Tietoja iOS 8:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan iOS 8:n turvallisuussisällöstä.

Apple haluaa suojella asiakkaitaan, eikä siksi paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

iOS 8

  • 802.1X

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Hyökkääjä saattoi saada Wi-Fi-tunnistetiedot.

    Kuvaus: Hyökkääjä saattoi esiintyä Wi-Fi-tukiasemana, tarjota LEAP-todentamista, rikkoa MS-CHAPv1-hajautuksen ja käyttää saamiaan tunnistetietoja haluttuun tukiasemaan todentautumisessa, vaikka tukiasema tuki vahvempia todennusmenetelmiä. Ongelma on ratkaistu poistamalla LEAP oletusarvoisesti käytöstä.

    CVE-ID

    CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax ja Wim Lamotte (Universiteit Hasselt)

  • Tilit

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haittaohjelma saattoi pystyä tunnistamaan käyttäjän Apple ID:n.

    Kuvaus: Tilien käytönvalvontalogiikassa oli ongelma. Eristetty appi saattoi saada tietoja aktiivisesta iCloud-tilistä, mukaan lukien tilin nimen. Ongelma on ratkaistu estämällä luvattomia appeja käyttämästä tiettyjä tilityyppejä.

    CVE-ID

    CVE-2014-4423: Adam Weaver

  • Käyttöapu

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Laite ei ehkä lukinnut näyttöä käytettäessä AssistiveTouchia.

    Kuvaus: AssistiveTouchin tavassa käsitellä tapahtumia oli logiikkaongelma, minkä vuoksi näyttö ei lukittunut. Ongelma on ratkaistu parantamalla lukitusajastimen käsittelyä.

    CVE-ID

    CVE-2014-4368: Hendrik Bettermann

  • Tilit-sovelluskehys

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Hyökkääjä, jolla oli pääsy iOS-laitteeseen, saattoi saada lokeista haltuunsa arkaluonteisia käyttäjätietoja.

    Kuvaus: Arkaluonteisia käyttäjätietoja kirjattiin lokiin. Ongelma on ratkaistu kirjaamalla lokiin vähemmän tietoja.

    CVE-ID

    CVE-2014-4357: Heli Myllykoski (OP-Pohjola-ryhmä)

  • Osoitekirja

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Henkilö, jolla oli fyysinen pääsy iOS-laitteeseen, saattoi pystyä lukemaan osoitekirjaa.

    Kuvaus: Osoitekirja oli salattu avaimella, joka oli suojattu vain laitteiston UID-tunnuksella. Ongelma on ratkaistu salaamalla osoitekirja avaimella, joka on suojattu laitteiston UID-tunnuksella ja käyttäjän pääsykoodilla.

    CVE-ID

    CVE-2014-4352: Jonathan Zdziarski

  • Appien asennus

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Paikallinen hyökkääjä saattoi pystyä laajentamaan käyttöoikeuksia ja asentamaan vahvistamattomia appeja.

    Kuvaus: Appien asentamisessa oli kilpailutilanne. Hyökkääjä, joka pystyi kirjoittamaan /tmp-hakemistoon, saattoi pystyä asentamaan vahvistamattoman apin. Ongelma on ratkaistu valmistelemalla asennettavat tiedostot muussa hakemistossa.

    CVE-ID

    CVE-2014-4386: evad3rs

  • Appien asennus

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Paikallinen hyökkääjä saattoi pystyä laajentamaan käyttöoikeuksia ja asentamaan vahvistamattomia appeja.

    Kuvaus: Appien asentamisessa oli polun väärinkäyttöön liittyvä ongelma. Paikallinen hyökkääjä saattoi kohdistaa koodiallekirjoituksen tarkistamisen muuhun kuin asennettavaan nippuun ja aiheuttaa vahvistamattoman apin asentamisen. Ongelma on ratkaistu tunnistamalla ja estämällä polun väärinkäyttö määritettäessä, mikä koodiallekirjoitus tulee vahvistaa.

    CVE-ID

    CVE-2014-4384: evad3rs

  • Resurssit

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi saada iOS-laitteen luulemaan olevansa ajan tasalla, vaikka se ei ollut.

    Kuvaus: Päivityksen tarkistamisvastausten käsittelyssä oli tarkistamisongelma. Tuleviin ajankohtiin asetettujen Last-Modified-vastausotsakkeiden väärennettyjä päivämääriä käytettiin If-Modified-Since-tarkistuksiin seuraavissa päivityspyynnöissä. Ongelma on ratkaistu tarkistamalla Last-Modified-otsake.

    CVE-ID

    CVE-2014-4383: Raul Siles (DinoSec)

  • Bluetooth

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Bluetooth otettiin odottamatta oletusarvoisesti käyttöön iOS:n päivittämisen jälkeen.

    Kuvaus: Bluetooth otettiin automaattisesti käyttöön iOS:n päivittämisen jälkeen. Ongelma on ratkaistu ottamalla Bluetooth käyttöön vain pää- tai aliversiopäivitysten yhteydessä.

    CVE-ID

    CVE-2014-4354: Maneet Singh ja Sean Bluestein

  • Varmenteiden luottamuskäytäntö

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Varmenteiden luottamuskäytäntö on päivitetty.

    Kuvaus: Varmenteiden luottamuskäytäntö on päivitetty. Täydellinen luettelo varmenteista on osoitteessa https://support.apple.com/fi-fi/HT5012.

  • CoreGraphics

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisen PDF-tiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: PDF-tiedostojen käsittelyssä oli kokonaisluvun ylivuoto. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4377: iSIGHT Partners GVP Programin parissa työskentelevä Felipe Andres Manzano (Binamuse VRT)

  • CoreGraphics

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisen PDF-tiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai tietojen paljastumisen.

    Kuvaus: PDF-tiedostojen käsittelyssä oli rajojen ulkopuolisen muistin lukuongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4378: iSIGHT Partners GVP Programin parissa työskentelevä Felipe Andres Manzano (Binamuse VRT)

  • Datatunnistimet

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: FaceTime-linkin napauttaminen Mailissa käynnisti FaceTime-äänipuhelun ilman kehotetta.

    Kuvaus: Mail ei kysynyt lupaa käyttäjältä ennen facetime-audio://-URL-osoitteiden avaamista. Ongelma on ratkaistu lisäämällä vahvistuskehote.

    CVE-ID

    CVE-2013-6835: Guillaume Ross

  • Foundation

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: NSXMLParseria käyttävää appia saatettiin käyttää väärin tietojen paljastamiseen.

    Kuvaus: NSXMLParserin tavassa käsitellä XML-tietoja oli ulkoisia XML-entiteettejä koskeva ongelma. Ongelma on ratkaistu olemalla lataamatta ulkoisia entiteettejä eri alkuperien välillä.

    CVE-ID

    CVE-2014-4374: VSR:n George Gal (http://www.vsecurity.com/)

  • Koti-valikko ja lukittu näyttö

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Taustalla oleva appi saattoi pystyä selvittämään, mikä appi oli etummaisena.

    Kuvaus: Etummaisen apin selvittämiseen käytetyllä yksityisellä ohjelmointirajapinnalla ei ollut riittävää käytönvalvontaa. Ongelma on ratkaistu parantamalla käytönvalvontaa.

    CVE-ID

    CVE-2014-4361: Andreas Kurtz (NESO Security Labs) ja Markus Troßbach (Heilbronn University)

  • iMessage

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Liitettä ei ehkä poistettu, vaikka sen sisältävä iMessage- tai multimediaviesti poistettiin.

    Kuvaus: Liitetiedostojen poistamisessa oli kilpailutilanne. Ongelma on ratkaistu suorittamalla lisätarkistuksia liitetiedoston poistamisesta.

    CVE-ID

    CVE-2014-4353: Silviu Schiau

  • IOAcceleratorFamily

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Appi saattoi aiheuttaa järjestelmän odottamattoman sulkeutumisen.

    Kuvaus: IOAcceleratorFamilyn API-argumenttien käsittelyssä oli nollaosoittimen epäviittausongelma. Ongelma on ratkaistu parantamalla IOAcceleratorFamilyn API-argumenttien tarkistusta.

    CVE-ID

    CVE-2014-4369: Sarah (alias winocm) ja Cererdlong (Alibaba Mobile Security Team)

    Kohta päivitetty 3.2.2020
  • IOAcceleratorFamily

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Laite saattoi odottamatta käynnistyä uudelleen.

    Kuvaus: IntelAccelerator-ohjaimessa oli nollaosoittimen epäviittausongelma. Ongelma on ratkaistu parantamalla virheiden käsittelyä.

    CVE-ID

    CVE-2014-4373: cunzhang (Adlab, Venustech)

  • IOHIDFamily

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haittaohjelma saattoi pystyä lukemaan kernel-osoittimia, joita voitiin käyttää kernel-osoitetilan asettelun satunnaistamisen ohittamiseen.

    Kuvaus: IOHIDFamily-funktion käsittelyssä oli rajojen ulkopuolisen muistin lukuongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4379: Ian Beer (Google Project Zero)

  • IOHIDFamily

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IOHIDFamilyn tavassa käsitellä näppäinten vastaavuusominaisuuksia oli kekopuskurin ylivuoto. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4404: Ian Beer (Google Project Zero)

  • IOHIDFamily

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IOHIDFamilyn tavassa käsitellä näppäinten vastaavuusominaisuuksia oli nollaosoittimen epäviittausongelma. Ongelma on ratkaistu parantamalla IOHIDFamilyn näppäinten vastaavuusominaisuuksien tarkistamista.

    CVE-ID

    CVE-2014-4405: Ian Beer (Google Project Zero)

  • IOHIDFamily

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

    Kuvaus: IOHIDFamily-kernel-laajennuksessa oli rajojen ulkopuolisen muistin kirjoitusongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4380: cunzhang (Adlab, Venustech)

  • IOKit

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haittaohjelma saattoi pystyä lukemaan alustamattomia tietoja kernel-muistista.

    Kuvaus: IOKit-funktioiden käsittelyssä oli alustamattoman muistin käyttöongelma. Ongelma on korjattu parantamalla muistin alustamista.

    CVE-ID

    CVE-2014-4407: @PanguTeam

  • IOKit

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IODataQueue-objektien joidenkin metadatakenttien käsittelyssä oli tarkistamisongelma. Ongelma on ratkaistu parantamalla metadatan tarkistamista.

    CVE-ID

    CVE-2014-4418: Ian Beer (Google Project Zero)

  • IOKit

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IODataQueue-objektien joidenkin metadatakenttien käsittelyssä oli tarkistamisongelma. Ongelma on ratkaistu parantamalla metadatan tarkistamista.

    CVE-ID

    CVE-2014-4388: @PanguTeam

  • IOKit

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IOKit-funktioiden käsittelyssä oli kokonaisluvun ylivuoto. Ongelma on ratkaistu parantamalla IOKitin API-argumenttien tarkistusta.

    CVE-ID

    CVE-2014-4389: Ian Beer (Google Project Zero)

  • Kernel

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä päättelemään kernel-muistin asettelun.

    Kuvaus: Verkkotilastojen käyttöliittymässä oli useita alustamattomaan muistiin liittyviä ongelmia, mikä johti kernel-muistin sisällön paljastumiseen. Ongelma on ratkaistu muistin lisäalustamisella.

    CVE-ID

    CVE-2014-4371: Fermin J. Serna (Google Security Team)

    CVE-2014-4419: Fermin J. Serna (Google Security Team)

    CVE-2014-4420: Fermin J. Serna (Google Security Team)

    CVE-2014-4421: Fermin J. Serna (Google Security Team)

  • Kernel

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Etuoikeutetussa verkkoasemassa ollut henkilö saattoi aiheuttaa palveluneston.

    Kuvaus: IPv6-pakettien käsittelyssä oli kilpailutilanneongelma. Ongelma on ratkaistu parantamalla lukituksen tilan tarkistamista.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Kernel

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen kernelissä.

    Kuvaus: Mach-porttien käsittelyssä oli double free -ongelma. Ongelma on ratkaistu parantamalla Mach-porttien tarkistamista.

    CVE-ID

    CVE-2014-4375: nimetön tutkija

  • Kernel

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen kernelissä.

    Kuvaus: rt_setgatessa oli rajojen ulkopuolisen muistin lukuongelma. Tämä saattoi johtaa muistin paljastumiseen tai vioittumiseen. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4408

  • Kernel

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Jotkin kernelin lisäturvatoimet saatettiin ohittaa.

    Kuvaus: Laitteen käynnistyksen alkuvaiheissa kernelin lisäturvatoimia varten käytetty satunnaislukugeneraattori ei ollut kryptografisesti turvallinen. Jotkin sen tulokset pystyi päättelemään käyttäjätilasta käsin, mikä mahdollisti lisäturvatoimien ohittamisen. Ongelma on ratkaistu käyttämällä kryptografisesti turvallista algoritmia.

    CVE-ID

    CVE-2014-4422: Tarjei Mandt (Azimuth Security)

  • Libnotify

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia pääkäyttöoikeuksilla.

    Kuvaus: Libnotifyssa oli rajojen ulkopuolisen muistin kirjoitusongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4381: Ian Beer (Google Project Zero)

  • Lockdown

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Laite saatettiin pystyä manipuloimaan näyttämään Koti-valikko, kun laite oli aktivointilukittu, vaikka tämän ei pitäisi olla mahdollista.

    Kuvaus: Lukituksen avaamisessa oli ongelma, jonka vuoksi laitteen Koti-valikko avautui, vaikka laitteen piti olla aktivointilukittu. Ongelma on ratkaistu muuttamalla tietoja, jotka laite vahvistaa lukituksen avaamispyynnön aikana.

    CVE-ID

    CVE-2014-1360

  • Mail

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Kirjautumistiedot saatettiin lähettää pelkkänä tekstinä, vaikka palvelin oli ilmoittanut LOGINDISABLED IMAP -ominaisuudesta.

    Kuvaus: Mail lähetti LOGIN-komennon palvelimille, vaikka se oli ilmoittanut LOGINDISABLED IMAP -ominaisuudesta. Tästä oli haittaa ensisijaisesti yhdistettäessä palvelimiin, jotka oli määritetty hyväksymään salaamattomia yhteyksiä ja jotka ilmoittivat LOGINDISABLED-ominaisuudesta. Ongelma on ratkaistu toimimalla LOGINDISABLED IMAP -ominaisuuden mukaan.

    CVE-ID

    CVE-2014-4366: Mark Crispin

  • Mail

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Henkilö, jolla oli fyysinen pääsy iOS-laitteeseen, saattoi pystyä lukemaan sähköpostin liitetiedostoja.

    Kuvaus: Mailin tavassa käyttää tietojen suojausta sähköpostiviestien liitetiedostoissa oli logiikkaongelma. Ongelma on ratkaistu asettamalla sähköpostiviestien liitetiedostojen tietosuojausluokka asianmukaisesti.

    CVE-ID

    CVE-2014-1348: NESO Security Labsin Andreas Kurtz

  • Profiilit

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Äänivalinta otettiin odottamatta käyttöön iOS:n päivittämisen jälkeen.

    Kuvaus: Äänivalinta otettiin automaattisesti käyttöön iOS:n päivittämisen jälkeen. Ongelma on ratkaistu parantamalla tilanhallintaa.

    CVE-ID

    CVE-2014-4367: Sven Heinemann

  • Safari

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Käyttäjän kirjautumistiedot saatettiin luovuttaa väärälle sivustolle automaattisen täytön avulla.

    Kuvaus: Safari saattoi automaattisesti täyttää käyttäjätunnukset ja salasanat alikehykseen, joka kuului eri domainiin kuin pääkehys. Ongelma on ratkaistu parantamalla alkuperän seurantaa.

    CVE-ID

    CVE-2013-5227: Niklas Malmgren (Klarna AB)

  • Safari

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Etuoikeutetussa verkkoasemassa oleva hyökkääjä saattoi saada haltuunsa käyttäjän tunnistetiedot.

    Vaikutus: Tallennetut salasanat täytettiin automaattisesti http-sivustoilla, epäluotettavilla https-sivustoilla ja iframes-kehyksissä. Ongelma on ratkaistu rajoittamalla salasanan automaattinen täyttö vain sellaisten https-sivustojen pääkehyksiin, joilla on kelvollinen varmenneketju.

    CVE-ID

    CVE-2014-4363: Stanford Universityn David Silver, Suman Jana ja Dan Boneh yhteistyössä Carnegie Mellon Universityn Eric Chenin ja Collin Jacksonin kanssa

  • Safari

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi väärentää URL-osoitteita Safarissa.

    Kuvaus: Safarissa oli käyttöliittymän epäyhdenmukaisuus MDM:ää käyttävissä laitteissa. Ongelma on ratkaistu parantamalla käyttöliittymän yhdenmukaisuustarkistuksia.

    CVE-ID

    CVE-2014-8841: Angelo Prado (Salesforce Product Security)

  • Eristysprofiilit

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Muun valmistajan apit pääsivät käyttämään Apple ID -tietoja.

    Kuvaus: Muun valmistajan apin eristyksessä oli tietojen paljastumiseen liittyvä ongelma. Ongelma on ratkaistu parantamalla muun valmistajan eristysprofiilia.

    CVE-ID

    CVE-2014-4362: Andreas Kurtz (NESO Security Labs) ja Markus Troßbach (Heilbronn University)

  • Asetukset

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Tekstiviestien esikatselut saattoivat näkyä lukitulla näytöllä, vaikka ominaisuus oli pois käytöstä.

    Kuvaus: Tekstiviesti-ilmoitusten esikatselussa lukitulla näytöllä oli ongelma. Saapuneiden viestien sisältö näkyi tämän vuoksi lukitulla näytöllä, vaikka esikatselu oli poistettu käytöstä asetuksissa. Ongelma on ratkaistu parantamalla asetuksen noudattamista.

    CVE-ID

    CVE-2014-4356: Mattia Schirinzi (San Pietro Vernotico, Brindisin maakunta, Italia)

  • syslog

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä muuttamaan mielivaltaisten tiedostojen käyttöoikeuksia.

    Kuvaus: syslogd seurasi symbolisia linkkejä muuttaessaan tiedostojen käyttöoikeuksia. Ongelma on ratkaistu parantamalla symbolisten linkkien käsittelyä.

    CVE-ID

    CVE-2014-4372: Georgia Tech Information Security Centerin (GTISC) Tielei Wang ja YeongJin Jang

  • Sää

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Sijaintitiedot lähetettiin salaamattomina.

    Kuvaus: Paikallissään selvittämiseen käytetyssä ohjelmointirajapinnassa oli tietojen paljastumiseen liittyvä ongelma. Ongelma on ratkaistu vaihtamalla ohjelmointirajapintaa.

  • WebKit

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallinen verkkosivusto saattoi pystyä seuraamaan käyttäjän toimia, vaikka yksityinen selaus oli käytössä.

    Kuvaus: Verkkoappi pystyi tallentamaan HTML 5 -apin välimuistitiedot normaalin selauksen aikana ja lukemaan ne myöhemmin yksityisen selauksen aikana. Ongelma on ratkaistu estämällä pääsy apin välimuistiin yksityisen selauksen aikana.

    CVE-ID

    CVE-2014-4409: Yosuke Hasegawa (NetAgent Co., Led.)

  • WebKit

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Haitallisella verkkosivustolla käynti saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: WebKitissä oli useita muistin vioittumiseen liittyviä ongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2013-6663: Atte Kettunen (OUSPG)

    CVE-2014-1384: Apple

    CVE-2014-1385: Apple

    CVE-2014-1387: Google Chrome Security Team

    CVE-2014-1388: Apple

    CVE-2014-1389: Apple

    CVE-2014-4410: Eric Seidel (Google)

    CVE-2014-4411: Google Chrome Security Team

    CVE-2014-4412: Apple

    CVE-2014-4413: Apple

    CVE-2014-4414: Apple

    CVE-2014-4415: Apple

  • Wi-Fi

    Saatavuus: iPhone 4s tai uudempi, iPod touch (5. sukupolvi tai uudempi) ja iPad 2 tai uudempi.

    Vaikutus: Laitetta saatettiin pystyä passiivisesti seuraamaan sen Wi-Fi-yhteyden MAC-osoitteen perusteella.

    Kuvaus: Wi-Fi-verkkojen etsinnässä käytettiin vakiintunutta MAC-osoitetta, mikä aiheutti tietojen paljastumisen. Ongelma on ratkaistu satunnaistamalla Wi-Fi-verkkojen passiivisessa etsinnässä käytetty MAC-osoite.

Huomautus:

Joitakin vianmääritysominaisuuksia on muutettu iOS 8:ssa. Lisätietoja on osoitteessa https://support.apple.com/fi-fi/HT6331.

iOS 8:ssa on mahdollista poistaa laitteen luottamus kaikkiin aiemmin luotettuihin tietokoneisiin. Ohjeet löytyvät osoitteesta https://support.apple.com/fi-fi/HT5868.

FaceTime ei ole saatavilla kaikissa maissa tai kaikilla alueilla.

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: