Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του iOS 8.1
Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του iOS 8.1
Για την προστασία των πελατών μας, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει θέματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple.
Για περισσότερες πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, ανατρέξτε στο άρθρο Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple.
Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE, για την αναφορά σε συγκεκριμένες ευπάθειες για περαιτέρω πληροφόρηση.
Για να ενημερωθείτε σχετικά με άλλες Ενημερώσεις ασφάλειας, ανατρέξτε στο άρθρο Ενημερώσεις ασφάλειας Apple.
iOS 8.1
Bluetooth
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη συσκευή εισόδου Bluetooth ενδέχεται να παρακάμψει τη ζευγοποίηση
Περιγραφή: Επιτρέπονταν μη κρυπτογραφημένες συνδέσεις από αξεσουάρ Bluetooth χαμηλής ενέργειας, κατηγορίας συσκευών διασύνδεσης χρήστη. Αν μια συσκευή iOS είχε ζευγοποιηθεί με ένα αξεσουάρ αυτού του τύπου, ένας εισβολέας μπορούσε να πλαστογραφήσει το κανονικό αξεσουάρ για να εξασφαλίσει σύνδεση. Το ζήτημα αντιμετωπίστηκε με απόρριψη των μη κρυπτογραφημένων συνδέσεων HID.
Αναγνωριστικό CVE
CVE-2014-4428 : Mike Ryan από την iSEC Partners
House Arrest
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Τα αρχεία που μεταφέρονται στη συσκευή ενδέχεται να εγγραφούν με ελλιπή προστασία κρυπτογράφησης
Περιγραφή: Ήταν δυνατή η μεταφορά αρχείων στον κατάλογο εγγράφων μιας εφαρμογής και η κρυπτογράφησή τους με κλειδί που προστατευόταν μόνο από το UID του υλικού. Το ζήτημα αντιμετωπίστηκε με κρυπτογράφηση των μεταφερόμενων αρχείων με χρήση κλειδιού που προστατεύεται από το UID υλικού και από το συνθηματικό του χρήστη.
Αναγνωριστικό CVE
CVE-2014-4448 : Jonathan Zdziarski και Kevin DeLong
Πρόσβαση δεδομένων iCloud
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου μπορεί να επιβάλει στα προγράμματα-πελάτες πρόσβασης δεδομένων του iCloud να αποκαλύψουν ευαίσθητες πληροφορίες
Περιγραφή: Υπήρχε μια ευπάθεια επικύρωσης πιστοποιητικού TLS στα προγράμματα-πελάτες πρόσβασης δεδομένων του iCloud. Αυτό το θέμα αντιμετωπίστηκε με βελτιωμένη επικύρωση των πιστοποιητικών.
Αναγνωριστικό CVE
CVE-2014-4449 : Carl Mehner από την USAA
Πληκτρολόγια
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Το QuickType ήταν δυνατό να μάθει τα διαπιστευτήρια χρήστη
Περιγραφή: Το QuickType ήταν δυνατό να μάθει τα διαπιστευτήρια χρήστη κατά την εναλλαγή μεταξύ στοιχείων. Αυτό το ζήτημα αντιμετωπίστηκε με την αποτροπή εκμάθησης του QuickType από πεδία στα οποία η αυτόματη συμπλήρωση είναι απενεργοποιημένη και με την εκ νέου εφαρμογή των κριτηρίων κατά την εναλλαγή μεταξύ στοιχείων εισόδου DOM σε WebKit παλαιού τύπου.
Αναγνωριστικό CVE
CVE-2014-4450
Ασφαλής μεταβίβαση
Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα
Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορέσει να αποκρυπτογραφήσει δεδομένα που προστατεύονται από SSL
Περιγραφή: Υπάρχουν γνωστές επιθέσεις κατά της εμπιστευτικότητας του SSL 3.0 όταν μια σουίτα κρυπτογράφησης χρησιμοποιεί κρυπτογράφηση μπλοκ σε λειτουργία CBC. Ένας εισβολέας μπορούσε να επιβάλει τη χρήση του SSL 3.0, ακόμα και όταν ο διακομιστής υποστήριζε καλύτερη έκδοση TLS, αποκλείοντας προσπάθειες σύνδεσης TLS 1.0 και νεότερων εκδόσεων. Αυτό το ζήτημα αντιμετωπίστηκε με απενεργοποίηση των σουιτών κρυπτογράφησης CBC σε περίπτωση αποτυχίας προσπαθειών σύνδεσης TLS.
Αναγνωριστικό CVE
CVE-2014-3566 : Bodo Moeller, Thai Duong και Krzysztof Kotowicz της Ομάδας ασφάλειας της Google
Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.