Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του iOS 8.1

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του iOS 8.1

Για την προστασία των πελατών μας, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει θέματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple.

Για περισσότερες πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, ανατρέξτε στο άρθρο Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple.

Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE, για την αναφορά σε συγκεκριμένες ευπάθειες για περαιτέρω πληροφόρηση.

Για να ενημερωθείτε σχετικά με άλλες Ενημερώσεις ασφάλειας, ανατρέξτε στο άρθρο Ενημερώσεις ασφάλειας Apple.

iOS 8.1

  • Bluetooth

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Μια κακόβουλη συσκευή εισόδου Bluetooth ενδέχεται να παρακάμψει τη ζευγοποίηση

    Περιγραφή: Επιτρέπονταν μη κρυπτογραφημένες συνδέσεις από αξεσουάρ Bluetooth χαμηλής ενέργειας, κατηγορίας συσκευών διασύνδεσης χρήστη. Αν μια συσκευή iOS είχε ζευγοποιηθεί με ένα αξεσουάρ αυτού του τύπου, ένας εισβολέας μπορούσε να πλαστογραφήσει το κανονικό αξεσουάρ για να εξασφαλίσει σύνδεση. Το ζήτημα αντιμετωπίστηκε με απόρριψη των μη κρυπτογραφημένων συνδέσεων HID.

    Αναγνωριστικό CVE

    CVE-2014-4428 : Mike Ryan από την iSEC Partners

  • House Arrest

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Τα αρχεία που μεταφέρονται στη συσκευή ενδέχεται να εγγραφούν με ελλιπή προστασία κρυπτογράφησης

    Περιγραφή: Ήταν δυνατή η μεταφορά αρχείων στον κατάλογο εγγράφων μιας εφαρμογής και η κρυπτογράφησή τους με κλειδί που προστατευόταν μόνο από το UID του υλικού. Το ζήτημα αντιμετωπίστηκε με κρυπτογράφηση των μεταφερόμενων αρχείων με χρήση κλειδιού που προστατεύεται από το UID υλικού και από το συνθηματικό του χρήστη.

    Αναγνωριστικό CVE

    CVE-2014-4448 : Jonathan Zdziarski και Kevin DeLong

  • Πρόσβαση δεδομένων iCloud

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου μπορεί να επιβάλει στα προγράμματα-πελάτες πρόσβασης δεδομένων του iCloud να αποκαλύψουν ευαίσθητες πληροφορίες

    Περιγραφή: Υπήρχε μια ευπάθεια επικύρωσης πιστοποιητικού TLS στα προγράμματα-πελάτες πρόσβασης δεδομένων του iCloud. Αυτό το θέμα αντιμετωπίστηκε με βελτιωμένη επικύρωση των πιστοποιητικών.

    Αναγνωριστικό CVE

    CVE-2014-4449 : Carl Mehner από την USAA

  • Πληκτρολόγια

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Το QuickType ήταν δυνατό να μάθει τα διαπιστευτήρια χρήστη

    Περιγραφή: Το QuickType ήταν δυνατό να μάθει τα διαπιστευτήρια χρήστη κατά την εναλλαγή μεταξύ στοιχείων. Αυτό το ζήτημα αντιμετωπίστηκε με την αποτροπή εκμάθησης του QuickType από πεδία στα οποία η αυτόματη συμπλήρωση είναι απενεργοποιημένη και με την εκ νέου εφαρμογή των κριτηρίων κατά την εναλλαγή μεταξύ στοιχείων εισόδου DOM σε WebKit παλαιού τύπου.

    Αναγνωριστικό CVE

    CVE-2014-4450

  • Ασφαλής μεταβίβαση

    Διατίθεται για: iPhone 4s και νεότερα μοντέλα, iPod touch (5ης γενιάς) και νεότερα μοντέλα, iPad 2 και νεότερα μοντέλα

    Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορέσει να αποκρυπτογραφήσει δεδομένα που προστατεύονται από SSL

    Περιγραφή: Υπάρχουν γνωστές επιθέσεις κατά της εμπιστευτικότητας του SSL 3.0 όταν μια σουίτα κρυπτογράφησης χρησιμοποιεί κρυπτογράφηση μπλοκ σε λειτουργία CBC. Ένας εισβολέας μπορούσε να επιβάλει τη χρήση του SSL 3.0, ακόμα και όταν ο διακομιστής υποστήριζε καλύτερη έκδοση TLS, αποκλείοντας προσπάθειες σύνδεσης TLS 1.0 και νεότερων εκδόσεων. Αυτό το ζήτημα αντιμετωπίστηκε με απενεργοποίηση των σουιτών κρυπτογράφησης CBC σε περίπτωση αποτυχίας προσπαθειών σύνδεσης TLS.

    Αναγνωριστικό CVE

    CVE-2014-3566 : Bodo Moeller, Thai Duong και Krzysztof Kotowicz της Ομάδας ασφάλειας της Google

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Υπάρχουν κίνδυνοι στη χρήση του Διαδικτύου. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες. Οι επωνυμίες άλλων εταιρειών και προϊόντων ενδέχεται να είναι εμπορικά σήματα των αντίστοιχων κατόχων τους.

Ημερομηνία δημοσίευσης: