אודות תוכן האבטחה של iOS 8

מסמך זה מתאר את תוכן האבטחה של iOS 8.

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד לביצוע חקירה מלאה בנושא ולהפצת מהדורות או רכיבי Patch חיוניים. למידע נוסף בנושא אבטחת מוצר של Apple, עיינו באתר האינטרנט אבטחת מוצר של Apple.

למידע על מפתח PGP לאבטחת מוצר של Apple, עיינו בנושא כיצד להשתמש במפתח PGP לאבטחת מוצר של Apple.

היכן שניתן, מזהי CVE ID משמשים כסימוכין לפגיעויות לצורך קבלת מידע נוסף.

כדי ללמוד על עדכוני אבטחה נוספים, עיינו בנושא עדכוני אבטחה של Apple.

iOS 8

  • 802.1X

    זמין עבור: iPhone 4s ואילך, iPod touch (דור חמישי) ואילך, iPad 2 ואילך

    השפעה: תוקף יכול להשיג הרשאות ל-Wi-Fi

    תיאור: תוקף היה יכול להתחזות לנקודת גישה ל-Wi-Fi, להציע אימות עם LEAP, לשבור את קוד ה-Hash ‏MS-CHAPv1 ולהשתמש בהרשאות הנגזרות על מנת לאמת לנקודת הגישה המיועדת, גם אם נקודת גישה זו תומכת בשיטות אימות חזקות יותר. בעיה זו טופלה על-ידי ביטול LEAP כברירת מחדל.

    CVE-ID

    CVE-2014-4364 : פיטר רובינס, בראם בון, וים לאמוט ופיטר קוואקס מ-Universiteit Hasselt

  • חשבונות

    זמין עבור: iPhone 4s ואילך, iPod touch (דור חמישי) ואילך, iPad 2 ואילך

    השפעה: אפליקציה זדונית עלולה לזהות את ה-Apple ID של המשתמש

    תיאור: הייתה בעיה בלוגיקה של בקרת הגישה עבור חשבונות. אפליקציה בשלב ארגז חול יכלה להשיג מידע לגבי חשבון iCloud הפעיל כעת, כולל שם החשבון. בעיה זו טופלה על-ידי הגבלת הגישה של אפליקציות בלתי מורשות לסוגי חשבון מסוימים.

    CVE-ID

    CVE-2014-4423: אדם וויבר

  • נגישות

    זמין עבור: iPhone 4s ואילך, iPod touch (דור חמישי) ואילך, iPad 2 ואילך

    השפעה: המכשיר עשוי לא לנעול את המסך במהלך השימוש ב-AssistiveTouch

    תיאור: הייתה קיימת בעיה לוגית בטיפול של AssistiveTouch באירועים, והתוצאה הייתה שהמסך לא ננעל. בעיה זו נפתרה באמצעות טיפול משופר בטיימר הנעילה.

    CVE-ID

    CVE-2014-4368: הנדריק בטרמן

  • מסגרת חשבונות

    זמין עבור: iPhone 4s ואילך, iPod touch (דור חמישי) ואילך, iPad 2 ואילך

    השפעה: תוקף עם גישה למכשיר iOS יכול לגשת למידע רגיש של המשתמש מתוך יומני רישום

    תיאור: תועד מידע רגיש של המשתמש. בעיה זו טופלה על-ידי תיעוד פחות מידע.

    CVE-ID

    CVE-2014-4357: הלי מיליקוסקי מ-OP-Pohjola Group

  • פנקס כתובות

    זמין עבור: iPhone 4s ואילך, iPod touch (דור חמישי) ואילך, iPad 2 ואילך

    השפעה: אדם בעל גישה פיזית למכשיר iOS יכול לקרוא את פנקס הכתובות

    תיאור: פנקס הכתובות הוצפן באמצעות מפתח המוגן רק בעזרת ה-UID של החומרה. בעיה זו טופלה על-ידי הצפנת פנקס הכתובות באמצעות מפתח המוגן בעזרת ה-UID של החומרה וקוד הגישה של המשתמש.

    CVE-ID

    CVE-2014-4352: ג'ונתן זדזיארסקי

  • התקנת יישום

    זמין עבור: iPhone 4s ואילך, iPod touch (דור חמישי) ואילך, iPad 2 ואילך

    השפעה: תוקף מקומי עלול להצליח להסלים הרשאות ולהתקין אפליקציות לא מאומתות

    תיאור: מרוץ תהליכים היה קיים ב'התקנת יישום'. תוקף עם יכולת כתיבה ל-‎/tmp היה יכול להתקין אפליקציה לא מאומתת. בעיה זו טופלה על-ידי הצבת קבצים להתקנה בספריה אחרת.

    CVE-ID

    CVE-2014-4386:‏ evad3rs

  • התקנת יישום

    זמין עבור: iPhone 4s ואילך, iPod touch (דור חמישי) ואילך, iPad 2 ואילך

    השפעה: תוקף מקומי עלול להצליח להסלים הרשאות ולהתקין אפליקציות לא מאומתות

    תיאור: בעיה של חציית נתיבים הייתה קיימת ב'התקנת יישום'. תוקף מקומי היה יכול לנתב מחדש אימות חתימת קוד לחבילה אחרת מזו שמותקנת, ולגרום להתקנה של אפליקציה לא מאומתת. בעיה זו טופלה על-ידי זיהוי ומניעה של חציית נתיבים כאשר נקבע איזו חתימת קוד לאמת.

    CVE-ID

    CVE-2014-4384:‏ evad3rs

  • נכסים

    זמין עבור: iPhone 4s ואילך, iPod touch (דור חמישי) ואילך, iPad 2 ואילך

    השפעה: תוקף עם תפקיד בעל הרשאות ברשת יכול לגרום למכשיר iOS לחשוב שהוא עדכני גם כשאינו כזה

    תיאור: בעיית אימות הייתה קיימת בטיפול בתגובות של בדיקת עדכונים. תאריכים מזויפים מכותרות תגובה מסוג 'שונה לאחרונה' שימשו עבור בדיקות 'אם השתנה מאז' בבקשות עדכון עוקבות. הבעיה טופלה על-ידי אימות הכותרת 'שונה לאחרונה'.

    CVE-ID

    CVE-2014-4383: ראול סיילס מ-DinoSec

  • Bluetooth

    זמין עבור: iPhone 4s ואילך, iPod touch (דור חמישי) ואילך, iPad 2 ואילך

    השפעה: Bluetooth מופעל באופן בלתי צפוי כברירת מחדל לאחר שדרוג iOS

    תיאור: Bluetooth הופעל באופן אוטומטי לאחר שדרוג iOS. בעיה זו טופלה על-ידי הפעלת Bluetooth רק עבור עדכוני גרסה חשובים או משניים.

    CVE-ID

    CVE-2014-4354: מניט סינג', שון בלושטיין

  • מדיניות אמון באישורים

    זמין עבור: iPhone 4s ואילך, iPod touch (דור חמישי) ואילך, iPad 2 ואילך

    השפעה: עדכון למדיניות האמון באישורים

    תיאור: מדיניות האמון באישורים עודכנה. ניתן להציג את רשימת האישורים המלאה ב-https://support.apple.com/he-il/HT204132‏.

  • CoreGraphics

    זמין עבור: iPhone 4s ואילך, iPod touch (דור חמישי) ואילך, iPad 2 ואילך

    השפעה: פתיחת קובץ PDF שנוצר באופן זדוני עלולה להוביל לסיום בלתי צפוי של אפליקציה או להפעלת קוד שרירותי

    תיאור: גלישה נומרית הייתה קיימת בטיפול בקובצי PDF. בעיה זו טופלה באמצעות בדיקת טווח משופרת.

    CVE-ID

    CVE-2014-4377: פליפה אנדרס מנזאנו מ-Binamuse VRT בעבודה עם iSIGHT Partners GVP Program

  • CoreGraphics

    זמין עבור: iPhone 4s ואילך, iPod touch (דור חמישי) ואילך, iPad 2 ואילך

    השפעה: פתיחת קובץ PDF שנוצר באופן זדוני עלולה להוביל לסיום בלתי צפוי של אפליקציה או לחשיפת מידע

    תיאור: קריאת זיכרון מחוץ לטווח הייתה קיימת בטיפול בקובצי PDF. בעיה זו טופלה באמצעות בדיקת טווח משופרת.

    CVE-ID

    CVE-2014-4378: פליפה אנדרס מנזאנו מ-Binamuse VRT בעבודה עם iSIGHT Partners GVP Program

  • מזהי נתונים

    זמין עבור: iPhone 4s ואילך, iPod touch (דור חמישי) ואילך, iPad 2 ואילך

    השפעה: הקשה על קישור ל-FaceTime ב'דואר' הייתה מפעילה שיחת שמע ב-FaceTime ללא בקשה

    תיאור: לא הייתה פנייה למשתמש על-ידי האפליקציה 'דואר' לפני הפעלת כתובות URL מסוג facetime-audio://‎. בעיה זו טופלה על-ידי הוספת בקשה לאישור.

    CVE-ID

    CVE-2013-6835: גיום רוס

  • יסוד

    זמין עבור: iPhone 4s ואילך, iPod touch (דור חמישי) ואילך, iPad 2 ואילך

    השפעה: ניתן להשתמש לרעה באפליקציה העושה שימוש ב-NSXMLParser כדי לחשוף מידע

    תיאור: בעיית ישות חיצונית ב-XML הייתה קיימת בטיפול של NSXMLParser ב-XML. בעיה זו טופלה על-ידי אי-טעינה של ישויות חיצוניות במקורות.

    CVE-ID

    CVE-2014-4374: ג'ורג' גאל מ-VSR‏ (http://www.vsecurity.com/‎)

  • מסך הבית ומסך הנעילה

    זמין עבור: iPhone 4s ואילך, iPod touch (דור חמישי) ואילך, iPad 2 ואילך

    השפעה: אפליקציה ברקע יכולה לקבוע איזו אפליקציה תהיה הכי קדמית

    תיאור: ל-API הפרטי לקביעת האפליקציה הכי קדמית לא הייתה בקרת גישה מספיקה. בעיה זו טופלה באמצעות הוספת בקרת גישה.

    CVE-ID

    CVE-2014-4361: אנדראס קורץ מ-NESO Security Labs ומרקוס טרוסבך מאוניברסיטת היילברון

  • iMessage

    זמין עבור: iPhone 4s ואילך, iPod touch (דור חמישי) ואילך, iPad 2 ואילך

    השפעה: קבצים מצורפים עשויים להישאר לאחר מחיקה של הודעת האב מסוגiMessage או MMS

    תיאור: מרוץ תהליכים היה קיים לגבי אופן המחיקה של קבצים מצורפים. בעיה זו טופלה על-ידי ביצוע בדיקות נוספות כדי לקבוע אם קובץ מצורף נמחק.

    CVE-ID

    CVE-2014-4353: סילביו שיאו

  • IOAcceleratorFamily

    זמין עבור: iPhone 4s ואילך, iPod touch (דור חמישי) ואילך, iPad 2 ואילך

    השפעה: אפליקציה עשויה לגרום לסיום בלתי צפוי של פעולת המערכת

    תיאור: גישה לערך מצביע Null הייתה קיימת בטיפול בארגומנטים מסוג IOAcceleratorFamily API. בעיה זו טופלה באמצעות אימות משופר של ארגומנטים מסוג IOAcceleratorFamily API.

    CVE-ID

    CVE-2014-4369: שרה הידועה בשם winocm ו-Cererdlong מ-Alibaba Mobile Security Team

    הערך עודכן ב-3 בפברואר 2020
  • IOAcceleratorFamily

    זמין עבור: iPhone 4s ואילך, iPod touch (דור חמישי) ואילך, iPad 2 ואילך

    השפעה: המכשיר עשוי להתחיל לפעול מחדש באופן בלתי צפוי

    תיאור: גישה לערך מצביע NULL הייתה קיימת במנהל ההתקן IntelAccelerator. הבעיה נפתרה בעזרת טיפול משופר בשגיאות.

    CVE-ID

    CVE-2014-4373: קונז'אנג מ-Adlab of Venustech

  • IOHIDFamily

    זמין עבור: iPhone 4s ואילך, iPod touch (דור חמישי) ואילך, iPad 2 ואילך

    השפעה: אפליקציה זדונית עלולה להצליח לקרוא מצביעי ליבה, שעשויים לשמש לעקיפת אקראיות של מתווה מרחב כתובת ליבה.

    תיאור: בעיית קריאה מחוץ לטווח הייתה קיימת בטיפול בפונקציית IOHIDFamily. בעיה זו טופלה באמצעות בדיקת טווח משופרת.

    CVE-ID

    CVE-2014-4379: איאן ביר מ-Google Project Zero

  • IOHIDFamily

    זמין עבור: iPhone 4s ואילך, iPod touch (דור חמישי) ואילך, iPad 2 ואילך

    השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת

    תיאור: גלישת חוצץ ערימה הייתה קיימת בטיפול של IOHIDFamily במאפייני מיפוי מפתחות. בעיה זו טופלה באמצעות בדיקת טווח משופרת.

    CVE-ID

    CVE-2014-4404: איאן ביר מ-Google Project Zero

  • IOHIDFamily

    זמין עבור: iPhone 4s ואילך, iPod touch (דור חמישי) ואילך, iPad 2 ואילך

    השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת

    תיאור: גישה לערך מצביע Null הייתה קיימת בטיפול של IOHIDFamily במאפייני מיפוי מפתחות. בעיה זו טופלה באמצעות אימות משופר של מאפייני מיפוי מפתחות של IOHIDFamily.

    CVE-ID

    CVE-2014-4405: איאן ביר מ-Google Project Zero

  • IOHIDFamily

    זמין עבור: iPhone 4s ואילך, iPod touch (דור חמישי) ואילך, iPad 2 ואילך

    השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

    תיאור: בעיית כתיבה מחוץ לטווח הייתה קיימת בהרחבת הליבה של IOHIDFamily. בעיה זו טופלה באמצעות בדיקת טווח משופרת.

    CVE-ID

    CVE-2014-4380: קונז'אנג מ-Adlab of Venustech

  • IOKit

    זמין עבור: iPhone 4s ואילך, iPod touch (דור חמישי) ואילך, iPad 2 ואילך

    השפעה: אפליקציה זדונית עלולה להצליח לקרוא נתונים לא מאותחלים מזיכרון ליבה

    תיאור: בעיית גישה לזיכרון לא מאותחל הייתה קיימת בטיפול בפונקציות IOKit. בעיה זו טופלה באמצעות אתחול משופר של הזיכרון.

    CVE-ID

    CVE-2014-4407:‏ ‎@PanguTeam

  • IOKit

    זמין עבור: iPhone 4s ואילך, iPod touch (דור חמישי) ואילך, iPad 2 ואילך

    השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת

    תיאור: בעיית אימות הייתה קיימת בטיפול בשדות מטא-נתונים מסוימים של אובייקטי IODataQueu. בעיה זו טופלה באמצעות אימות משופר של מטא-נתונים.

    CVE-ID

    CVE-2014-4418: איאן ביר מ-Google Project Zero

  • IOKit

    זמין עבור: iPhone 4s ואילך, iPod touch (דור חמישי) ואילך, iPad 2 ואילך

    השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת

    תיאור: בעיית אימות הייתה קיימת בטיפול בשדות מטא-נתונים מסוימים של אובייקטי IODataQueu. בעיה זו טופלה באמצעות אימות משופר של מטא-נתונים.

    CVE-ID

    CVE-2014-4388:‏ ‎@PanguTeam

  • IOKit

    זמין עבור: iPhone 4s ואילך, iPod touch (דור חמישי) ואילך, iPad 2 ואילך

    השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת

    תיאור: גלישה נומרית הייתה קיימת בטיפול בפונקציות IOKit. בעיה זו טופלה באמצעות אימות משופר של ארגומנטים מסוג IOKit API.

    CVE-ID

    CVE-2014-4389: איאן ביר מ-Google Project Zero

  • ליבה

    זמין עבור: iPhone 4s ואילך, iPod touch (דור חמישי) ואילך, iPad 2 ואילך

    השפעה: משתמש מקומי עלול להצליח לקבוע את פריסת זיכרון הליבה

    תיאור: בעיות מרובות של זיכרון לא מאותחל בממשק הסטטיסטיקה של הרשת, שהובילו לחשיפת התוכן של זיכרון הליבה. בעיה זו טופלה באמצעות אתחול נוסף של הזיכרון.

    CVE-ID

    CVE-2014-4371: פרמין ג' סרנה מ-Google Security Team

    CVE-2014-4419: פרמין ג' סרנה מ-Google Security Team

    CVE-2014-4420: פרמין ג' סרנה מ-Google Security Team

    CVE-2014-4421: פרמין ג' סרנה מ-Google Security Team

  • ליבה

    זמין עבור: iPhone 4s ואילך, iPod touch (דור חמישי) ואילך, iPad 2 ואילך

    השפעה: אדם עם תפקיד בעל הרשאות ברשת עלול לגרום לסירוב שירות

    תיאור: בעיית מרוץ תהליכים הייתה קיימת בטיפול בחבילות IPv6. בעיה זו טופלה באמצעות בדיקה משופרת של מצב נעילה.

    CVE-ID

    CVE-2011-2391: מארק הויזה

  • ליבה

    זמין עבור: iPhone 4s ואילך, iPod touch (דור חמישי) ואילך, iPad 2 ואילך

    השפעה: משתמש מקומי עלול להצליח לגרום לסיום בלתי צפוי של פעולת המערכת או להפעלת קוד שרירותי בליבה

    תיאור: בעיית שחרור כפול הייתה קיימת בטיפול ביציאות Mach. בעיה זו טופלה באמצעות אימות משופר של יציאות Mach.

    CVE-ID

    CVE-2014-4375: חוקר אנונימי

  • ליבה

    זמין עבור: iPhone 4s ואילך, iPod touch (דור חמישי) ואילך, iPad 2 ואילך

    השפעה: משתמש מקומי עלול להצליח לגרום לסיום בלתי צפוי של פעולת המערכת או להפעלת קוד שרירותי בליבה

    תיאור: בעיית קריאה מחוץ לטווח הייתה קיימת ב-rt_setgate. זה עלול להוביל לחשיפת הזיכרון או להשחתת הזיכרון. בעיה זו טופלה באמצעות בדיקת טווח משופרת.

    CVE-ID

    CVE-2014-4408

  • ליבה

    זמין עבור: iPhone 4s ואילך, iPod touch (דור חמישי) ואילך, iPad 2 ואילך

    השפעה: ניתן לעקוף חלק מאמצעי ההקשחה של הליבה

    תיאור: מחולל המספרים האקראיים המשמש לאמצעי הקשחה של הליבה בשלבים המוקדמים של תהליך האתחול לא היה מאובטח באמצעות הצפנה. ניתן היה להקיש חלק מהפלט מתוך מרחב המשתמש, מה שאיפשר לעקוף את אמצעי ההקשחה. בעיה זו טופלה בעזרת שימוש באלגוריתם מאובטח באמצעות הצפנה.

    CVE-ID

    CVE-2014-4422: טארג'י מאנדט מ-Azimuth Security

  • Libnotify

    זמין עבור: iPhone 4s ואילך, iPod touch (דור חמישי) ואילך, iPad 2 ואילך

    השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות בסיס

    תיאור: בעיית כתיבה מחוץ לטווח הייתה קיימת ב-Libnotify. בעיה זו טופלה באמצעות בדיקת טווח משופרת.

    CVE-ID

    CVE-2014-4381: איאן ביר מ-Google Project Zero

  • נעילה

    זמין עבור: iPhone 4s ואילך, iPod touch (דור חמישי) ואילך, iPad 2 ואילך

    השפעה: ניתן לגרום למכשיר להציג באופן שגוי את מסך הבית כאשר המכשיר נעול להפעלה

    תיאור: בעיה הייתה קיימת בהתנהגות ביטול נעילה שגרמה למכשיר להמשיך למסך הבית גם אם הוא עדיין היה אמור להיות במצב של נעילת הפעלה. בעיה זו טופלה על-ידי שינוי המידע שהמכשיר מאמת במהלך בקשה לביטול נעילה.

    CVE-ID

    CVE-2014-1360

  • דואר

    זמין עבור: iPhone 4s ואילך, iPod touch (דור חמישי) ואילך, iPad 2 ואילך

    השפעה: ניתן לשלוח אישורי כניסה בטקסט רגיל גם אם השרת פרסם את היכולת LOGINDISABLED IMAP

    תיאור: האפליקציה 'דואר' שלחה את הפקודה LOGIN לשרתים גם אם הם פרסמו את היכולת LOGINDISABLED IMAP. בעיה זו מדאיגה בעיקר במהלך התחברות לשרתים שהוגדרו לקבל חיבורים לא מוצפנים ואשר מפרסמים LOGINDISABLED. בעיה זו טופלה על-ידי כיבוד היכולת LOGINDISABLED IMAP.

    CVE-ID

    CVE-2014-4366: מארק קריספין

  • דואר

    זמין עבור: iPhone 4s ואילך, iPod touch (דור חמישי) ואילך, iPad 2 ואילך

    השפעה: אדם בעל גישה פיזית למכשיר iOS יכול לקרוא קבצים מצורפים להודעות דוא"ל

    תיאור: בעיה לוגית הייתה קיימת בשימוש של האפליקציה 'דואר' ב'הגנה על נתונים' בקבצים מצורפים להודעות דוא"ל. הבעיה טופלה בעזרת הגדרה נכונה של הסיווג 'הגנה על נתונים' עבור קבצים מצורפים להודעות דוא"ל.

    CVE-ID

    CVE-2014-1348: אנדראס קורץ מ-NESO Security Labs

  • פרופילים

    זמין עבור: iPhone 4s ואילך, iPod touch (דור חמישי) ואילך, iPad 2 ואילך

    השפעה: 'חיוג קולי' מופעל באופן בלתי צפוי לאחר שדרוג iOS

    תיאור: 'חיוג קולי' הופעל באופן אוטומטי לאחר שדרוג iOS. בעיה זו טופלה באמצעות ניהול מצבים משופר.

    CVE-ID

    CVE-2014-4367: סוון היינמן

  • Safari

    זמין עבור: iPhone 4s ואילך, iPod touch (דור חמישי) ואילך, iPad 2 ואילך

    השפעה: אישורי משתמש עשויים להיחשף ללא כוונה בפני אתר דרך מילוי אוטומטי

    תיאור: Safari עשוי היה למלא באופן אוטומטי שמות וסיסמאות של משתמשים ב-Subframe מדומיין השונה מזה של ה-Mainframe. בעיה זו טופלה באמצעות מעקב מקור משופר.

    CVE-ID

    CVE-2013-5227: ניקלס מלמגרן מ-Klarna AB

  • Safari

    זמין עבור: iPhone 4s ואילך, iPod touch (דור חמישי) ואילך, iPad 2 ואילך

    השפעה: תוקף עם תפקיד בעל הרשאות ברשת עלול ליירט אישורי משתמשים

    תיאור: סיסמאות שמורות מולאו באופן אוטומטי באתרי http, באתרי https עם אמון משובש וברכיבי iframe. בעיה זו טופלה על-ידי הגבלת מילוי אוטומטי של סיסמאות ב-Mainframe של אתרי https עם שרשראות של אישורים חוקיים.

    CVE-ID

    CVE-2014-4363: דיוויד סילבר, סומאן יאנה ודן בונה מאוניברסיטת סטנפורד בעבודה עם אריק כהן וקולין ג'קסון מאוניברסיטת קרנגי מלון

  • Safari

    זמין עבור: iPhone 4s ואילך, iPod touch (דור חמישי) ואילך, iPad 2 ואילך

    השפעה: תוקף בתפקיד בעל הרשאות רשת עלול לזייף כתובות URL ב-Safari

    תיאור: חוסר עקביות בממשק משתמש היה קיים ב-Safari במכשירים התומכים ב-MDM. הבעיה טופלה בעזרת בדיקות משופרות של עקביות ממשק משתמש.

    CVE-ID

    CVE-2014-8841: אנג'לו פראדו מ-Salesforce Product Security

  • פרופילי ארגז חול

    זמין עבור: iPhone 4s ואילך, iPod touch (דור חמישי) ואילך, iPad 2 ואילך

    השפעה: פרטי Apple ID נגישים דרך אפליקציות של צד שלישי

    תיאור: בעיה של חשיפת פרטים הייתה קיימת בארגז החול של אפליקציות צד שלישי. בעיה זו טופלה בעזרת שיפור של פרופיל ארגז החול של צד שלישי.

    CVE-ID

    CVE-2014-4362: אנדראס קורץ מ-NESO Security Labs ומרקוס טרוסבך מאוניברסיטת היילברון

  • הגדרות

    זמין עבור: iPhone 4s ואילך, iPod touch (דור חמישי) ואילך, iPad 2 ואילך

    השפעה: תצוגות מקדימות של הודעות טקסט עשויות להופיע במסך הנעילה גם כאשר תכונה זו מושבתת

    תיאור: בעיה הייתה קיימת בתצוגה המקדימה של עדכוני הודעות טקסט במסך הנעילה. כתוצאה מכך, התוכן של הודעות שהתקבלו היה מוצג במסך הנעילה גם כאשר תצוגות מקדימות הושבתו ב'הגדרות'. הבעיה טופלה בעזרת הקפדה משופרת על הגדרה זו.

    CVE-ID

    CVE-2014-4356: מתיה שירינצי מ-San Pietro Vernotico‏ (BR), איטליה

  • syslog

    זמין עבור: iPhone 4s ואילך, iPod touch (דור חמישי) ואילך, iPad 2 ואילך

    השפעה: משתמש מקומי עלול להצליח לשנות הרשאות בקבצים שרירותיים

    תיאור: תוכניות syslogd פעלו בהתאם לקישורים סמליים תוך שינוי הרשאות בקבצים. הבעיה נפתרה בעזרת טיפול משופר בקישורים סמליים.

    CVE-ID

    CVE-2014-4372: טיליי וואנג ו-יאונגג'ינג ג'אנג מ-Georgia Tech Information Security Center‏ (GTISC)

  • מזג אוויר

    זמין עבור: iPhone 4s ואילך, iPod touch (דור חמישי) ואילך, iPad 2 ואילך

    השפעה: פרטי מיקום נשלחו באופן לא מוצפן

    תיאור: בעיה של חשיפת פרטים הייתה קיימת ב-API ששימש לקביעת מזג האוויר המקומי. הבעיה טופלה על-ידי שינוי פריטי API.

  • WebKit

    זמין עבור: iPhone 4s ואילך, iPod touch (דור חמישי) ואילך, iPad 2 ואילך

    השפעה: אתר אינטרנט זדוני עלול להצליח לעקוב אחר משתמשים גם כאשר גלישה פרטית מופעלת

    תיאור: אפליקציית רשת יכולה לאחסן נתונים של מטמון אפליקציה HTML 5 במהלך גלישה רגילה ואחר כך לקרוא את הנתונים במהלך גלישה פרטית. בעיה זו טופלה באמצעות השבתת הגישה למטמון האפליקציה במצב גלישה פרטית.

    CVE-ID

    CVE-2014-4409: יסוקה הסגאווה (NetAgent Co., Led.‎)

  • WebKit

    זמין עבור: iPhone 4s ואילך, iPod touch (דור חמישי) ואילך, iPad 2 ואילך

    השפעה: ביקור באתר אינטרנט שנוצר באופן זדוני עלול להוביל לסיום בלתי צפוי של אפליקציה או להפעלת קוד שרירותי

    תיאור: בעיות מרובות של השחתת זיכרון היו קיימות ב-WebKit. בעיות אלו נפתרו בעזרת טיפול משופר בזיכרון.

    CVE-ID

    CVE-2013-6663: אטה קטונן מ-OUSPG

    CVE-2014-1384:‏ ‏Apple

    CVE-2014-1385:‏ ‏Apple

    CVE-2014-1387:‏ Google Chrome Security Team

    CVE-2014-1388:‏ ‏Apple

    CVE-2014-1389:‏ ‏Apple

    CVE-2014-4410: אריק סיידל מ-Google

    CVE-2014-4411:‏ Google Chrome Security Team

    CVE-2014-4412:‏ ‏Apple

    CVE-2014-4413:‏ ‏Apple

    CVE-2014-4414:‏ ‏Apple

    CVE-2014-4415:‏ ‏Apple

  • Wi-Fi

    זמין עבור: iPhone 4s ואילך, iPod touch (דור חמישי) ואילך, iPad 2 ואילך

    השפעה: מכשיר עלול להיות במעקב פאסיבי לפי כתובת ה-MAC האלחוטית שלו

    תיאור: הייתה קיימת חשיפת מידע מכיוון שנעשה שימוש בכתובת MAC יציבה לחיפוש רשתות Wi-Fi. הבעיה טופלה בעזרת קביעה אקראית של כתובת ה-MAC עבור חיפושים פסיביים של Wi-Fi.

הערה:

iOS 8 מכילה שינויים בכמה יכולות אבחון. לפרטים, מומלץ לעיין בדף https://support.apple.com/he-il/HT203034

iOS 8 מאפשרת כעת למכשירים לבטל אמון בכל המחשבים שניתן בהם אמון בעבר. ניתן למצוא הוראות בדף https://support.apple.com/he-il/HT202778

FaceTime אינו זמין בכל המדינות והאזורים.

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

תאריך פרסום: