מידע על תוכן האבטחה של iOS 8

מסמך זה מתאר את תוכן האבטחה של iOS 8.

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד לביצוע חקירה מלאה בנושא ולהפצת מהדורות או רכיבי Patch חיוניים. למידע נוסף בנושא אבטחת מוצר של Apple, עיינו באתר האינטרנט אבטחת מוצר של Apple.

למידע על מפתח PGP לאבטחת מוצר של Apple, עיינו בנושא כיצד להשתמש במפתח PGP לאבטחת מוצר של Apple.

היכן שניתן, מזהי CVE משמשים כסימוכין לפגיעויות לצורך קבלת מידע נוסף.

כדי ללמוד על עדכוני אבטחה נוספים, עיינו בנושא עדכוני אבטחה של Apple.

iOS 8

  • 802.1X

    זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך

    השפעה: תוקף עלול להשיג את הרשאות ההתחברות לרשת אלחוטית

    תיאור: ייתכן שתוקף התחזה לנקודת גישה לרשת אלחוטית, הציע לבצע אימות עם LEAP, שבר את צירוף ה-hash של MS-CHAPv1, והשתמש בהרשאות שנגזרו כדי לבצע אימות בנקודת הגישה הייעודית למרות שנקודת גישה זו תומכת בשיטות אימות חזקות יותר. בעיה זו טופלה על-ידי ביטול LEAP כברירת מחדל.

    CVE-ID

    ‏CVE-2014-4364: ‏Pieter Robyns, ‏Bram Bonne, ‏Peter Quax ו-Wim Lamotte מ-Universiteit Hasselt

  • Accounts

    זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך

    השפעה: יישום זדוני עלול להצליח לזהות את ה-Apple ID של המשתמש

    תיאור: אירעה בעיה בלוגיקת בקרת הגישה של החשבונות. אפליקציה בשלב ארגז חול יכלה להשיג מידע על חשבון iCloud הפעיל כעת, כולל שם החשבון. בעיה זו טופלה על-ידי הגבלת הגישה של אפליקציות בלתי מורשות לסוגי חשבון מסוימים.

    CVE-ID

    ‏CVE-2014-4423: ‏Adam Weaver

  • Accessibility

    זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך

    השפעה: המכשיר עלול לא לנעול את המסך כשמשתמשים ב-AssistiveTouch

    תיאור: אירעה בעיה לוגית באופן הטיפול של AssistiveTouch באירועים, וכתוצאה מכך המסך לא ננעל. בעיה זו נפתרה באמצעות טיפול משופר בטיימר הנעילה.

    CVE-ID

    ‏CVE-2014-4368: ‏Hendrik Bettermann

  • Accounts Framework

    זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך

    השפעה: תוקף עם גישה למכשיר iOS עשוי לגשת למידע רגיש של המשתמש דרך קובצי רישום

    תיאור: מידע רגיש של המשתמש נרשם. בעיה זו טופלה על-ידי תיעוד פחות מידע.

    CVE-ID

    ‏CVE-2014-4357: ‏Heli Myllykoski מ-OP-Pohjola Group

  • Address Book

    זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך

    השפעה: אדם עם גישה פיזית למכשיר iOS עלול לקרוא את פנקס הכתובות

    תיאור: פנקס הכתובות הוצפן בעזרת מפתח שמוגן רק על-ידי ה-UID של החומרה. בעיה זו טופלה על-ידי הצפנת פנקס הכתובות באמצעות מפתח המוגן בעזרת ה-UID של החומרה וקוד הגישה של המשתמש.

    CVE-ID

    ‏CVE-2014-4352: ‏Jonathan Zdziarski

  • App Installation

    זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך

    השפעה: תוקף מקומי עלול להצליח להסלים הרשאות ולהתקין יישומים לא מאומתים

    תיאור: אירע מרוץ תהליכים בהתקנת היישום. תוקף עם יכולת כתיבה ל-‎/tmp היה יכול להתקין אפליקציה לא מאומתת. בעיה זו טופלה על-ידי הצבת קבצים להתקנה בספריה אחרת.

    CVE-ID

    ‏CVE-2014-4386: ‏evad3rs

  • App Installation

    זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך

    השפעה: תוקף מקומי עלול להצליח להסלים הרשאות ולהתקין יישומים לא מאומתים

    תיאור: אירעה בעיית חציית נתיבים בהתקנת היישום. תוקף מקומי היה יכול לנתב מחדש אימות חתימת קוד לחבילה אחרת מזו שמותקנת, ולגרום להתקנה של אפליקציה לא מאומתת. בעיה זו טופלה על-ידי זיהוי ומניעה של חציית נתיבים כאשר נקבע איזו חתימת קוד לאמת.

    CVE-ID

    ‏CVE-2014-4384: ‏evad3rs

  • Assets

    זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך

    השפעה: תוקף עם מיקום מורשה ברשת עשוי להצליח לגרום למכשיר iOS מסוים לחשוב שהוא מעודכן למרות שאינו מעודכן

    תיאור: הייתה בעיית אימות בטיפול בתגובות על בדיקת עדכון. תאריכים מזויפים מכותרות תגובה מסוג 'שונה לאחרונה' שימשו עבור בדיקות 'אם השתנה מאז' בבקשות עדכון עוקבות. הבעיה טופלה על-ידי אימות הכותרת 'שונה לאחרונה'.

    CVE-ID

    ‏CVE-2014-4383: ‏Raul Siles מ-DinoSec

  • Bluetooth

    זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך

    השפעה: Bluetooth מופעל באופן בלתי צפוי כברירת מחדל לאחר שדרוג של iOS

    תיאור: Bluetooth הופעל אוטומטית לאחר שדרוג של iOS. בעיה זו טופלה על-ידי הפעלת Bluetooth רק עבור עדכוני גרסה חשובים או משניים.

    CVE-ID

    ‏CVE-2014-4354: ‏Maneet Singh, ‏Sean Bluestein

  • Certificate Trust Policy

    זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך

    השפעה: עדכון למדיניות מהימנות האישורים

    תיאור: מדיניות מהימנות האישורים עודכנה. ניתן להציג את רשימת האישורים המלאה ב-http://support.apple.com/kb/HT5012.

  • CoreGraphics

    זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך

    השפעה: פתיחת קובץ PDF שנוצר באופן זדוני עלולה להוביל לעצירה בלתי צפויה של יישום או להפעלה שרירותית של קוד

    תיאור: הייתה גלישה נומרית בטיפול בקובצי PDF. בעיה זו טופלה באמצעות בדיקת טווח משופרת.

    CVE-ID

    ‏CVE-2014-4377: ‏Felipe Andres Manzano מ-Binamuse VRT בעבודה משותפת עם iSIGHT Partners GVP Program

  • CoreGraphics

    זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך

    השפעה: פתיחת קובץ PDF שנוצר באופן זדוני עלולה להוביל לסיום בלתי צפוי של יישום או לחשיפת מידע

    תיאור: הייתה קריאת זיכרון מחוץ לטווח בטיפול בקובצי PDF. בעיה זו טופלה באמצעות בדיקת טווח משופרת.

    CVE-ID

    ‏CVE-2014-4378: ‏Felipe Andres Manzano מ-Binamuse VRT בעבודה משותפת עם iSIGHT Partners GVP Program

  • Data Detectors

    זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך

    השפעה: הקשה על קישור של FaceTime ב'דואר' מפעילה שיחה קולית של FaceTime ללא בקשה מראש

    תיאור: 'דואר' לא שואל את המשתמש לפני הפעלת כתובות URL של facetime-audio://‎. בעיה זו טופלה על-ידי הוספת בקשה לאישור.

    CVE-ID

    ‏CVE-2013-6835: ‏Guillaume Ross

  • Foundation

    זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך

    השפעה: יישום המשתמש ב-NSXMLParser עלול להיות מנוצל לחשיפה של מידע

    תיאור: בעיית ישות חיצונית של XML אירעה בעת הטיפול של NSXMLParser ב-XML. בעיה זו טופלה על-ידי אי-טעינה של ישויות חיצוניות במקורות.

    CVE-ID

    ‏CVE-2014-4374: ‏George Gal מ-VSR ‏(http://www.vsecurity.com/‎)

  • Home & Lock Screen

    זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך

    השפעה: יישום ברקע עשוי לקבוע איזה יישום יהיה הקדמי ביותר

    תיאור: ל-API הפרטי שקובע מהו היישום הקדמי ביותר אין בקרת גישה מספיקה. בעיה זו טופלה באמצעות הוספת בקרת גישה.

    CVE-ID

    ‏CVE-2014-4361: ‏Andreas Kurtz מ-NESO Security Labs ו-Markus Troßbach מ-Heilbronn University

  • iMessage

    זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך

    השפעה: קבצים מצורפים עלולים להישאר אחרי שהודעת ה-iMessage או ה-MMS שאליה צורפו נמחקה

    תיאור: אירע מרוץ תהליכים באופן שבו הקבצים המצורפים נמחקו. בעיה זו טופלה על-ידי ביצוע בדיקות נוספות כדי לקבוע אם קובץ מצורף נמחק.

    CVE-ID

    ‏CVE-2014-4353: ‏Silviu Schiau

  • IOAcceleratorFamily

    זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך השפעה: יישום עלול לגרום לעצירה בלתי צפויה של המערכת תיאור: ביטול הפניה של מצביע אפס התקיים בעת הטיפול בארגומנטים מסוג IOAcceleratorFamily API. בעיה זו טופלה על-ידי שיפור האימות של הארגומנטים מסוג IOAcceleratorFamily API.CVE-IDCVE-2014-4369: ‏Sarah המכונה winocm ו-Cererdlong מצוות אבטחת מכשירים ניידים ב-Alibaba

    Impact: An application may cause an unexpected system termination

    Description: A null pointer dereference existed in the handling of IOAcceleratorFamily API arguments. This issue was addressed through improved validation of IOAcceleratorFamily API arguments.

    CVE-ID

    CVE-2014-4369 : Sarah aka winocm and Cererdlong of Alibaba Mobile Security Team

    • Entry updated February 3, 2020

  • IOAcceleratorFamily

    זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך

    השפעה: תיתכן הפעלה מחדש של המכשיר באופן בלתי צפוי

    תיאור: ביטול הפניה של מצביע אפס התקיים במנהל ההתקן של IntelAccelerator. הבעיה נפתרה בעזרת טיפול משופר בשגיאות.

    CVE-ID

    ‏CVE-2014-4373: ‏cunzhang מ-Adlab of Venustech

  • IOHIDFamily

    זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך

    השפעה: יישום זדוני עשוי להצליח לקרוא מצביעי ליבה, והדבר עשוי לשמש לעקיפת ההקצאה האקראית של פריסת מרחב כתובות הליבה

    תיאור: אירעה בעיית קריאה מחוץ לטווח במסגרת הטיפול בפונקציית IOHIDFamily. בעיה זו טופלה באמצעות בדיקת טווח משופרת.

    CVE-ID

    ‏CVE-2014-4379: ‏Ian Beer מ-Google Project Zero

  • IOHIDFamily

    זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך

    השפעה: יישום זדוני עלול להצליח להפעיל קוד שרירותי עם הרשאות מערכת

    תיאור: אירעה גלישת חוצץ בערימה בעת הטיפול של IOHIDFamily במאפייני מיפוי מפתחות. בעיה זו טופלה באמצעות בדיקת טווח משופרת.

    CVE-ID

    ‏CVE-2014-4404: ‏Ian Beer מ-Google Project Zero

  • IOHIDFamily

    זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך

    השפעה: יישום זדוני עלול להצליח להפעיל קוד שרירותי עם הרשאות מערכת

    תיאור: אירע ביטול הפניה של מצביע אפס בעת הטיפול של IOHIDFamily במאפייני מיפוי מפתחות. בעיה זו טופלה באמצעות אימות משופר של מאפייני מיפוי מפתחות של IOHIDFamily.

    CVE-ID

    ‏CVE-2014-4405: ‏Ian Beer מ-Google Project Zero

  • IOHIDFamily

    זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך

    השפעה: יישום זדוני עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

    תיאור: אירעה בעיית כתיבה מחוץ לתחום בהרחבת ליבה של IOHIDFamily. בעיה זו טופלה באמצעות בדיקת טווח משופרת.

    CVE-ID

    ‏CVE-2014-4380: ‏cunzhang מ-Adlab of Venustech

  • IOKit

    זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך

    השפעה: יישום זדוני עלול להצליח לקרוא נתונים לא מאותחלים מזיכרון ליבה

    תיאור: אירעה בעיית גישה לזיכרון לא מאותחל במסגרת הטיפול בפונקציות IOKit. בעיה זו טופלה על-ידי אתחול זיכרון משופר

    CVE-ID

    CVE-2014-4407 : @PanguTeam

  • IOKit

    זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך

    השפעה: יישום זדוני עלול להצליח להפעיל קוד שרירותי עם הרשאות מערכת

    תיאור: אירעה בעיית אימות במסגרת הטיפול בשדות מטא-נתונים מסוימים של אובייקטי IODataQueue. בעיה זו טופלה באמצעות אימות משופר של מטא-נתונים.

    CVE-ID

    ‏CVE-2014-4418: ‏Ian Beer מ-Google Project Zero

  • IOKit

    זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך

    השפעה: יישום זדוני עלול להצליח להפעיל קוד שרירותי עם הרשאות מערכת

    תיאור: אירעה בעיית אימות במסגרת הטיפול בשדות מטא-נתונים מסוימים של אובייקטי IODataQueue. בעיה זו טופלה באמצעות אימות משופר של מטא-נתונים.

    CVE-ID

    ‏CVE-2014-4388: ‏‎@PanguTeam

  • IOKit

    זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך

    השפעה: יישום זדוני עלול להצליח להפעיל קוד שרירותי עם הרשאות מערכת

    תיאור: אירעה גלישה נומרית בטיפול בפונקציות IOKit. בעיה זו טופלה באמצעות אימות משופר של ארגומנטים מסוג IOKit API.

    CVE-ID

    ‏CVE-2014-4389: ‏Ian Beer מ-Google Project Zero

  • Kernel

    זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך

    השפעה: משתמש מקומי עשוי להצליח לקבוע את הפריסה של זיכרון ליבה

    תיאור: מספר בעיות של זיכרון לא מאותחל התקיימו בממשק הנתונים הסטטיסטיים של הרשת, ומצב זה הוביל לחשיפת התוכן של זיכרון הליבה. בעיה זו טופלה באמצעות אתחול נוסף של הזיכרון.

    CVE-ID

    ‏CVE-2014-4371: ‏Fermin J. Serna מצוות האבטחה של Google

    ‏CVE-2014-4419: ‏Fermin J. Serna מצוות האבטחה של Google

    ‏CVE-2014-4420: ‏Fermin J. Serna מצוות האבטחה של Google

    ‏CVE-2014-4421: ‏Fermin J. Serna מצוות האבטחה של Google

  • Kernel

    זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך

    השפעה: אדם עם מיקום מורשה ברשת עלול לגרום למניעת שירות

    תיאור: אירעה בעיית מרוץ תהליכים במסגרת הטיפול במנותIPv6. בעיה זו טופלה באמצעות בדיקה משופרת של מצב נעילה.

    CVE-ID

    ‏CVE-2011-2391: ‏Marc Heuse

  • Kernel

    זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך

    השפעה: משתמש מקומי עלול להצליח לגרום לעצירה בלתי צפויה של המערכת או להפעלה שרירותית של קוד בליבה

    תיאור: אירעה בעיית שחרור כפול במסגרת הטיפול ביציאות Mach. בעיה זו טופלה באמצעות אימות משופר של יציאות Mach.

    CVE-ID

    ‏CVE-2014-4375: חוקר אנונימי

  • Kernel

    זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך

    השפעה: משתמש מקומי עלול להצליח לגרום לעצירה בלתי צפויה של המערכת או להפעלה שרירותית של קוד בליבה

    תיאור: אירעה בעיית קריאה מחוץ לטווח ב-rt_setgate. זה עלול להוביל לחשיפת הזיכרון או להשחתת הזיכרון. בעיה זו טופלה באמצעות בדיקת טווח משופרת.

    CVE-ID

    CVE-2014-4408

  • Kernel

    זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך

    השפעה: ייתכן שחלק מאמצעי הקשחת הליבה נעקפו

    תיאור: מחולל המספרים האקראיים שהיה בשימוש בחלק מאמצעי הקשחת הליבה בשלב מוקדם בתהליך האתחול לא היה מאובטח מבחינה קריפטוגרפית. ניתן היה להקיש חלק מהפלט מתוך מרחב המשתמש, מה שאיפשר לעקוף את אמצעי ההקשחה. בעיה זו טופלה בעזרת שימוש באלגוריתם מאובטח באמצעות הצפנה.

    CVE-ID

    ‏CVE-2014-4422: ‏Tarjei Mandt מ-Azimuth Security

  • Libnotify

    זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך

    השפעה: יישום זדוני עלול להצליח להפעיל קוד שרירותי עם הרשאות בסיס

    תיאור: אירעה בעיית כתיבה מחוץ לתחום ב-Libnotify. בעיה זו טופלה באמצעות בדיקת טווח משופרת.

    CVE-ID

    ‏CVE-2014-4381: ‏Ian Beer מ-Google Project Zero

  • Lockdown

    זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך

    השפעה: ניתן להשפיע על מכשיר כך שיציג את מסך הבית באופן שגוי כאשר המכשיר נעול למניעת הפעלה

    תיאור: אירעה בעיה באופן פעולת שחרור הנעילה, אשר גרמה למכשיר להתקדם למסך הבית גם כשהוא עדיין אמור להימצא במצב נעילת הפעלה. בעיה זו טופלה על-ידי שינוי המידע שהמכשיר מאמת במהלך בקשה לביטול נעילה.

    CVE-ID

    CVE-2014-1360

  • Mail

    זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך

    השפעה: הרשאות התחברות יכולות להישלח כטקסט גלוי גם אם השרת פרסם את היכולת LOGINDISABLED IMAP

    תיאור: 'דואר' שלח את הפקודה LOGIN לשרתים למרות שפרסמו את היכולת LOGINDISABLED IMAP. בעיה זו מדאיגה בעיקר במהלך התחברות לשרתים שהוגדרו לקבל חיבורים לא מוצפנים ואשר מפרסמים LOGINDISABLED. בעיה זו טופלה על-ידי כיבוד היכולת LOGINDISABLED IMAP.

    CVE-ID

    ‏CVE-2014-4366: ‏Mark Crispin

  • Mail

    זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך

    השפעה: אדם עם גישה פיזית למכשיר iOS עלול לקרוא קבצים המצורפים להודעת דוא"ל

    תיאור: אירעה בעיה לוגית בשימוש של הדואר בהגנה על נתונים בקבצים המצורפים להודעת הדוא"ל. הבעיה טופלה בעזרת הגדרה נכונה של הסיווג 'הגנה על נתונים' עבור קבצים מצורפים להודעות דוא"ל.

    CVE-ID

    ‏CVE-2014-1348: ‏Andreas Kurtz מ-NESO Security Labs

  • Profiles

    זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך

    השפעה: חיוג קולי מופעל באופן בלתי צפוי לאחר שדרוג של iOS

    תיאור: חיוג קולי הופעל אוטומטית לאחר שדרוג של iOS. בעיה זו טופלה באמצעות ניהול מצבים משופר.

    CVE-ID

    ‏CVE-2014-4367: ‏Sven Heinemann

  • Safari

    זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך

    השפעה: הרשאות התחברות של משתמש עלולות להיחשף, דרך המילוי האוטומטי, לאתר שבו אינן אמורות להיחשף

    תיאור: ייתכן ש-Safari מילא במסגרת-משנה מסוימת, באופן אוטומטי, שמות משתמש וסיסמאות מתחום שונה מזה של המסגרת הראשית. בעיה זו טופלה באמצעות מעקב מקור משופר.

    CVE-ID

    ‏CVE-2013-5227: ‏Niklas Malmgren מ-Klarna AB

  • Safari

    זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך

    השפעה: תוקף עם מיקום מורשה ברשת עלול ליירט הרשאות התחברות של משתמש

    תיאור: סיסמאות שמורות מולאו אוטומטית באתרי https עם מהימנות שבורה ובמסגרות iframe. בעיה זו טופלה על-ידי הגבלת מילוי אוטומטי של סיסמאות ב-Mainframe של אתרי https עם שרשראות של אישורים חוקיים.

    CVE-ID

    ‏CVE-2014-4363: ‏David Silver, ‏Suman Jana ו-Dan Boneh מ-Stanford University בעבודה משותפת עם Eric Chen ו-Collin Jackson מ-Carnegie Mellon University

  • Safari

    זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך

    השפעה: תוקף עם מיקום מורשה ברשת עלול לזייף כתובות URL ב-Safari

    תיאור: אירע חוסר-עקביות בממשק משתמש ב-Safari במכשירים תומכי-MDM. הבעיה טופלה בעזרת בדיקות משופרות של עקביות ממשק משתמש.

    CVE-ID

    ‏CVE-2014-8841: ‏Angelo Prado מ-Salesforce Product Security

  • Sandbox Profiles

    זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך

    השפעה: מידע על Apple ID נגיש ליישומי צד שלישי

    תיאור: אירעה בעיית חשיפת מידע בארגז הכלים של אפליקציית צד שלישי. בעיה זו טופלה בעזרת שיפור של פרופיל ארגז החול של צד שלישי.

    CVE-ID

    ‏CVE-2014-4362: ‏Andreas Kurtz מ-NESO Security Labs ו-Markus Troßbach מ-Heilbronn University

  • Settings

    זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך

    השפעה: תצוגות מקדימות של הודעות טקסט עלולות להופיע במסך הנעילה גם כשתכונה זו מושבתת

    תיאור: אירעה בעיה בהצגת תצוגה מקדימה של התראות על הודעות טקסט במסך הנעילה. כתוצאה מכך, התוכן של הודעות שהתקבלו היה מוצג במסך הנעילה גם כאשר תצוגות מקדימות הושבתו ב'הגדרות'. הבעיה טופלה בעזרת הקפדה משופרת על הגדרה זו.

    CVE-ID

    ‏CVE-2014-4356: ‏Mattia Schirinzi מ-San Pietro Vernotico ‏(BR), איטליה

  • syslog

    זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך

    השפעה: משתמש מקומי עלול להצליח לשנות הרשאות בקבצים שרירותיים

    תיאור: syslogd הגיע אחרי קישורים סמליים בעת שינוי ההרשאות בקבצים. הבעיה נפתרה בעזרת טיפול משופר בקישורים סמליים.

    CVE-ID

    ‏CVE-2014-4372: ‏Tielei Wang ו-YeongJin Jang מ-Georgia Tech Information Security Center ‏(GTISC)

  • Weather

    זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך

    השפעה: מידע על מיקום נשלח ללא הצפנה

    תיאור: אירעה בעיית חשיפת מידע ב-API ששימש לקביעת מזג האוויר המקומי. הבעיה טופלה על-ידי שינוי פריטי API.

  • WebKit

    זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך

    השפעה: אתר אינטרנט זדוני עלול להצליח לעקוב אחר משתמשים גם כשמצב גלישה פרטית מופעל

    תיאור: יישום אינטרנט הצליח לאחסן נתוני מטמון של יישום HTML 5 במהלך גלישה רגילה ולאחר מכן לקרוא את הנתונים במהלך גלישה פרטית. בעיה זו טופלה באמצעות השבתת הגישה למטמון האפליקציה במצב גלישה פרטית.

    CVE-ID

    ‏CVE-2014-4409: ‏Yosuke Hasegawa ‏(NetAgent Co., Led.‎)

  • WebKit

    זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך

    השפעה: ביקור באתר אינטרנט שנוצר באופן זדוני עלול להוביל לעצירה בלתי צפויה של יישום או להפעלה שרירותית של קוד

    תיאור: אירעו מספר בעיות השחתת זיכרון ב-WebKit. בעיות אלו נפתרו בעזרת טיפול משופר בזיכרון.

    CVE-ID

    ‏CVE-2013-6663: ‏Atte Kettunen מ-OUSPG

    ‏CVE-2014-1384: ‏Apple

    ‏CVE-2014-1385: ‏Apple

    ‏CVE-2014-1387: צוות האבטחה של Google Chrome

    ‏CVE-2014-1388: ‏Apple

    ‏CVE-2014-1389: ‏Apple

    ‏CVE-2014-4410: ‏Eric Seidel מ-Google

    ‏CVE-2014-4411: צוות האבטחה של Google Chrome

    ‏CVE-2014-4412: ‏Apple

    ‏CVE-2014-4413: ‏Apple

    ‏CVE-2014-4414: ‏Apple

    ‏CVE-2014-4415: ‏Apple

  • Wi-Fi

    זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך

    השפעה: מכשיר מסוים עלול להיות נתון למעקב פסיבי מצד כתובת ה-MAC של ה-Wi-Fi

    תיאור: אירעה חשיפת מידע מפני שהיה שימוש בכתובת MAC קבועה לצורך סריקת רשתות Wi-Fi. הבעיה טופלה בעזרת קביעה אקראית של כתובת ה-MAC עבור חיפושים פסיביים של Wi-Fi.

הערה:

iOS 8 מכילה שינויים בכמה יכולות אבחון. לפרטים, מומלץ לעיין בדף https://support.apple.com/HT203034

iOS 8 מאפשרת כעת למכשירים לבטל אמון בכל המחשבים שניתן בהם אמון בעבר. ניתן למצוא הוראות בדף https://support.apple.com/HT202778

FaceTime אינו זמין בכל המדינות והאזורים.

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

Published Date: