Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του iOS 7.1.1
Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του iOS 7.1.1.
Για την προστασία των πελατών μας, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει θέματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple.
Για πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, διαβάστε το άρθρο "Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple".
Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE, για την αναφορά σε συγκεκριμένες ευπάθειες για περαιτέρω πληροφόρηση.
Για να ενημερωθείτε σχετικά με άλλες ενημερώσεις ασφάλειας, διαβάστε το άρθρο "Ενημερώσεις ασφάλειας Apple."
iOS 7.1.1
CFNetwork HTTPProtocol
Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση στο δίκτυο μπορεί να αποκτήσει διαπιστευτήρια ιστότοπου
Περιγραφή: Θα γινόταν επεξεργασία των κεφαλίδων HTTP Set-Cookie ακόμα και αν η σύνδεση έκλεινε πριν η γραμμή της κεφαλίδας ολοκληρωθεί. Ένας εισβολέας θα μπορούσε να αφαιρέσει τις ρυθμίσεις ασφάλειας από το cookie, τερματίζοντας τη σύνδεση πριν ολοκληρωθεί η αποστολή των ρυθμίσεων ασφάλειας και, στη συνέχεια, αποκτώντας την τιμή του μη προστατευμένου cookie. Αυτό το πρόβλημα αντιμετωπίστηκε αγνοώντας τις ατελείς γραμμές κεφαλίδας HTTP.
Αναγνωριστικό CVE
CVE-2014-1296 : Antoine Delignat-Lavaud της Prosecco στο Inria Paris
Πυρήνας IOKit
Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να διαβάσει δείκτες του πυρήνα, οι οποίοι μπορούν να χρησιμοποιηθούν για να παρακάμψουν την τυχαία διαμόρφωση του χώρου διευθύνσεων του πυρήνα
Περιγραφή: Θα μπορούσε να ανακτηθεί από το userland ένα σύνολο από δείκτες πυρήνα που είναι αποθηκευμένοι σε ένα αντικείμενο IOKit. Αυτό το πρόβλημα αντιμετωπίστηκε καταργώντας τους δείκτες από το αντικείμενο.
Αναγνωριστικό CVE
CVE-2014-1320 : Ο Ian Beer του Google Project Zero σε συνεργασία με το πρόγραμμα Zero Day Initiative της HP
Ασφάλεια - Διασύνδεση ασφαλούς μεταφοράς
Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση στο δίκτυο μπορεί να καταγράψει δεδομένα ή να αλλάξει τις λειτουργίες που εκτελούνται σε περιόδους λειτουργίας, οι οποίες διαθέτουν προστασία SSL
Περιγραφή: Σε μια επίθεση 'triple handshake', ένας εισβολέας μπορούσε να δημιουργήσει δύο συνδέσεις οι οποίες διέθεταν τα ίδια κλειδιά κρυπτογράφησης και handshake, να εισαγάγει τα δεδομένα του σε μία από τις συνδέσεις και να κάνει επαναδιαπραγμάτευση ώστε οι συνδέσεις να μπορούν να προωθούνται μεταξύ τους. Για να αποτραπούν τέτοιου είδους επιθέσεις, τροποποιήθηκε η Διασύνδεση ασφαλούς μεταφοράς έτσι ώστε, από προεπιλογή, μια επαναδιαπραγμάτευση να πρέπει να παρουσιάζει το ίδιο πιστοποιητικό διακομιστή με αυτό που παρουσιάστηκε στην αρχική σύνδεση.
Αναγνωριστικό CVE
CVE-2014-1295 : Antoine Delignat-Lavaud, Karthikeyan Bhargavan και Alfredo Pironti της Prosecco στο Inria Paris
WebKit
Διατίθεται για: iPhone 4 και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Η επίσκεψη σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Στο WebKit υπήρχαν πολλά προβλήματα αλλοίωσης της μνήμης. Αυτά τα προβλήματα αντιμετωπίστηκαν με τη βελτίωση της διαχείρισης της μνήμης.
Αναγνωριστικό CVE
CVE-2013-2871 : miaubiz
CVE-2014-1298 : Ομάδα ασφάλειας Google Chrome
CVE-2014-1299 : Ομάδα ασφάλειας Google Chrome, Apple, Renata Hodovan του University of Szeged / Samsung Electronics
CVE-2014-1300 : Ο Ian Beer του Google Project Zero σε συνεργασία με το πρόγραμμα Zero Day Initiative της HP
CVE-2014-1302 : Ομάδα ασφάλειας Google Chrome, Apple
CVE-2014-1303 : Η KeenTeam σε συνεργασία με το πρόγραμμα Zero Day Initiative της HP
CVE-2014-1304 : Apple
CVE-2014-1305 : Apple
CVE-2014-1307 : Ομάδα ασφάλειας Google Chrome
CVE-2014-1308 : Ομάδα ασφάλειας Google Chrome
CVE-2014-1309 : cloudfuzzer
CVE-2014-1310 : Ομάδα ασφάλειας Google Chrome
CVE-2014-1311 : Ομάδα ασφάλειας Google Chrome
CVE-2014-1312 : Ομάδα ασφάλειας Google Chrome
CVE-2014-1313 : Ομάδα ασφάλειας Google Chrome
CVE-2014-1713 : Η VUPEN σε συνεργασία με το πρόγραμμα Zero Day Initiative της HP
Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.