Tietoja iOS 8:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan iOS 8:n turvallisuussisällöstä.

Apple haluaa suojella asiakkaitaan, eikä siksi paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

iOS 8

  • 802.1X

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat

    Vaikutus: Hyökkääjä saattaa saada Wi-Fi-tunnukset

    Kuvaus: Hyökkääjä saattoi esiintyä Wi-Fi-tukiasemana, tarjota LEAP-todentamista, rikkoa MS-CHAPv1-hajautuksen ja käyttää saamiaan tunnistetietoja haluttuun tukiasemaan todentautumisen yhteydessä, vaikka tukiasema tuki vahvempia todennusmenetelmiä. Ongelma on ratkaistu poistamalla LEAP oletusarvoisesti käytöstä.

    CVE-ID

    CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax ja Wim Lamotte (Universiteit Hasselt)

  • Accounts

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat

    Vaikutus: Haitallinen appi saattaa pystyä tunnistamaan käyttäjän Apple ID:n

    Kuvaus: Tilien käytönvalvontalogiikassa oli ongelma. Eristetty appi saattoi saada tietoja aktiivisesta iCloud-tilistä, mukaan lukien tilin nimen. Ongelma on ratkaistu estämällä luvattomia appeja käyttämästä tiettyjä tilityyppejä.

    CVE-ID

    CVE-2014-4423: Adam Weaver

  • Accessibility

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat

    Vaikutus: Laite ei välttämättä lukitse näyttöä, kun AssistiveTouch oli käytössä

    Kuvaus: AssistiveTouchin tapahtumien käsittelyssä oli logiikkaongelma, joka johti siihen, että näyttö ei lukittunut. Ongelma on ratkaistu parantamalla lukitusajastimen käsittelyä.

    CVE-ID

    CVE-2014-4368: Hendrik Bettermann

  • Accounts Framework

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat

    Vaikutus: Hyökkääjä, jolla on pääsy iOS-laitteeseen, pystyy näkemään arkaluonteisia käyttäjätietoja lokeissa

    Kuvaus: Arkaluonteisia käyttäjätietoja kirjattiin lokiin. Ongelma on ratkaistu kirjaamalla lokiin vähemmän tietoja.

    CVE-ID

    CVE-2014-4357: Heli Myllykoski (OP-Pohjola Group)

  • Address Book

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat

    Vaikutus: Henkilö, jolla on fyysinen pääsy iOS-laitteeseen, pystyi lukemaan osoitekirjaa

    Kuvaus: Osoitekirja oli salattu avaimella, joka oli suojattu vain laitteiston UID-tunnuksella. Ongelma on ratkaistu salaamalla osoitekirja avaimella, joka on suojattu laitteiston UID-tunnuksella ja käyttäjän pääsykoodilla.

    CVE-ID

    CVE-2014-4352: Jonathan Zdziarski

  • App Installation

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat

    Vaikutus: Paikallinen hyökkääjä saattaa pystyä laajentamaan käyttöoikeuksia ja asentamaan vahvistamattomia appeja

    Kuvaus: Appien asennuksessa oli kilpailutilanne. Hyökkääjä, joka pystyi kirjoittamaan /tmp-hakemistoon, saattoi pystyä asentamaan vahvistamattoman apin. Ongelma on ratkaistu valmistelemalla asennettavat tiedostot muussa hakemistossa.

    CVE-ID

    CVE-2014-4386: evad3rs

  • App Installation

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat

    Vaikutus: Paikallinen hyökkääjä saattaa pystyä laajentamaan käyttöoikeuksia ja asentamaan vahvistamattomia appeja

    Kuvaus: Appien asentamisessa oli polun väärinkäyttöön liittyvä ongelma. Paikallinen hyökkääjä saattoi kohdistaa koodiallekirjoituksen tarkistamisen muuhun kuin asennettavaan nippuun ja aiheuttaa vahvistamattoman apin asentamisen. Ongelma on ratkaistu tunnistamalla ja estämällä polun väärinkäyttö määritettäessä, mikä koodiallekirjoitus tulee vahvistaa.

    CVE-ID

    CVE-2014-4384: evad3rs

  • Assets

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat

    Vaikutus: Etuoikeutetussa verkkoasemassa oleva hyökkääjä saattaa pystyä uskottelemaan iOS-laitteelle virheellisesti, että se on päivitetty ajan tasalle

    Kuvaus: Päivityksiä etsimisessä oli vastausten käsittelyn varmistusongelma. Tuleviin ajankohtiin asetettujen Last-Modified-vastausotsakkeiden väärennettyjä päivämääriä käytettiin If-Modified-Since-tarkistuksiin seuraavissa päivityspyynnöissä. Ongelma on ratkaistu tarkistamalla Last-Modified-otsake.

    CVE-ID

    CVE-2014-4383: Raul Siles (DinoSec)

  • Bluetooth

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat

    Vaikutus: Bluetooth otetaan odottamattomasti oletusarvoisesti käyttöön iOS:n päivityksen jälkeen

    Kuvaus: Bluetooth oli käytössä automaattisesti iOS:n päivityksen jälkeen. Ongelma on ratkaistu ottamalla Bluetooth käyttöön vain pää- tai aliversiopäivitysten yhteydessä.

    CVE-ID

    CVE-2014-4354: Maneet Singh, Sean Bluestein

  • Certificate Trust Policy

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat

    Vaikutus: Päivitys varmenteiden luottamuskäytäntöön

    Kuvaus: Varmenteiden luottamuskäytäntö päivitettiin. Täydellinen luettelo varmenteista on osoitteessa https://support.apple.com/HT5012.

  • CoreGraphics

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: haitallisen PDF-tiedoston avaaminen saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: PDF-tiedostojen käsittelyssä oli kokonaisluvun ylivuoto. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4377: iSIGHT Partners GVP Programin parissa työskentelevä Felipe Andres Manzano (Binamuse VRT)

  • CoreGraphics

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat

    Vaikutus: Haitallisen PDF-tiedoston avaaminen saattaa johtaa apin odottamattomaan sulkeutumiseen tai tietojen paljastumiseen

    Kuvaus: PDF-tiedostojen käsittelyssä oli rajojen ulkopuolisen muistin lukuongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4378: iSIGHT Partners GVP Programin parissa työskentelevä Felipe Andres Manzano (Binamuse VRT)

  • Data Detectors

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat

    Vaikutus: FaceTime-linkin napauttaminen Mail-apissa aloitti FaceTime-äänipuhelun ilman vahvistusta

    Kuvaus: Mail ei pyytänyt käyttäjältä vahvistusta ennen facetime-audio://-URL-osoitteiden avaamista. Ongelma on ratkaistu lisäämällä vahvistuskehote.

    CVE-ID

    CVE-2013-6835: Guillaume Ross

  • Foundation

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat

    Vaikutus: Appia, joka käytti NSXMLParseria, voidaan väärinkäyttää tietojen paljastamiseksi

    Kuvaus: NSXMLParserin tavassa käsitellä XML-tietoja oli ulkoisia XML-entiteettejä koskeva ongelma. Ongelma on ratkaistu olemalla lataamatta ulkoisia entiteettejä eri alkuperien välillä.

    CVE-ID

    CVE-2014-4374: George Gal (VSR, http://www.vsecurity.com/)

  • Home & Lock Screen

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat

    Vaikutus: Taustalla oleva appi saattaa pystyä selvittämään, mikä appi oli etummaisena

    Kuvaus: Etummaisen apin selvittämiseen käytetyllä yksityisellä API:lla ei ollut riittävää käytönvalvontaa. Ongelma on ratkaistu parantamalla käytönvalvontaa.

    CVE-ID

    CVE-2014-4361: Andreas Kurtz (NESO Security Labs) ja Markus Troßbach (Heilbronn University)

  • iMessage

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat

    Vaikutus: Liitettä ei ehkä poisteta, vaikka sen sisältävä iMessage- tai multimediaviesti on poistettu

    Kuvaus: Liitteiden poistamisessa oli kilpailutilanne. Ongelma on ratkaistu suorittamalla lisätarkistuksia liitetiedoston poistamisesta.

    CVE-ID

    CVE-2014-4353: Silviu Schiau

  • IOAcceleratorFamily

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmatVaikutus: Appi saattaa saada järjestelmän sulkeutumaan odottamattaKuvaus: IOAcceleratorFamilyn API-argumenttien käsittelyssä oli nollaosoittimen epäviittausongelma. Ongelma on ratkaistu parantamalla IOAcceleratorFamilyn API-argumenttien tarkistusta.CVE-IDCVE-2014-4369: Sarah eli winocm ja Cererdlong (Alibaba Mobile Security Team)

    Impact: An application may cause an unexpected system termination

    Description: A null pointer dereference existed in the handling of IOAcceleratorFamily API arguments. This issue was addressed through improved validation of IOAcceleratorFamily API arguments.

    CVE-ID

    CVE-2014-4369 : Sarah aka winocm and Cererdlong of Alibaba Mobile Security Team

    • Entry updated February 3, 2020

  • IOAcceleratorFamily

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat

    Vaikutus: Laite saattaa odottamatta käynnistyä uudelleen

    Kuvaus: IntelAccelerator-ohjaimessa oli nollaosoittimen epäviittausongelma. Ongelma on ratkaistu parantamalla virheiden käsittelyä.

    CVE-ID

    CVE-2014-4373: cunzhang (Venustechin Adlab)

  • IOHIDFamily

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat

    Vaikutus: Haitallinen appi saattaa pystyä lukemaan ytimen osoittimia, mikä mahdollisti kernel-osoiteavaruuden satunnaistamisen ohittamisen

    Kuvaus: IOHIDFamily-funktion käsittelyssä oli rajojen ulkopuoliseen lukemiseen liittyvä ongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4379: Ian Beer (Google Project Zero)

  • IOHIDFamily

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat

    Vaikutus: Haitallinen appi saattaa pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla

    Kuvaus: IOHIDFamilyn tavassa käsitellä näppäinten vastaavuusominaisuuksia oli kekopuskurin ylivuoto. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4404: Ian Beer (Google Project Zero)

  • IOHIDFamily

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat

    Vaikutus: Haitallinen appi saattaa pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla

    Kuvaus: IOHIDFamilyn tavassa käsitellä näppäinten vastaavuusominaisuuksia oli nollaosoittimen epäviittaus. Ongelma on ratkaistu parantamalla IOHIDFamilyn näppäinten vastaavuusominaisuuksien tarkistamista.

    CVE-ID

    CVE-2014-4405: Ian Beer (Google Project Zero)

  • IOHIDFamily

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat

    Vaikutus: Haitallinen appi saattaa pystyä suorittamaan mielivaltaista koodia kernelin käyttöoikeuksilla

    Kuvaus: IOHIDFamily-kernel-laajennuksessa oli rajojen ulkopuoliseen kirjoittamiseen liittyvä ongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4380: cunzhang Adlabista (Venustech)

  • IOKit

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat

    Vaikutus: Haitallinen appi saattaa pystyä lukemaan alustamattomia tietoja kernel-muistista

    Kuvaus: IOKit-funktioiden käsittelyssä oli alustamattoman muistin käyttöön liittyvä ongelma. Ongelma ratkaistiin parantamalla muistin alustusta.

    CVE-ID

    CVE-2014-4407: @PanguTeam

  • IOKit

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat

    Vaikutus: Haitallinen appi saattaa pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla

    Kuvaus: IODataQueue-objektien tiettyjen metatietokenttien käsittelyssä oli validointiongelma. Ongelma on ratkaistu parantamalla metadatan tarkistamista.

    CVE-ID

    CVE-2014-4418: Ian Beer (Google Project Zero)

  • IOKit

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat

    Vaikutus: Haitallinen appi saattaa pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla

    Kuvaus: IODataQueue-objektien tiettyjen metatietokenttien käsittelyssä oli validointiongelma. Ongelma on ratkaistu parantamalla metadatan tarkistamista.

    CVE-ID

    CVE-2014-4388: @PanguTeam

  • IOKit

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat

    Vaikutus: Haitallinen appi saattaa pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla

    Kuvaus: IOKit-funktioiden käsittelyssä oli kokonaisluvun ylivuoto. Ongelma on ratkaistu parantamalla IOKitin API-argumenttien tarkistusta.

    CVE-ID

    CVE-2014-4389: Ian Beer (Google Project Zero)

  • Kernel

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat

    Vaikutus: Paikallinen käyttäjä saattaa pystyä päättelemään kernel-muistin asettelun

    Kuvaus: Verkon tilastokäyttöliittymässä oli useita alustamattoman muistin ongelmia, jotka johtivat kernel-muistin sisällön paljastumiseen. Ongelma on ratkaistu muistin lisäalustamisella.

    CVE-ID

    CVE-2014-4371: Fermin J. Serna (Google Security Team)

    CVE-2014-4419: Fermin J. Serna (Google Security Team)

    CVE-2014-4420: Fermin J. Serna (Google Security Team)

    CVE-2014-4421: Fermin J. Serna (Google Security Team)

  • Kernel

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat

    Vaikutus: Etuoikeutetussa verkkoasemassa oleva henkilö saattaa pystyä aiheuttamaan palveluneston

    Kuvaus: Ipv6-pakettien käsittelyssä oli kilpailutilanne. Ongelma on ratkaistu parantamalla lukituksen tilan tarkistamista.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Kernel

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat

    Vaikutus: Paikallinen käyttäjä saattaa pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen kernelissä

    Kuvaus: Mach-porttien käsittelyssä oli double free -ongelma. Ongelma on ratkaistu parantamalla Mach-porttien tarkistamista.

    CVE-ID

    CVE-2014-4375: nimetön tutkija

  • Kernel

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat

    Vaikutus: Paikallinen käyttäjä saattaa pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen kernelissä

    Kuvaus: rt_setgatessa oli rajojen ulkopuoliseen lukemiseen liittyvä ongelma. Tämä saattoi johtaa muistin paljastumiseen tai vioittumiseen. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4408

  • Kernel

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat

    Vaikutus: Jotkin kernelin lisäturvatoimet saatettiin ohittaa

    Kuvaus: Laitteen käynnistyksen alkuvaiheissa kernelin lisäturvatoimia varten käytetty satunnaislukugeneraattori ei ollut kryptografisesti turvallinen. Jotkin sen tulokset pystyi päättelemään käyttäjätilasta käsin, mikä mahdollisti lisäturvatoimien ohittamisen. Ongelma on ratkaistu käyttämällä kryptografisesti turvallista algoritmia.

    CVE-ID

    CVE-2014-4422: Tarjei Mandt (Azimuth Security)

  • Libnotify

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat

    Vaikutus: Haitallinen appi saattaa pystyä suorittamaan mielivaltaista koodia pääkäyttöoikeuksilla

    Kuvaus: Libnotifyssa oli rajojen ulkopuoliseen kirjoittamiseen liittyvä ongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4381: Ian Beer (Google Project Zero)

  • Lockdown

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat

    Vaikutus: Laitetta voidaan manipuloida näyttämään kotinäyttö, kun laite on aktivointilukittu, vaikka tämän ei pitäisi olla mahdollista

    Kuvaus: Lukituksen avaamisessa oli ongelma, jonka vuoksi laitteen kotinäyttö avautui, vaikka laitteen piti olla aktivointilukittuna. Ongelma on ratkaistu muuttamalla tietoja, jotka laite vahvistaa lukituksen avaamispyynnön aikana.

    CVE-ID

    CVE-2014-1360

  • Mail

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat

    Vaikutus: Kirjautumistiedot lähetetään mahdollisesti pelkkänä tekstinä, vaikka palvelin on ilmoittanut LOGINDISABLED IMAP -ominaisuudesta

    Kuvaus: Mail lähetti LOGIN-komennon palvelimille, vaikka ne olivat ilmoittaneet LOGINDISABLED IMAP -ominaisuudesta. Tästä oli haittaa ensisijaisesti yhdistettäessä palvelimiin, jotka oli määritetty hyväksymään salaamattomia yhteyksiä ja jotka ilmoittivat LOGINDISABLED-ominaisuudesta. Ongelma on ratkaistu toimimalla LOGINDISABLED IMAP -ominaisuuden mukaan.

    CVE-ID

    CVE-2014-4366: Mark Crispin

  • Mail

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat

    Vaikutus: Henkilö, jolla on fyysinen pääsy iOS-laitteeseen, saattaa pystyä lukemaan sähköpostin liitteitä

    Kuvaus: Mailin sähköpostiliitteiden tietosuojauksessa oli logiikkavirhe. Ongelma on ratkaistu asettamalla sähköpostiviestien liitetiedostojen tietosuojausluokka asianmukaisesti.

    CVE-ID

    CVE-2014-1348: Andreas Kurtz (NESO Security Labs)

  • Profiles

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat

    Vaikutus: Äänivalinta otetaan odottamattomasti käyttöön iOS:n päivityksen jälkeen

    Kuvaus: Äänivalinta oli käytössä automaattisesti iOS:n päivityksen jälkeen. Ongelma on ratkaistu parantamalla tilanhallintaa.

    CVE-ID

    CVE-2014-4367: Sven Heinemann

  • Safari

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat

    Vaikutus: Käyttäjän kirjautumistiedot saatetaan luovuttaa väärälle sivustolle automaattisen täytön kautta

    Kuvaus: Safari saattoi automaattisesti täyttää käyttäjätunnukset ja salasanat alikehykseen, joka kuului eri domainiin kuin pääkehys. Ongelma on ratkaistu parantamalla alkuperän seurantaa.

    CVE-ID

    CVE-2013-5227: Niklas Malmgren (Klarna AB)

  • Safari

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat

    Vaikutus: Etuoikeutetussa verkkoasemassa oleva hyökkääjä voi siepata käyttäjän kirjautumistiedot

    Kuvaus: Tallennetut salasanat täytettiin automaattisesti http-sivustoilla, epäluotettavilla https-sivustoilla ja iframes-kehyksissä. Ongelma on ratkaistu rajoittamalla salasanan automaattinen täyttö vain sellaisten https-sivustojen pääkehyksiin, joilla on kelvollinen varmenneketju.

    CVE-ID

    CVE-2014-4363: David Silver, Suman Jana ja Dan Boneh (Stanford University) yhteistyössä Eric Chenin ja Collin Jacksonin (Carnegie Mellon University) kanssa

  • Safari

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat

    Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattaa väärentää URL-osoitteita Safarissa

    Kuvaus: Safarissa oli käyttöliittymän epäyhdenmukaisuus MDM:ää käyttävissä laitteissa. Ongelma on ratkaistu parantamalla käyttöliittymän yhdenmukaisuustarkistuksia.

    CVE-ID

    CVE-2014-8841: Angelo Prado (Salesforce Product Security)

  • Sandbox Profiles

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat

    Vaikutus: Apple ID:n tiedot ovat kolmannen osapuolen appien käytettävissä

    Kuvaus: Kolmannen osapuolen appien eristyksessä oli tietojen paljastumiseen liittyvä ongelma. Ongelma on ratkaistu parantamalla muun valmistajan eristysprofiilia.

    CVE-ID

    CVE-2014-4362: Andreas Kurtz (NESO Security Labs) ja Markus Troßbach (Heilbronn University)

  • Settings

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat

    Vaikutus: Tekstiviestien esikatselut saattavat näkyä lukitulla näytöllä, vaikka ominaisuus oli pois käytöstä

    Kuvaus: Tekstiviesti-ilmoitusten esikatselussa lukitulla näytöllä oli ongelma. Saapuneiden viestien sisältö näkyi tämän vuoksi lukitulla näytöllä, vaikka esikatselu oli poistettu käytöstä asetuksissa. Ongelma on ratkaistu parantamalla asetuksen noudattamista.

    CVE-ID

    CVE-2014-4356: Mattia Schirinzi (San Pietro Vernotico, BR, Italia)

  • syslog

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat

    Vaikutus: Paikallinen käyttäjä saattaa pystyä muuttamaan mielivaltaisten tiedostojen käyttöoikeuksia

    Kuvaus: syslogd seurasi symbolisia linkkejä muuttaessaan tiedostojen käyttöoikeuksia. Ongelma on ratkaistu parantamalla symbolisten linkkien käsittelyä.

    CVE-ID

    CVE-2014-4372: Tielei Wang ja YeongJin Jang (Georgia Tech Information Security Center, GTISC)

  • Weather

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat

    Vaikutus: Sijaintitietoja lähetettiin ilman salausta

    Kuvaus: Paikallisen säätilan selvittämiseen käytettävässä API:ssa oli tietojen paljastumiseen liittyvä ongelma. Ongelma on ratkaistu vaihtamalla ohjelmointirajapintaa.

  • WebKit

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat

    Vaikutus: Haitallinen verkkosivusto saattaa pystyä seuraamaan käyttäjiä, vaikka yksityinen selaus on käytössä

    Kuvaus: Verkkoappi pystyi tallentamaan HTML5 -sovellusvälimuistiin tietoja tavallisen selauksen aikana ja lukemaan tietoja yksityisen selauksen aikana. Ongelma on ratkaistu estämällä pääsy apin välimuistiin yksityisen selauksen aikana.

    CVE-ID

    CVE-2014-4409: Yosuke Hasegawa (NetAgent Co., Led.)

  • WebKit

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat

    Vaikutus: käynti haitallisessa verkkosivustossa saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: WebKitissä oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2013-6663: Atte Kettunen (OUSPG)

    CVE-2014-1384: Apple

    CVE-2014-1385: Apple

    CVE-2014-1387: Google Chrome Security Team

    CVE-2014-1388: Apple

    CVE-2014-1389: Apple

    CVE-2014-4410: Eric Seidel (Google)

    CVE-2014-4411: Google Chrome Security Team

    CVE-2014-4412: Apple

    CVE-2014-4413: Apple

    CVE-2014-4414: Apple

    CVE-2014-4415: Apple

  • Wi-Fi

    Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat

    Vaikutus: Laitetta saatetaan seurata passiivisesti sen Wi-Fi MAC-osoitteen avulla

    Kuvaus: Wi-Fi-verkkojen etsinnässä käytettiin vakiintunutta MAC-osoitetta, mikä aiheutti tietojen paljastumisen. Ongelma on ratkaistu satunnaistamalla Wi-Fi-verkkojen passiivisessa etsinnässä käytetty MAC-osoite.

Huomautus:

Joitakin diagnostiikkaominaisuuksia on muutettu iOS 8:ssa. Lisätietoja on osoitteessa https://support.apple.com/HT6331

iOS 8:ssa on mahdollista poistaa laitteen luottamus kaikkiin aiemmin luotettuihin tietokoneisiin. Ohjeet löytyvät osoitteesta https://support.apple.com/HT5868

FaceTime ei ole saatavilla kaikissa maissa tai kaikilla alueilla.

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: