την κλάση "Προστασία δεδομένων" για τα συνημμένα αρχεία των email.

    Αναγνωριστικό CVE

    CVE-2014-1348 : Andreas Kurtz της NESO Security Labs

  • Προφίλ

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Η Φωνητική κλήση ενεργοποιείται απρόσμενα μετά την αναβάθμιση του iOS

    Περιγραφή: Η Φωνητική κλήση ενεργοποιούταν αυτόματα μετά την αναβάθμιση του iOS. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

    Αναγνωριστικό CVE

    CVE-2014-4367 : Sven Heinemann

  • Safari

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Τα διαπιστευτήρια χρήστη ενδέχεται να αποκαλυφθούν σε έναν μη προοριζόμενο ιστότοπο μέσω αυτόματης συμπλήρωσης

    Περιγραφή: Το Safari ενδέχεται να έχει συμπληρώσει αυτόματα ονόματα χρήστη και συνθηματικά σε ένα δευτερεύον πλαίσιο από έναν διαφορετικό τομέα, αντί για το κύριο πλαίσιο. Αυτό το πρόβλημα αντιμετωπίστηκε με τη βελτίωση του εντοπισμού προέλευσης.

    Αναγνωριστικό CVE

    CVE-2013-5227 : Niklas Malmgren της Klarna AB

  • Safari

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση δικτύου μπορεί να υποκλέψει τα διαπιστευτήρια ενός χρήστη

    Περιγραφή: Τα αποθηκευμένα συνθηματικά συμπληρωνόταν αυτόματα σε ιστότοπους http, σε μη αξιόπιστους ιστότοπους https και σε iframe. Αυτό το πρόβλημα αντιμετωπίστηκε περιορίζοντας την αυτόματη συμπλήρωση συνθηματικών στο κύριο πλαίσιο των ιστότοπων https με έγκυρες αλυσίδες πιστοποιητικών.

    Αναγνωριστικό CVE

    CVE-2014-4363 : David Silver, Suman Jana και Dan Boneh του Stanford University σε συνεργασία με τους Eric Chen και Collin Jackson του Carnegie Mellon University

  • Safari

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση δικτύου μπορεί να πλαστογραφήσει διευθύνσεις URL στο Safari

    Περιγραφή: Υπήρχε μια ασυνέπεια διεπαφής χρήστη στο Safari στις συσκευές με δυνατότητα MDM. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένων ελέγχων συνέπειας διεπαφής χρήστη.

    Αναγνωριστικό CVE

    CVE-2014-8841 : Angelo Prado της Salesforce Product Security

  • Προφίλ sandbox

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Τα στοιχεία του Apple ID γίνονται διαθέσιμα σε εφαρμογές τρίτων

    Περιγραφή: Υπήρχε πρόβλημα αποκάλυψης πληροφοριών στο sandbox εφαρμογής τρίτου. Αυτό το πρόβλημα αντιμετωπίστηκε βελτιώνοντας το προφίλ sandbox τρίτου.

    Αναγνωριστικό CVE

    CVE-2014-4362 : Andreas Kurtz της NESO Security Labs και Markus Troßbach του Heilbronn University

  • Ρυθμίσεις

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Οι προεπισκοπήσεις μηνυμάτων κειμένου ενδέχεται να εμφανιστούν στην οθόνη κλειδώματος, ακόμα και όταν αυτή η δυνατότητα είναι απενεργοποιημένη

    Περιγραφή: Υπήρχε ένα πρόβλημα με την προεπισκόπηση των ειδοποιήσεων μηνυμάτων κειμένου στην οθόνη κλειδώματος. Ως αποτέλεσμα, το περιεχόμενο των μηνυμάτων που είχαν ληφθεί εμφανιζόταν στην οθόνη κλειδώματος, ακόμα και όταν οι προεπισκοπήσεις ήταν απενεργοποιημένες στις Ρυθμίσεις. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη παρατήρηση αυτής της ρύθμισης.

    Αναγνωριστικό CVE

    CVE-2014-4356 : Mattia Schirinzi από το San Pietro Vernotico (BR), Ιταλία

  • syslog

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να αλλάξει τα δικαιώματα σε αυθαίρετα αρχεία

    Περιγραφή: Το syslogd ακολουθούσε συμβολικούς συνδέσμους κατά την αλλαγή δικαιωμάτων στα αρχεία. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό των συμβολικών συνδέσμων.

    Αναγνωριστικό CVE

    CVE-2014-4372 : Tielei Wang και YeongJin Jang του Georgia Tech Information Security Center (GTISC)

  • Καιρός

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Οι πληροφορίες τοποθεσίες αποστέλλονταν χωρίς κρυπτογράφηση

    Περιγραφή: Υπήρχε ένα πρόβλημα αποκάλυψης πληροφοριών σε ένα API που χρησιμοποιείται για τον καθορισμό του τοπικού καιρού. Αυτό το πρόβλημα αντιμετωπίστηκε αλλάζοντας API.

  • WebKit

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας κακόβουλος ιστότοπος ενδέχεται να μπορεί να παρακολουθεί τους επισκέπτες ακόμα και όταν είναι ενεργοποιημένη η ιδιωτική περιήγηση

    Περιγραφή: Μια εφαρμογή ιστού μπορούσε να αποθηκεύσει δεδομένα cache εφαρμογών HTML 5 κατά τη διάρκεια της κανονικής περιήγησης και έπειτα να τα διαβάσει κατά την ιδιωτική περιήγηση. Αυτό αντιμετωπίστηκε απενεργοποιώντας την πρόσβαση στο cache της εφαρμογής κατά τη διάρκεια της ιδιωτικής περιήγησης.

    Αναγνωριστικό CVE

    CVE-2014-4409 : Yosuke Hasegawa (NetAgent Co., Led.)

  • WebKit

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Η επίσκεψη σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα

    Περιγραφή: Στο WebKit υπήρχαν πολλά προβλήματα αλλοίωσης της μνήμης. Αυτά τα προβλήματα αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.

    Αναγνωριστικό CVE

    CVE-2013-6663 : Atte Kettunen του OUSPG

    CVE-2014-1384 : Apple

    CVE-2014-1385 : Apple

    CVE-2014-1387 : Ομάδα Ασφάλειας Google Chrome

    CVE-2014-1388 : Apple

    CVE-2014-1389 : Apple

    CVE-2014-4410 : Eric Seidel της Google

    CVE-2014-4411 : Ομάδα Ασφάλειας Google Chrome

    CVE-2014-4412 : Apple

    CVE-2014-4413 : Apple

    CVE-2014-4414 : Apple

    CVE-2014-4415 : Apple

  • WiFi

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μπορεί να γίνει παθητική παρακολούθηση μιας συσκευής από τη διεύθυνση MAC WiFi

    Περιγραφή: Υπήρχε ένα πρόβλημα αποκάλυψης πληροφοριών επειδή χρησιμοποιούνταν μια σταθερή διεύθυνση MAC για τη σάρωση δικτύων WiFi. Αυτό το πρόβλημα αντιμετωπίστηκε χρησιμοποιώντας τυχαία διεύθυνση MAC για παθητικές σαρώσεις WiFi.

Σημείωση:

Το iOS 8 περιλαμβάνει αλλαγές σε ορισμένες δυνατότητες διαγνωστικών. Για περισσότερες πληροφορίες, δείτε το άρθρο https://support.apple.com/el-gr/HT203034

Τώρα, το iOS 8 επιτρέπει σε συσκευές να καταργούν την αξιοπιστία όλων των υπολογιστών που θεωρούνταν αξιόπιστοι παλιότερα. Για οδηγίες, δείτε το άρθρο https://support.apple.com/el-gr/HT202778

Το FaceTime δεν είναι διαθέσιμο σε όλες τις χώρες ή περιοχές.

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Υπάρχουν κίνδυνοι στη χρήση του Διαδικτύου. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες. Οι επωνυμίες άλλων εταιρειών και προϊόντων ενδέχεται να είναι εμπορικά σήματα των αντίστοιχων κατόχων τους.

Ημερομηνία δημοσίευσης: