Tietoja iOS 8:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan iOS 8:n turvallisuussisällöstä.
Apple haluaa suojella asiakkaitaan, eikä siksi paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.
Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.
CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.
iOS 8
802.1X
Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat
Vaikutus: Hyökkääjä saattaa saada Wi-Fi-tunnukset
Kuvaus: Hyökkääjä saattoi esiintyä Wi-Fi-tukiasemana, tarjota LEAP-todentamista, rikkoa MS-CHAPv1-hajautuksen ja käyttää saamiaan tunnistetietoja haluttuun tukiasemaan todentautumisen yhteydessä, vaikka tukiasema tuki vahvempia todennusmenetelmiä. Ongelma on ratkaistu poistamalla LEAP oletusarvoisesti käytöstä.
CVE-ID
CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax ja Wim Lamotte (Universiteit Hasselt)
Accounts
Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat
Vaikutus: Haitallinen appi saattaa pystyä tunnistamaan käyttäjän Apple ID:n
Kuvaus: Tilien käytönvalvontalogiikassa oli ongelma. Eristetty appi saattoi saada tietoja aktiivisesta iCloud-tilistä, mukaan lukien tilin nimen. Ongelma on ratkaistu estämällä luvattomia appeja käyttämästä tiettyjä tilityyppejä.
CVE-ID
CVE-2014-4423: Adam Weaver
Accessibility
Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat
Vaikutus: Laite ei välttämättä lukitse näyttöä, kun AssistiveTouch oli käytössä
Kuvaus: AssistiveTouchin tapahtumien käsittelyssä oli logiikkaongelma, joka johti siihen, että näyttö ei lukittunut. Ongelma on ratkaistu parantamalla lukitusajastimen käsittelyä.
CVE-ID
CVE-2014-4368: Hendrik Bettermann
Accounts Framework
Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat
Vaikutus: Hyökkääjä, jolla on pääsy iOS-laitteeseen, pystyy näkemään arkaluonteisia käyttäjätietoja lokeissa
Kuvaus: Arkaluonteisia käyttäjätietoja kirjattiin lokiin. Ongelma on ratkaistu kirjaamalla lokiin vähemmän tietoja.
CVE-ID
CVE-2014-4357: Heli Myllykoski (OP-Pohjola Group)
Address Book
Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat
Vaikutus: Henkilö, jolla on fyysinen pääsy iOS-laitteeseen, pystyi lukemaan osoitekirjaa
Kuvaus: Osoitekirja oli salattu avaimella, joka oli suojattu vain laitteiston UID-tunnuksella. Ongelma on ratkaistu salaamalla osoitekirja avaimella, joka on suojattu laitteiston UID-tunnuksella ja käyttäjän pääsykoodilla.
CVE-ID
CVE-2014-4352: Jonathan Zdziarski
App Installation
Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat
Vaikutus: Paikallinen hyökkääjä saattaa pystyä laajentamaan käyttöoikeuksia ja asentamaan vahvistamattomia appeja
Kuvaus: Appien asennuksessa oli kilpailutilanne. Hyökkääjä, joka pystyi kirjoittamaan /tmp-hakemistoon, saattoi pystyä asentamaan vahvistamattoman apin. Ongelma on ratkaistu valmistelemalla asennettavat tiedostot muussa hakemistossa.
CVE-ID
CVE-2014-4386: evad3rs
App Installation
Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat
Vaikutus: Paikallinen hyökkääjä saattaa pystyä laajentamaan käyttöoikeuksia ja asentamaan vahvistamattomia appeja
Kuvaus: Appien asentamisessa oli polun väärinkäyttöön liittyvä ongelma. Paikallinen hyökkääjä saattoi kohdistaa koodiallekirjoituksen tarkistamisen muuhun kuin asennettavaan nippuun ja aiheuttaa vahvistamattoman apin asentamisen. Ongelma on ratkaistu tunnistamalla ja estämällä polun väärinkäyttö määritettäessä, mikä koodiallekirjoitus tulee vahvistaa.
CVE-ID
CVE-2014-4384: evad3rs
Assets
Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat
Vaikutus: Etuoikeutetussa verkkoasemassa oleva hyökkääjä saattaa pystyä uskottelemaan iOS-laitteelle virheellisesti, että se on päivitetty ajan tasalle
Kuvaus: Päivityksiä etsimisessä oli vastausten käsittelyn varmistusongelma. Tuleviin ajankohtiin asetettujen Last-Modified-vastausotsakkeiden väärennettyjä päivämääriä käytettiin If-Modified-Since-tarkistuksiin seuraavissa päivityspyynnöissä. Ongelma on ratkaistu tarkistamalla Last-Modified-otsake.
CVE-ID
CVE-2014-4383: Raul Siles (DinoSec)
Bluetooth
Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat
Vaikutus: Bluetooth otetaan odottamattomasti oletusarvoisesti käyttöön iOS:n päivityksen jälkeen
Kuvaus: Bluetooth oli käytössä automaattisesti iOS:n päivityksen jälkeen. Ongelma on ratkaistu ottamalla Bluetooth käyttöön vain pää- tai aliversiopäivitysten yhteydessä.
CVE-ID
CVE-2014-4354: Maneet Singh, Sean Bluestein
Certificate Trust Policy
Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat
Vaikutus: Päivitys varmenteiden luottamuskäytäntöön
Kuvaus: Varmenteiden luottamuskäytäntö päivitettiin. Täydellinen luettelo varmenteista on osoitteessa https://support.apple.com/HT5012.
CoreGraphics
Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat
Vaikutus: haitallisen PDF-tiedoston avaaminen saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: PDF-tiedostojen käsittelyssä oli kokonaisluvun ylivuoto. Ongelma ratkaistiin parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-4377: iSIGHT Partners GVP Programin parissa työskentelevä Felipe Andres Manzano (Binamuse VRT)
CoreGraphics
Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat
Vaikutus: Haitallisen PDF-tiedoston avaaminen saattaa johtaa apin odottamattomaan sulkeutumiseen tai tietojen paljastumiseen
Kuvaus: PDF-tiedostojen käsittelyssä oli rajojen ulkopuolisen muistin lukuongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-4378: iSIGHT Partners GVP Programin parissa työskentelevä Felipe Andres Manzano (Binamuse VRT)
Data Detectors
Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat
Vaikutus: FaceTime-linkin napauttaminen Mail-apissa aloitti FaceTime-äänipuhelun ilman vahvistusta
Kuvaus: Mail ei pyytänyt käyttäjältä vahvistusta ennen facetime-audio://-URL-osoitteiden avaamista. Ongelma on ratkaistu lisäämällä vahvistuskehote.
CVE-ID
CVE-2013-6835: Guillaume Ross
Foundation
Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat
Vaikutus: Appia, joka käytti NSXMLParseria, voidaan väärinkäyttää tietojen paljastamiseksi
Kuvaus: NSXMLParserin tavassa käsitellä XML-tietoja oli ulkoisia XML-entiteettejä koskeva ongelma. Ongelma on ratkaistu olemalla lataamatta ulkoisia entiteettejä eri alkuperien välillä.
CVE-ID
CVE-2014-4374: George Gal (VSR, http://www.vsecurity.com/)
Home & Lock Screen
Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat
Vaikutus: Taustalla oleva appi saattaa pystyä selvittämään, mikä appi oli etummaisena
Kuvaus: Etummaisen apin selvittämiseen käytetyllä yksityisellä API:lla ei ollut riittävää käytönvalvontaa. Ongelma on ratkaistu parantamalla käytönvalvontaa.
CVE-ID
CVE-2014-4361: Andreas Kurtz (NESO Security Labs) ja Markus Troßbach (Heilbronn University)
iMessage
Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat
Vaikutus: Liitettä ei ehkä poisteta, vaikka sen sisältävä iMessage- tai multimediaviesti on poistettu
Kuvaus: Liitteiden poistamisessa oli kilpailutilanne. Ongelma on ratkaistu suorittamalla lisätarkistuksia liitetiedoston poistamisesta.
CVE-ID
CVE-2014-4353: Silviu Schiau
IOAcceleratorFamily
Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmatVaikutus: Appi saattaa saada järjestelmän sulkeutumaan odottamattaKuvaus: IOAcceleratorFamilyn API-argumenttien käsittelyssä oli nollaosoittimen epäviittausongelma. Ongelma on ratkaistu parantamalla IOAcceleratorFamilyn API-argumenttien tarkistusta.CVE-IDCVE-2014-4369: Sarah eli winocm ja Cererdlong (Alibaba Mobile Security Team)
Impact: An application may cause an unexpected system termination
Description: A null pointer dereference existed in the handling of IOAcceleratorFamily API arguments. This issue was addressed through improved validation of IOAcceleratorFamily API arguments.
CVE-ID
CVE-2014-4369 : Sarah aka winocm and Cererdlong of Alibaba Mobile Security Team
Entry updated February 3, 2020
IOAcceleratorFamily
Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat
Vaikutus: Laite saattaa odottamatta käynnistyä uudelleen
Kuvaus: IntelAccelerator-ohjaimessa oli nollaosoittimen epäviittausongelma. Ongelma on ratkaistu parantamalla virheiden käsittelyä.
CVE-ID
CVE-2014-4373: cunzhang (Venustechin Adlab)
IOHIDFamily
Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat
Vaikutus: Haitallinen appi saattaa pystyä lukemaan ytimen osoittimia, mikä mahdollisti kernel-osoiteavaruuden satunnaistamisen ohittamisen
Kuvaus: IOHIDFamily-funktion käsittelyssä oli rajojen ulkopuoliseen lukemiseen liittyvä ongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-4379: Ian Beer (Google Project Zero)
IOHIDFamily
Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat
Vaikutus: Haitallinen appi saattaa pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla
Kuvaus: IOHIDFamilyn tavassa käsitellä näppäinten vastaavuusominaisuuksia oli kekopuskurin ylivuoto. Ongelma ratkaistiin parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-4404: Ian Beer (Google Project Zero)
IOHIDFamily
Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat
Vaikutus: Haitallinen appi saattaa pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla
Kuvaus: IOHIDFamilyn tavassa käsitellä näppäinten vastaavuusominaisuuksia oli nollaosoittimen epäviittaus. Ongelma on ratkaistu parantamalla IOHIDFamilyn näppäinten vastaavuusominaisuuksien tarkistamista.
CVE-ID
CVE-2014-4405: Ian Beer (Google Project Zero)
IOHIDFamily
Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat
Vaikutus: Haitallinen appi saattaa pystyä suorittamaan mielivaltaista koodia kernelin käyttöoikeuksilla
Kuvaus: IOHIDFamily-kernel-laajennuksessa oli rajojen ulkopuoliseen kirjoittamiseen liittyvä ongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-4380: cunzhang Adlabista (Venustech)
IOKit
Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat
Vaikutus: Haitallinen appi saattaa pystyä lukemaan alustamattomia tietoja kernel-muistista
Kuvaus: IOKit-funktioiden käsittelyssä oli alustamattoman muistin käyttöön liittyvä ongelma. Ongelma ratkaistiin parantamalla muistin alustusta.
CVE-ID
CVE-2014-4407: @PanguTeam
IOKit
Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat
Vaikutus: Haitallinen appi saattaa pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla
Kuvaus: IODataQueue-objektien tiettyjen metatietokenttien käsittelyssä oli validointiongelma. Ongelma on ratkaistu parantamalla metadatan tarkistamista.
CVE-ID
CVE-2014-4418: Ian Beer (Google Project Zero)
IOKit
Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat
Vaikutus: Haitallinen appi saattaa pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla
Kuvaus: IODataQueue-objektien tiettyjen metatietokenttien käsittelyssä oli validointiongelma. Ongelma on ratkaistu parantamalla metadatan tarkistamista.
CVE-ID
CVE-2014-4388: @PanguTeam
IOKit
Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat
Vaikutus: Haitallinen appi saattaa pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla
Kuvaus: IOKit-funktioiden käsittelyssä oli kokonaisluvun ylivuoto. Ongelma on ratkaistu parantamalla IOKitin API-argumenttien tarkistusta.
CVE-ID
CVE-2014-4389: Ian Beer (Google Project Zero)
Kernel
Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat
Vaikutus: Paikallinen käyttäjä saattaa pystyä päättelemään kernel-muistin asettelun
Kuvaus: Verkon tilastokäyttöliittymässä oli useita alustamattoman muistin ongelmia, jotka johtivat kernel-muistin sisällön paljastumiseen. Ongelma on ratkaistu muistin lisäalustamisella.
CVE-ID
CVE-2014-4371: Fermin J. Serna (Google Security Team)
CVE-2014-4419: Fermin J. Serna (Google Security Team)
CVE-2014-4420: Fermin J. Serna (Google Security Team)
CVE-2014-4421: Fermin J. Serna (Google Security Team)
Kernel
Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat
Vaikutus: Etuoikeutetussa verkkoasemassa oleva henkilö saattaa pystyä aiheuttamaan palveluneston
Kuvaus: Ipv6-pakettien käsittelyssä oli kilpailutilanne. Ongelma on ratkaistu parantamalla lukituksen tilan tarkistamista.
CVE-ID
CVE-2011-2391: Marc Heuse
Kernel
Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat
Vaikutus: Paikallinen käyttäjä saattaa pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen kernelissä
Kuvaus: Mach-porttien käsittelyssä oli double free -ongelma. Ongelma on ratkaistu parantamalla Mach-porttien tarkistamista.
CVE-ID
CVE-2014-4375: nimetön tutkija
Kernel
Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat
Vaikutus: Paikallinen käyttäjä saattaa pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen kernelissä
Kuvaus: rt_setgatessa oli rajojen ulkopuoliseen lukemiseen liittyvä ongelma. Tämä saattoi johtaa muistin paljastumiseen tai vioittumiseen. Ongelma ratkaistiin parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-4408
Kernel
Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat
Vaikutus: Jotkin kernelin lisäturvatoimet saatettiin ohittaa
Kuvaus: Laitteen käynnistyksen alkuvaiheissa kernelin lisäturvatoimia varten käytetty satunnaislukugeneraattori ei ollut kryptografisesti turvallinen. Jotkin sen tulokset pystyi päättelemään käyttäjätilasta käsin, mikä mahdollisti lisäturvatoimien ohittamisen. Ongelma on ratkaistu käyttämällä kryptografisesti turvallista algoritmia.
CVE-ID
CVE-2014-4422: Tarjei Mandt (Azimuth Security)
Libnotify
Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat
Vaikutus: Haitallinen appi saattaa pystyä suorittamaan mielivaltaista koodia pääkäyttöoikeuksilla
Kuvaus: Libnotifyssa oli rajojen ulkopuoliseen kirjoittamiseen liittyvä ongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-4381: Ian Beer (Google Project Zero)
Lockdown
Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat
Vaikutus: Laitetta voidaan manipuloida näyttämään kotinäyttö, kun laite on aktivointilukittu, vaikka tämän ei pitäisi olla mahdollista
Kuvaus: Lukituksen avaamisessa oli ongelma, jonka vuoksi laitteen kotinäyttö avautui, vaikka laitteen piti olla aktivointilukittuna. Ongelma on ratkaistu muuttamalla tietoja, jotka laite vahvistaa lukituksen avaamispyynnön aikana.
CVE-ID
CVE-2014-1360
Mail
Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat
Vaikutus: Kirjautumistiedot lähetetään mahdollisesti pelkkänä tekstinä, vaikka palvelin on ilmoittanut LOGINDISABLED IMAP -ominaisuudesta
Kuvaus: Mail lähetti LOGIN-komennon palvelimille, vaikka ne olivat ilmoittaneet LOGINDISABLED IMAP -ominaisuudesta. Tästä oli haittaa ensisijaisesti yhdistettäessä palvelimiin, jotka oli määritetty hyväksymään salaamattomia yhteyksiä ja jotka ilmoittivat LOGINDISABLED-ominaisuudesta. Ongelma on ratkaistu toimimalla LOGINDISABLED IMAP -ominaisuuden mukaan.
CVE-ID
CVE-2014-4366: Mark Crispin
Mail
Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat
Vaikutus: Henkilö, jolla on fyysinen pääsy iOS-laitteeseen, saattaa pystyä lukemaan sähköpostin liitteitä
Kuvaus: Mailin sähköpostiliitteiden tietosuojauksessa oli logiikkavirhe. Ongelma on ratkaistu asettamalla sähköpostiviestien liitetiedostojen tietosuojausluokka asianmukaisesti.
CVE-ID
CVE-2014-1348: Andreas Kurtz (NESO Security Labs)
Profiles
Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat
Vaikutus: Äänivalinta otetaan odottamattomasti käyttöön iOS:n päivityksen jälkeen
Kuvaus: Äänivalinta oli käytössä automaattisesti iOS:n päivityksen jälkeen. Ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-ID
CVE-2014-4367: Sven Heinemann
Safari
Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat
Vaikutus: Käyttäjän kirjautumistiedot saatetaan luovuttaa väärälle sivustolle automaattisen täytön kautta
Kuvaus: Safari saattoi automaattisesti täyttää käyttäjätunnukset ja salasanat alikehykseen, joka kuului eri domainiin kuin pääkehys. Ongelma on ratkaistu parantamalla alkuperän seurantaa.
CVE-ID
CVE-2013-5227: Niklas Malmgren (Klarna AB)
Safari
Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat
Vaikutus: Etuoikeutetussa verkkoasemassa oleva hyökkääjä voi siepata käyttäjän kirjautumistiedot
Kuvaus: Tallennetut salasanat täytettiin automaattisesti http-sivustoilla, epäluotettavilla https-sivustoilla ja iframes-kehyksissä. Ongelma on ratkaistu rajoittamalla salasanan automaattinen täyttö vain sellaisten https-sivustojen pääkehyksiin, joilla on kelvollinen varmenneketju.
CVE-ID
CVE-2014-4363: David Silver, Suman Jana ja Dan Boneh (Stanford University) yhteistyössä Eric Chenin ja Collin Jacksonin (Carnegie Mellon University) kanssa
Safari
Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat
Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattaa väärentää URL-osoitteita Safarissa
Kuvaus: Safarissa oli käyttöliittymän epäyhdenmukaisuus MDM:ää käyttävissä laitteissa. Ongelma on ratkaistu parantamalla käyttöliittymän yhdenmukaisuustarkistuksia.
CVE-ID
CVE-2014-8841: Angelo Prado (Salesforce Product Security)
Sandbox Profiles
Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat
Vaikutus: Apple ID:n tiedot ovat kolmannen osapuolen appien käytettävissä
Kuvaus: Kolmannen osapuolen appien eristyksessä oli tietojen paljastumiseen liittyvä ongelma. Ongelma on ratkaistu parantamalla muun valmistajan eristysprofiilia.
CVE-ID
CVE-2014-4362: Andreas Kurtz (NESO Security Labs) ja Markus Troßbach (Heilbronn University)
Settings
Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat
Vaikutus: Tekstiviestien esikatselut saattavat näkyä lukitulla näytöllä, vaikka ominaisuus oli pois käytöstä
Kuvaus: Tekstiviesti-ilmoitusten esikatselussa lukitulla näytöllä oli ongelma. Saapuneiden viestien sisältö näkyi tämän vuoksi lukitulla näytöllä, vaikka esikatselu oli poistettu käytöstä asetuksissa. Ongelma on ratkaistu parantamalla asetuksen noudattamista.
CVE-ID
CVE-2014-4356: Mattia Schirinzi (San Pietro Vernotico, BR, Italia)
syslog
Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat
Vaikutus: Paikallinen käyttäjä saattaa pystyä muuttamaan mielivaltaisten tiedostojen käyttöoikeuksia
Kuvaus: syslogd seurasi symbolisia linkkejä muuttaessaan tiedostojen käyttöoikeuksia. Ongelma on ratkaistu parantamalla symbolisten linkkien käsittelyä.
CVE-ID
CVE-2014-4372: Tielei Wang ja YeongJin Jang (Georgia Tech Information Security Center, GTISC)
Weather
Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat
Vaikutus: Sijaintitietoja lähetettiin ilman salausta
Kuvaus: Paikallisen säätilan selvittämiseen käytettävässä API:ssa oli tietojen paljastumiseen liittyvä ongelma. Ongelma on ratkaistu vaihtamalla ohjelmointirajapintaa.
WebKit
Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat
Vaikutus: Haitallinen verkkosivusto saattaa pystyä seuraamaan käyttäjiä, vaikka yksityinen selaus on käytössä
Kuvaus: Verkkoappi pystyi tallentamaan HTML5 -sovellusvälimuistiin tietoja tavallisen selauksen aikana ja lukemaan tietoja yksityisen selauksen aikana. Ongelma on ratkaistu estämällä pääsy apin välimuistiin yksityisen selauksen aikana.
CVE-ID
CVE-2014-4409: Yosuke Hasegawa (NetAgent Co., Led.)
WebKit
Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi ja sitä uudemmat), iPad 2 ja sitä uudemmat
Vaikutus: käynti haitallisessa verkkosivustossa saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: WebKitissä oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2013-6663: Atte Kettunen (OUSPG)
CVE-2014-1384: Apple
CVE-2014-1385: Apple
CVE-2014-1387: Google Chrome Security Team
CVE-2014-1388: Apple
CVE-2014-1389: Apple
CVE-2014-4410: Eric Seidel (Google)
CVE-2014-4411: Google Chrome Security Team
CVE-2014-4412: Apple
CVE-2014-4413: Apple
CVE-2014-4414: Apple
CVE-2014-4415: Apple
Wi-Fi
Saatavuus: iPhone 4s ja sitä uudemmat, iPod touch (5. sukupolvi) ja sitä uudemmat, iPad 2 ja sitä uudemmat
Vaikutus: Laitetta saatetaan seurata passiivisesti sen Wi-Fi MAC-osoitteen avulla
Kuvaus: Wi-Fi-verkkojen etsinnässä käytettiin vakiintunutta MAC-osoitetta, mikä aiheutti tietojen paljastumisen. Ongelma on ratkaistu satunnaistamalla Wi-Fi-verkkojen passiivisessa etsinnässä käytetty MAC-osoite.
Huomautus:
Joitakin diagnostiikkaominaisuuksia on muutettu iOS 8:ssa. Lisätietoja on osoitteessa https://support.apple.com/HT6331
iOS 8:ssa on mahdollista poistaa laitteen luottamus kaikkiin aiemmin luotettuihin tietokoneisiin. Ohjeet löytyvät osoitteesta https://support.apple.com/HT5868
FaceTime ei ole saatavilla kaikissa maissa tai kaikilla alueilla.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.