מידע על תוכן האבטחה של iOS 8
מסמך זה מתאר את תוכן האבטחה של iOS 8.
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד לביצוע חקירה מלאה בנושא ולהפצת מהדורות או רכיבי Patch חיוניים. למידע נוסף בנושא אבטחת מוצר של Apple, עיינו באתר האינטרנט אבטחת מוצר של Apple.
למידע על מפתח PGP לאבטחת מוצר של Apple, עיינו בנושא כיצד להשתמש במפתח PGP לאבטחת מוצר של Apple.
היכן שניתן, מזהי CVE משמשים כסימוכין לפגיעויות לצורך קבלת מידע נוסף.
כדי ללמוד על עדכוני אבטחה נוספים, עיינו בנושא עדכוני אבטחה של Apple.
iOS 8
802.1X
זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך
השפעה: תוקף עלול להשיג את הרשאות ההתחברות לרשת אלחוטית
תיאור: ייתכן שתוקף התחזה לנקודת גישה לרשת אלחוטית, הציע לבצע אימות עם LEAP, שבר את צירוף ה-hash של MS-CHAPv1, והשתמש בהרשאות שנגזרו כדי לבצע אימות בנקודת הגישה הייעודית למרות שנקודת גישה זו תומכת בשיטות אימות חזקות יותר. בעיה זו טופלה על-ידי ביטול LEAP כברירת מחדל.
CVE-ID
CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax ו-Wim Lamotte מ-Universiteit Hasselt
Accounts
זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך
השפעה: יישום זדוני עלול להצליח לזהות את ה-Apple ID של המשתמש
תיאור: אירעה בעיה בלוגיקת בקרת הגישה של החשבונות. אפליקציה בשלב ארגז חול יכלה להשיג מידע על חשבון iCloud הפעיל כעת, כולל שם החשבון. בעיה זו טופלה על-ידי הגבלת הגישה של אפליקציות בלתי מורשות לסוגי חשבון מסוימים.
CVE-ID
CVE-2014-4423: Adam Weaver
Accessibility
זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך
השפעה: המכשיר עלול לא לנעול את המסך כשמשתמשים ב-AssistiveTouch
תיאור: אירעה בעיה לוגית באופן הטיפול של AssistiveTouch באירועים, וכתוצאה מכך המסך לא ננעל. בעיה זו נפתרה באמצעות טיפול משופר בטיימר הנעילה.
CVE-ID
CVE-2014-4368: Hendrik Bettermann
Accounts Framework
זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך
השפעה: תוקף עם גישה למכשיר iOS עשוי לגשת למידע רגיש של המשתמש דרך קובצי רישום
תיאור: מידע רגיש של המשתמש נרשם. בעיה זו טופלה על-ידי תיעוד פחות מידע.
CVE-ID
CVE-2014-4357: Heli Myllykoski מ-OP-Pohjola Group
Address Book
זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך
השפעה: אדם עם גישה פיזית למכשיר iOS עלול לקרוא את פנקס הכתובות
תיאור: פנקס הכתובות הוצפן בעזרת מפתח שמוגן רק על-ידי ה-UID של החומרה. בעיה זו טופלה על-ידי הצפנת פנקס הכתובות באמצעות מפתח המוגן בעזרת ה-UID של החומרה וקוד הגישה של המשתמש.
CVE-ID
CVE-2014-4352: Jonathan Zdziarski
App Installation
זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך
השפעה: תוקף מקומי עלול להצליח להסלים הרשאות ולהתקין יישומים לא מאומתים
תיאור: אירע מרוץ תהליכים בהתקנת היישום. תוקף עם יכולת כתיבה ל-/tmp היה יכול להתקין אפליקציה לא מאומתת. בעיה זו טופלה על-ידי הצבת קבצים להתקנה בספריה אחרת.
CVE-ID
CVE-2014-4386: evad3rs
App Installation
זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך
השפעה: תוקף מקומי עלול להצליח להסלים הרשאות ולהתקין יישומים לא מאומתים
תיאור: אירעה בעיית חציית נתיבים בהתקנת היישום. תוקף מקומי היה יכול לנתב מחדש אימות חתימת קוד לחבילה אחרת מזו שמותקנת, ולגרום להתקנה של אפליקציה לא מאומתת. בעיה זו טופלה על-ידי זיהוי ומניעה של חציית נתיבים כאשר נקבע איזו חתימת קוד לאמת.
CVE-ID
CVE-2014-4384: evad3rs
Assets
זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך
השפעה: תוקף עם מיקום מורשה ברשת עשוי להצליח לגרום למכשיר iOS מסוים לחשוב שהוא מעודכן למרות שאינו מעודכן
תיאור: הייתה בעיית אימות בטיפול בתגובות על בדיקת עדכון. תאריכים מזויפים מכותרות תגובה מסוג 'שונה לאחרונה' שימשו עבור בדיקות 'אם השתנה מאז' בבקשות עדכון עוקבות. הבעיה טופלה על-ידי אימות הכותרת 'שונה לאחרונה'.
CVE-ID
CVE-2014-4383: Raul Siles מ-DinoSec
Bluetooth
זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך
השפעה: Bluetooth מופעל באופן בלתי צפוי כברירת מחדל לאחר שדרוג של iOS
תיאור: Bluetooth הופעל אוטומטית לאחר שדרוג של iOS. בעיה זו טופלה על-ידי הפעלת Bluetooth רק עבור עדכוני גרסה חשובים או משניים.
CVE-ID
CVE-2014-4354: Maneet Singh, Sean Bluestein
Certificate Trust Policy
זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך
השפעה: עדכון למדיניות מהימנות האישורים
תיאור: מדיניות מהימנות האישורים עודכנה. ניתן להציג את רשימת האישורים המלאה ב-http://support.apple.com/kb/HT5012.
CoreGraphics
זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך
השפעה: פתיחת קובץ PDF שנוצר באופן זדוני עלולה להוביל לעצירה בלתי צפויה של יישום או להפעלה שרירותית של קוד
תיאור: הייתה גלישה נומרית בטיפול בקובצי PDF. בעיה זו טופלה באמצעות בדיקת טווח משופרת.
CVE-ID
CVE-2014-4377: Felipe Andres Manzano מ-Binamuse VRT בעבודה משותפת עם iSIGHT Partners GVP Program
CoreGraphics
זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך
השפעה: פתיחת קובץ PDF שנוצר באופן זדוני עלולה להוביל לסיום בלתי צפוי של יישום או לחשיפת מידע
תיאור: הייתה קריאת זיכרון מחוץ לטווח בטיפול בקובצי PDF. בעיה זו טופלה באמצעות בדיקת טווח משופרת.
CVE-ID
CVE-2014-4378: Felipe Andres Manzano מ-Binamuse VRT בעבודה משותפת עם iSIGHT Partners GVP Program
Data Detectors
זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך
השפעה: הקשה על קישור של FaceTime ב'דואר' מפעילה שיחה קולית של FaceTime ללא בקשה מראש
תיאור: 'דואר' לא שואל את המשתמש לפני הפעלת כתובות URL של facetime-audio://. בעיה זו טופלה על-ידי הוספת בקשה לאישור.
CVE-ID
CVE-2013-6835: Guillaume Ross
Foundation
זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך
השפעה: יישום המשתמש ב-NSXMLParser עלול להיות מנוצל לחשיפה של מידע
תיאור: בעיית ישות חיצונית של XML אירעה בעת הטיפול של NSXMLParser ב-XML. בעיה זו טופלה על-ידי אי-טעינה של ישויות חיצוניות במקורות.
CVE-ID
CVE-2014-4374: George Gal מ-VSR (http://www.vsecurity.com/)
Home & Lock Screen
זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך
השפעה: יישום ברקע עשוי לקבוע איזה יישום יהיה הקדמי ביותר
תיאור: ל-API הפרטי שקובע מהו היישום הקדמי ביותר אין בקרת גישה מספיקה. בעיה זו טופלה באמצעות הוספת בקרת גישה.
CVE-ID
CVE-2014-4361: Andreas Kurtz מ-NESO Security Labs ו-Markus Troßbach מ-Heilbronn University
iMessage
זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך
השפעה: קבצים מצורפים עלולים להישאר אחרי שהודעת ה-iMessage או ה-MMS שאליה צורפו נמחקה
תיאור: אירע מרוץ תהליכים באופן שבו הקבצים המצורפים נמחקו. בעיה זו טופלה על-ידי ביצוע בדיקות נוספות כדי לקבוע אם קובץ מצורף נמחק.
CVE-ID
CVE-2014-4353: Silviu Schiau
IOAcceleratorFamily
זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך השפעה: יישום עלול לגרום לעצירה בלתי צפויה של המערכת תיאור: ביטול הפניה של מצביע אפס התקיים בעת הטיפול בארגומנטים מסוג IOAcceleratorFamily API. בעיה זו טופלה על-ידי שיפור האימות של הארגומנטים מסוג IOAcceleratorFamily API.CVE-IDCVE-2014-4369: Sarah המכונה winocm ו-Cererdlong מצוות אבטחת מכשירים ניידים ב-Alibaba
Impact: An application may cause an unexpected system termination
Description: A null pointer dereference existed in the handling of IOAcceleratorFamily API arguments. This issue was addressed through improved validation of IOAcceleratorFamily API arguments.
CVE-ID
CVE-2014-4369 : Sarah aka winocm and Cererdlong of Alibaba Mobile Security Team
Entry updated February 3, 2020
IOAcceleratorFamily
זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך
השפעה: תיתכן הפעלה מחדש של המכשיר באופן בלתי צפוי
תיאור: ביטול הפניה של מצביע אפס התקיים במנהל ההתקן של IntelAccelerator. הבעיה נפתרה בעזרת טיפול משופר בשגיאות.
CVE-ID
CVE-2014-4373: cunzhang מ-Adlab of Venustech
IOHIDFamily
זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך
השפעה: יישום זדוני עשוי להצליח לקרוא מצביעי ליבה, והדבר עשוי לשמש לעקיפת ההקצאה האקראית של פריסת מרחב כתובות הליבה
תיאור: אירעה בעיית קריאה מחוץ לטווח במסגרת הטיפול בפונקציית IOHIDFamily. בעיה זו טופלה באמצעות בדיקת טווח משופרת.
CVE-ID
CVE-2014-4379: Ian Beer מ-Google Project Zero
IOHIDFamily
זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך
השפעה: יישום זדוני עלול להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: אירעה גלישת חוצץ בערימה בעת הטיפול של IOHIDFamily במאפייני מיפוי מפתחות. בעיה זו טופלה באמצעות בדיקת טווח משופרת.
CVE-ID
CVE-2014-4404: Ian Beer מ-Google Project Zero
IOHIDFamily
זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך
השפעה: יישום זדוני עלול להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: אירע ביטול הפניה של מצביע אפס בעת הטיפול של IOHIDFamily במאפייני מיפוי מפתחות. בעיה זו טופלה באמצעות אימות משופר של מאפייני מיפוי מפתחות של IOHIDFamily.
CVE-ID
CVE-2014-4405: Ian Beer מ-Google Project Zero
IOHIDFamily
זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך
השפעה: יישום זדוני עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: אירעה בעיית כתיבה מחוץ לתחום בהרחבת ליבה של IOHIDFamily. בעיה זו טופלה באמצעות בדיקת טווח משופרת.
CVE-ID
CVE-2014-4380: cunzhang מ-Adlab of Venustech
IOKit
זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך
השפעה: יישום זדוני עלול להצליח לקרוא נתונים לא מאותחלים מזיכרון ליבה
תיאור: אירעה בעיית גישה לזיכרון לא מאותחל במסגרת הטיפול בפונקציות IOKit. בעיה זו טופלה על-ידי אתחול זיכרון משופר
CVE-ID
CVE-2014-4407 : @PanguTeam
IOKit
זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך
השפעה: יישום זדוני עלול להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: אירעה בעיית אימות במסגרת הטיפול בשדות מטא-נתונים מסוימים של אובייקטי IODataQueue. בעיה זו טופלה באמצעות אימות משופר של מטא-נתונים.
CVE-ID
CVE-2014-4418: Ian Beer מ-Google Project Zero
IOKit
זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך
השפעה: יישום זדוני עלול להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: אירעה בעיית אימות במסגרת הטיפול בשדות מטא-נתונים מסוימים של אובייקטי IODataQueue. בעיה זו טופלה באמצעות אימות משופר של מטא-נתונים.
CVE-ID
CVE-2014-4388: @PanguTeam
IOKit
זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך
השפעה: יישום זדוני עלול להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: אירעה גלישה נומרית בטיפול בפונקציות IOKit. בעיה זו טופלה באמצעות אימות משופר של ארגומנטים מסוג IOKit API.
CVE-ID
CVE-2014-4389: Ian Beer מ-Google Project Zero
Kernel
זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך
השפעה: משתמש מקומי עשוי להצליח לקבוע את הפריסה של זיכרון ליבה
תיאור: מספר בעיות של זיכרון לא מאותחל התקיימו בממשק הנתונים הסטטיסטיים של הרשת, ומצב זה הוביל לחשיפת התוכן של זיכרון הליבה. בעיה זו טופלה באמצעות אתחול נוסף של הזיכרון.
CVE-ID
CVE-2014-4371: Fermin J. Serna מצוות האבטחה של Google
CVE-2014-4419: Fermin J. Serna מצוות האבטחה של Google
CVE-2014-4420: Fermin J. Serna מצוות האבטחה של Google
CVE-2014-4421: Fermin J. Serna מצוות האבטחה של Google
Kernel
זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך
השפעה: אדם עם מיקום מורשה ברשת עלול לגרום למניעת שירות
תיאור: אירעה בעיית מרוץ תהליכים במסגרת הטיפול במנותIPv6. בעיה זו טופלה באמצעות בדיקה משופרת של מצב נעילה.
CVE-ID
CVE-2011-2391: Marc Heuse
Kernel
זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך
השפעה: משתמש מקומי עלול להצליח לגרום לעצירה בלתי צפויה של המערכת או להפעלה שרירותית של קוד בליבה
תיאור: אירעה בעיית שחרור כפול במסגרת הטיפול ביציאות Mach. בעיה זו טופלה באמצעות אימות משופר של יציאות Mach.
CVE-ID
CVE-2014-4375: חוקר אנונימי
Kernel
זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך
השפעה: משתמש מקומי עלול להצליח לגרום לעצירה בלתי צפויה של המערכת או להפעלה שרירותית של קוד בליבה
תיאור: אירעה בעיית קריאה מחוץ לטווח ב-rt_setgate. זה עלול להוביל לחשיפת הזיכרון או להשחתת הזיכרון. בעיה זו טופלה באמצעות בדיקת טווח משופרת.
CVE-ID
CVE-2014-4408
Kernel
זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך
השפעה: ייתכן שחלק מאמצעי הקשחת הליבה נעקפו
תיאור: מחולל המספרים האקראיים שהיה בשימוש בחלק מאמצעי הקשחת הליבה בשלב מוקדם בתהליך האתחול לא היה מאובטח מבחינה קריפטוגרפית. ניתן היה להקיש חלק מהפלט מתוך מרחב המשתמש, מה שאיפשר לעקוף את אמצעי ההקשחה. בעיה זו טופלה בעזרת שימוש באלגוריתם מאובטח באמצעות הצפנה.
CVE-ID
CVE-2014-4422: Tarjei Mandt מ-Azimuth Security
Libnotify
זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך
השפעה: יישום זדוני עלול להצליח להפעיל קוד שרירותי עם הרשאות בסיס
תיאור: אירעה בעיית כתיבה מחוץ לתחום ב-Libnotify. בעיה זו טופלה באמצעות בדיקת טווח משופרת.
CVE-ID
CVE-2014-4381: Ian Beer מ-Google Project Zero
Lockdown
זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך
השפעה: ניתן להשפיע על מכשיר כך שיציג את מסך הבית באופן שגוי כאשר המכשיר נעול למניעת הפעלה
תיאור: אירעה בעיה באופן פעולת שחרור הנעילה, אשר גרמה למכשיר להתקדם למסך הבית גם כשהוא עדיין אמור להימצא במצב נעילת הפעלה. בעיה זו טופלה על-ידי שינוי המידע שהמכשיר מאמת במהלך בקשה לביטול נעילה.
CVE-ID
CVE-2014-1360
Mail
זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך
השפעה: הרשאות התחברות יכולות להישלח כטקסט גלוי גם אם השרת פרסם את היכולת LOGINDISABLED IMAP
תיאור: 'דואר' שלח את הפקודה LOGIN לשרתים למרות שפרסמו את היכולת LOGINDISABLED IMAP. בעיה זו מדאיגה בעיקר במהלך התחברות לשרתים שהוגדרו לקבל חיבורים לא מוצפנים ואשר מפרסמים LOGINDISABLED. בעיה זו טופלה על-ידי כיבוד היכולת LOGINDISABLED IMAP.
CVE-ID
CVE-2014-4366: Mark Crispin
Mail
זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך
השפעה: אדם עם גישה פיזית למכשיר iOS עלול לקרוא קבצים המצורפים להודעת דוא"ל
תיאור: אירעה בעיה לוגית בשימוש של הדואר בהגנה על נתונים בקבצים המצורפים להודעת הדוא"ל. הבעיה טופלה בעזרת הגדרה נכונה של הסיווג 'הגנה על נתונים' עבור קבצים מצורפים להודעות דוא"ל.
CVE-ID
CVE-2014-1348: Andreas Kurtz מ-NESO Security Labs
Profiles
זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך
השפעה: חיוג קולי מופעל באופן בלתי צפוי לאחר שדרוג של iOS
תיאור: חיוג קולי הופעל אוטומטית לאחר שדרוג של iOS. בעיה זו טופלה באמצעות ניהול מצבים משופר.
CVE-ID
CVE-2014-4367: Sven Heinemann
Safari
זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך
השפעה: הרשאות התחברות של משתמש עלולות להיחשף, דרך המילוי האוטומטי, לאתר שבו אינן אמורות להיחשף
תיאור: ייתכן ש-Safari מילא במסגרת-משנה מסוימת, באופן אוטומטי, שמות משתמש וסיסמאות מתחום שונה מזה של המסגרת הראשית. בעיה זו טופלה באמצעות מעקב מקור משופר.
CVE-ID
CVE-2013-5227: Niklas Malmgren מ-Klarna AB
Safari
זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך
השפעה: תוקף עם מיקום מורשה ברשת עלול ליירט הרשאות התחברות של משתמש
תיאור: סיסמאות שמורות מולאו אוטומטית באתרי https עם מהימנות שבורה ובמסגרות iframe. בעיה זו טופלה על-ידי הגבלת מילוי אוטומטי של סיסמאות ב-Mainframe של אתרי https עם שרשראות של אישורים חוקיים.
CVE-ID
CVE-2014-4363: David Silver, Suman Jana ו-Dan Boneh מ-Stanford University בעבודה משותפת עם Eric Chen ו-Collin Jackson מ-Carnegie Mellon University
Safari
זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך
השפעה: תוקף עם מיקום מורשה ברשת עלול לזייף כתובות URL ב-Safari
תיאור: אירע חוסר-עקביות בממשק משתמש ב-Safari במכשירים תומכי-MDM. הבעיה טופלה בעזרת בדיקות משופרות של עקביות ממשק משתמש.
CVE-ID
CVE-2014-8841: Angelo Prado מ-Salesforce Product Security
Sandbox Profiles
זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך
השפעה: מידע על Apple ID נגיש ליישומי צד שלישי
תיאור: אירעה בעיית חשיפת מידע בארגז הכלים של אפליקציית צד שלישי. בעיה זו טופלה בעזרת שיפור של פרופיל ארגז החול של צד שלישי.
CVE-ID
CVE-2014-4362: Andreas Kurtz מ-NESO Security Labs ו-Markus Troßbach מ-Heilbronn University
Settings
זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך
השפעה: תצוגות מקדימות של הודעות טקסט עלולות להופיע במסך הנעילה גם כשתכונה זו מושבתת
תיאור: אירעה בעיה בהצגת תצוגה מקדימה של התראות על הודעות טקסט במסך הנעילה. כתוצאה מכך, התוכן של הודעות שהתקבלו היה מוצג במסך הנעילה גם כאשר תצוגות מקדימות הושבתו ב'הגדרות'. הבעיה טופלה בעזרת הקפדה משופרת על הגדרה זו.
CVE-ID
CVE-2014-4356: Mattia Schirinzi מ-San Pietro Vernotico (BR), איטליה
syslog
זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך
השפעה: משתמש מקומי עלול להצליח לשנות הרשאות בקבצים שרירותיים
תיאור: syslogd הגיע אחרי קישורים סמליים בעת שינוי ההרשאות בקבצים. הבעיה נפתרה בעזרת טיפול משופר בקישורים סמליים.
CVE-ID
CVE-2014-4372: Tielei Wang ו-YeongJin Jang מ-Georgia Tech Information Security Center (GTISC)
Weather
זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך
השפעה: מידע על מיקום נשלח ללא הצפנה
תיאור: אירעה בעיית חשיפת מידע ב-API ששימש לקביעת מזג האוויר המקומי. הבעיה טופלה על-ידי שינוי פריטי API.
WebKit
זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך
השפעה: אתר אינטרנט זדוני עלול להצליח לעקוב אחר משתמשים גם כשמצב גלישה פרטית מופעל
תיאור: יישום אינטרנט הצליח לאחסן נתוני מטמון של יישום HTML 5 במהלך גלישה רגילה ולאחר מכן לקרוא את הנתונים במהלך גלישה פרטית. בעיה זו טופלה באמצעות השבתת הגישה למטמון האפליקציה במצב גלישה פרטית.
CVE-ID
CVE-2014-4409: Yosuke Hasegawa (NetAgent Co., Led.)
WebKit
זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך
השפעה: ביקור באתר אינטרנט שנוצר באופן זדוני עלול להוביל לעצירה בלתי צפויה של יישום או להפעלה שרירותית של קוד
תיאור: אירעו מספר בעיות השחתת זיכרון ב-WebKit. בעיות אלו נפתרו בעזרת טיפול משופר בזיכרון.
CVE-ID
CVE-2013-6663: Atte Kettunen מ-OUSPG
CVE-2014-1384: Apple
CVE-2014-1385: Apple
CVE-2014-1387: צוות האבטחה של Google Chrome
CVE-2014-1388: Apple
CVE-2014-1389: Apple
CVE-2014-4410: Eric Seidel מ-Google
CVE-2014-4411: צוות האבטחה של Google Chrome
CVE-2014-4412: Apple
CVE-2014-4413: Apple
CVE-2014-4414: Apple
CVE-2014-4415: Apple
Wi-Fi
זמין עבור: iPhone 4s ואילך, iPod touch (דור 5) ואילך, iPad 2 ואילך
השפעה: מכשיר מסוים עלול להיות נתון למעקב פסיבי מצד כתובת ה-MAC של ה-Wi-Fi
תיאור: אירעה חשיפת מידע מפני שהיה שימוש בכתובת MAC קבועה לצורך סריקת רשתות Wi-Fi. הבעיה טופלה בעזרת קביעה אקראית של כתובת ה-MAC עבור חיפושים פסיביים של Wi-Fi.
הערה:
iOS 8 מכילה שינויים בכמה יכולות אבחון. לפרטים, מומלץ לעיין בדף https://support.apple.com/HT203034
iOS 8 מאפשרת כעת למכשירים לבטל אמון בכל המחשבים שניתן בהם אמון בעבר. ניתן למצוא הוראות בדף https://support.apple.com/HT202778
FaceTime אינו זמין בכל המדינות והאזורים.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.