O sigurnosnom sadržaju sustava iOS 8

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 8.

Radi zaštite svojih klijenata Apple ne otkriva sigurnosne probleme, ne razgovara o njima niti ih potvrđuje do dovršetka cjelovite istrage te objavljivanja potrebnih zakrpa i izdanja. Da biste doznali više o sigurnosti Appleovih proizvoda, idite na web-mjesto Sigurnost Appleovih proizvoda.

Informacije o PGP ključu zaštite Appleovih proizvoda potražite u članku Korištenje PGP ključa zaštite Appleovih proizvoda.

Kad je moguće, slabe točke označene su CVE ID-ovima pomoću kojih je moguće pronaći dodatne informacije.

Da biste doznali više o sigurnosnim ažuriranjima, pročitajte članak Appleova sigurnosna ažuriranja.

iOS 8

  • 802.1X

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: napadač može dobiti Wi-Fi vjerodajnice

    Opis: napadač je mogao hiniti Wi-Fi pristupnu točku, ponuditi provjeru autentičnosti pomoću LEAP-a, probiti MS-CHAPv1 hash te iskoristiti tako dobivene vjerodajnice da izvrši provjeru autentičnosti na određenoj pristupnoj točki čak i ako ta pristupna točka podržava sigurne metode provjere autentičnosti. Problem je riješen onemogućenim LEAP-om kao zadanom postavkom.

    CVE-ID

    CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax i Wim Lamotte (Sveučilište Hasselt)

  • Računi

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: zlonamjerna aplikacija može prepoznati Apple ID korisnika

    Opis: problem je otkriven u kontrolnoj logici pristupa računima. Aplikacija s memorijom za testiranje može dohvatiti podatke o trenutno aktivnom iCloud računu, uključujući naziv računa. Problem je riješen ograničenjem pristupa neovlaštenim aplikacijama za određene vrste računa.

    CVE-ID

    CVE-2014-4423: Adam Weaver

  • Pristupačnost

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: pri korištenju funkcije AssistiveTouch uređaj se možda ne zaključava.

    Opis: problem s logikom otkriven je u funkciji AssistiveTouch pri rukovanju događajima, zbog čega se zaslon nije zaključavao. Problem je riješen poboljšanjem rukovanja odbrojavanjem pri zaključavanju.

    CVE-ID

    CVE-2014-4368: Hendrik Bettermann

  • Platforma za račune

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: napadač s pristupom iOS uređaju može pristupiti osjetljivim korisničkim podacima putem zapisa

    Opis: zapisivali su se osjetljivi korisnički podaci. Problem je riješen zapisivanjem manjeg broja podataka.

    CVE-ID

    CVE-2014-4357: Heli Myllykoski (OP-Pohjola Group)

  • Adresar

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: adresaru može pristupiti osoba s fizičkim pristupom iOS uređaju

    Opis: adresar je bio šifriran ključem zaštićenim samo hardverskim UID-om. Problem je riješen šifriranjem adresara ključem zaštićenim hardverskim UID-om i korisničkom lozinkom.

    CVE-ID

    CVE-2014-4352: Jonathan Zdziarski

  • Instalacija aplikacije

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: lokalni napadač može se domoći vjerodajnica i instalirati neprovjerene aplikacije

    Opis: u instalaciji aplikacija otkriven je uvjet nadvladavanja. Napadač s dozvolom za zapisivanje u privremenu mapu mogao je instalirati neprovjerenu aplikaciju. Problem je riješen postavljanjem datoteka za instalaciju u drugu mapu.

    CVE-ID

    CVE-2014-4386: evad3rs

  • Instalacija aplikacije

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: lokalni napadač može se domoći vjerodajnica i instalirati neprovjerene aplikacije

    Opis: u instalaciji aplikacija otkriven je problem s prijelazom puta. Lokalni napadač mogao je provjeru potpisa koda preusmjeriti na paket koji nije jednak instaliranom te pokrenuti instalaciju neprovjerenih aplikacija. Problem je riješen otkrivanjem i sprječavanjem prijelazom puta prilikom određivanja koda koji treba provjeriti.

    CVE-ID

    CVE-2014-4384: evad3rs

  • Imovina

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: napadač s mrežnim ovlastima može iOS uređaj navesti da pomisli da je ažuriranje izvršeno, iako nije

    Opis: otkriven je problem s provjerom valjanosti prilikom rukovanja odgovorima provjere ažuriranja. Lažni datumi u zaglavljima odgovora "zadnji put izmijenjeno" postavljeni na datume u budućnosti koristili su se u provjerama vrste "ako je izmijenjeno od" u naknadnim zahtjevima za ažuriranje. Problem je riješen provjerom zaglavlja "zadnji put izmijenjeno".

    CVE-ID

    CVE-2014-4383: Raul Siles (DinoSec)

  • Bluetooth

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: nakon nadogradnje iOS sustava Bluetooth se neočekivano omogućuje po zadanom

    Opis: Bluetooth se automatski omogućavao nakon nadogradnje iOS sustava. Problem je riješen uključivanjem Bluetooth veze samo za ažuriranja glavnih i pomoćnih verzija.

    CVE-ID

    CVE-2014-4354: Maneet Singh, Sean Bluestein

  • Pravilnik o pouzdanosti certifikata

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: tražilo se ažuriranje pravilnika o pouzdanosti certifikata

    Opis: ažuriran je pravilnik o pouzdanosti certifikata. Potpuni popis certifikata možete vidjeti na stranici http://support.apple.com/kb/HT5012?viewlocale=hr_HR.

  • Jezgrena grafika

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: otvaranjem zlonamjerno stvorene PDF datoteke aplikacija se mogla neočekivano zatvoriti ili se mogao arbitrarno pokrenuti kod

    Opis: u rukovanju PDF datotekama otkriveno je prekoračenje cijelih brojeva. Problem je riješen poboljšanom provjerom ograničenja.

    CVE-ID

    CVE-2014-4377: Felipe Andres Manzano (Binamuse VRT) u suradnji s iSIGHT Partners GVP programom

  • Jezgrena grafika

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: otvaranjem zlonamjerno stvorene PDF datoteke aplikacija se može neočekivano zatvoriti ili se može otkriti neka informacija

    Opis: u rukovanju PDF datotekama otkriveno je prekoračenje čitanja memorije. Problem je riješen poboljšanom provjerom ograničenja.

    CVE-ID

    CVE-2014-4378: Felipe Andres Manzano (Binamuse VRT) u suradnji s iSIGHT Partners GVP programom

  • Detektori podataka

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: dodirom na vezu za FaceTime u aplikaciji Mail započinjao je audiopoziv bez prethodnog dopuštenja korisnika

    Opis: Mail korisniku nije poslao upit prije pokretanja URL-ova za FaceTime audiopoziv. Problem je riješen dodavanjem upita za potvrdu.

    CVE-ID

    CVE-2013-6835: Guillaume Ross

  • Osnove

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: aplikaciju koja koristi NSXML parser moguće je zloupotrijebiti radi otkrivanja informacija

    Opis: u rukovanju NSXML parsera XML-om otkriven je problem s vanjskim XML entitetom. Problem je riješen tako da se vanjski entiteti u ishodištu ne učitavaju.

    CVE-ID

    CVE-2014-4374: George Gal (VSR, http://www.vsecurity.com/)

  • Početni i zaključani zaslon

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: pozadinska aplikacija može odrediti koja je aplikacija najizloženija

    Opis: privatni API za određivanje izložene aplikacije nije zadovoljavajuće upravljao pristupom. Problem je riješen dodatnom kontrolom pristupa.

    CVE-ID

    CVE-2014-4361: Andreas Kurtz (NESO Security Labs) i Markus Trossbach (Sveučilište Heilbronn)

  • iMessage

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: nakon brisanja nadređene iMessage ili MMS poruke privici se ne brišu

    Opis: u određivanju načina brisanja privitaka otkriven je uvjet nadvladavanja. Problem je riješen izvođenjem dodatnih provjera brisanja privitaka.

    CVE-ID

    CVE-2014-4353: Silviu Schiau

  • IOAcceleratorFamily

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: aplikacija može izazvati neočekivani pad sustava

    Opis: dereferenca pokazivača s vrijednošću null otkrivena je u rukovanju API argumentima za IOAcceleratorFamily. Problem je riješen poboljšanjem provjere API argumenata za IOAcceleratorFamily.

    CVE-ID

    CVE-2014-4369: Catherine (winocm) i Cererdlong (mobilni tim za sigurnost tvrtke Alibaba)

  • IOAcceleratorFamily

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: uređaj se može neočekivano ponovno pokrenuti

    Opis: dereferenca pokazivača s vrijednošću null otkrivena je u upravljačkom programu IntelAccelerator. Problem je riješen poboljšanim rukovanjem pogreškama.

    CVE-ID

    CVE-2014-4373: cunzhang (Adlab, Venustech)

  • IOHIDFamily

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: zlonamjerna aplikacija može čitati kernelske pokazivače, što se može iskoristiti da se zaobiđe randomizacija izgleda prostora kernelske adrese

    Opis: u rukovanju funkcijom IOHIDFamily otkriven je problem s prekoračenim čitanjem. Problem je riješen poboljšanom provjerom ograničenja.

    CVE-ID

    CVE-2014-4379: Ian Beer (Google Project Zero)

  • IOHIDFamily

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: uz sistemske ovlasti zlonamjerna aplikacija mogla je izvršiti arbitrarni kod

    Opis: u rukovanju funkcije IOHIDFamily ključnim svojstvima mapiranja otkriveno je veliko prekoračenje međuspremnika. Problem je riješen poboljšanom provjerom ograničenja.

    CVE-ID

    CVE-2014-4404: Ian Beer (Google Project Zero)

  • IOHIDFamily

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: uz sistemske ovlasti zlonamjerna aplikacija mogla je izvršiti arbitrarni kod

    Opis: u rukovanju funkcije IOHIDFamily ključnim svojstvima mapiranja otkrivena je dereferenca s vrijednošću null. Problem je riješen poboljšanom provjerom ključnih svojstava mapiranja za IOHIDFamily.

    CVE-ID

    CVE-2014-4405: Ian Beer (Google Project Zero)

  • IOHIDFamily

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: uz kernelske ovlasti zlonamjerna aplikacija mogla je izvršiti arbitrarni kod

    Opis: u proširenju kernela funkcije IOHIDFamily otkriven je problem s prekoračenjem zapisivanja. Problem je riješen poboljšanom provjerom ograničenja.

    CVE-ID

    CVE-2014-4380: cunzhang (Adlab, Venustech)

  • IOKit

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: zlonamjerna aplikacija mogla je čitati neinicijalizirane podatke iz kernelske memorije

    Opis: u rukovanju funkcijama IOKit otkriven je problem s pristupom neinicijaliziranoj memoriji. Problem je riješen poboljšanom inicijalizacijom memorije.

    CVE-ID

    CVE-2014-4407: (@PanguTeam)

  • IOKit

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: uz sistemske ovlasti zlonamjerna aplikacija mogla je izvršiti arbitrarni kod

    Opis: u rukovanju određenim poljima metapodataka IODataQueue objekata otkriven je problem s provjerom valjanosti. Problem je riješen poboljšanom provjerom metapodataka.

    CVE-ID

    CVE-2014-4418: Ian Beer (Google Project Zero)

  • IOKit

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: uz sistemske ovlasti zlonamjerna aplikacija mogla je izvršiti arbitrarni kod

    Opis: u rukovanju određenim poljima metapodataka IODataQueue objekata otkriven je problem s provjerom valjanosti. Problem je riješen poboljšanom provjerom metapodataka.

    CVE-ID

    CVE-2014-4388: (@PanguTeam)

  • IOKit

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: uz sistemske ovlasti zlonamjerna aplikacija mogla je izvršiti arbitrarni kod

    Opis: u rukovanju IOKit funkcijama otkriveno je prekoračenje cijelih brojeva. Problem je riješen poboljšanjem provjere API argumenata za IOKit.

    CVE-ID

    CVE-2014-4389: Ian Beer (Google Project Zero)

  • Kernel

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: lokalni korisnik mogao je otkriti izgled kernelske memorije

    Opis: u sučelju za statističke podatke o mreži otkriveno je više problema s neinicijaliziranom memorijom te je stoga bilo moguće otkriti sadržaj kernelske memorije. Problem je riješen dodatnom inicijalizacijom memorije.

    CVE-ID

    CVE-2014-4371: Fermin J. Serna (Googleov tim za sigurnost)

    CVE-2014-4419: Fermin J. Serna (Googleov tim za sigurnost)

    CVE-2014-4420: Fermin J. Serna (Googleov tim za sigurnost)

    CVE-2014-4421: Fermin J. Serna (Googleov tim za sigurnost)

  • Kernel

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: osoba s mrežnim ovlastima mogla je opozvati servis

    Opis: u rukovanju IPv6 paketima otkriven je problem s uvjetom nadvladavanja. Problem je riješen poboljšanom provjerom zaključanog stanja.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Kernel

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: lokalni korisnik mogao je uzrokovati neočekivani pad sustava ili izvršavanje arbitrarnog koda u jezgri

    Opis: prilikom rukovanja Mach priključcima pojavio se problem dvostrukog oslobađanja. Problem je riješen poboljšanom provjerom Mach priključaka.

    CVE-ID

    CVE-2014-4375: anonimni istraživač

  • Kernel

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: lokalni korisnik mogao je uzrokovati neočekivani pad sustava ili izvršavanje arbitrarnog koda u jezgri

    Opis: u funkciji rt_setgate otkriven je problem s prekoračenjem čitanja. To može uzrokovati otkrivanje memorije ili njezin kvar. Problem je riješen poboljšanom provjerom ograničenja.

    CVE-ID

    CVE-2014-4408

  • Kernel

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: bilo je moguće zaobići neke od mjera za zaštitu jezgre

    Opis: generator nasumičnih brojeva koji se koristi kao jedna od mjera zaštite jezgre već u ranoj fazi pokretanja nije bio kriptografski siguran. Neki od njegovih rezultata bili su izvedivi sa strane korisnika, dopuštajući zaobilaženje mjera zaštite. Problem je riješen upotrebom algoritma koji je kriptografski siguran.

    CVE-ID

    CVE-2014-4422: Tarjei Mandt (Azimuth Security)

  • Libnotify

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: uz korijenske ovlasti zlonamjerna aplikacija mogla je izvršiti arbitrarni kod

    Opis: u Libnotifyju je otkriven problem s prekoračenjem zapisivanja. Problem je riješen poboljšanom provjerom ograničenja.

    CVE-ID

    CVE-2014-4381: Ian Beer (Google Project Zero)

  • Zaključavanje

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: kada je aktivacija bila zaključana, uređaj je bilo moguće navesti da nepravilno prikaže početni zaslon

    Opis: otkriven je problem s oblikom otključavanja zaslona zbog kojeg je uređaj prikazivao početni zaslon i kada je trebao biti u stanju zaključane aktivacije. Problem je riješen promjenom podataka koje uređaj provjerava prilikom zahtjeva za otključavanje.

    CVE-ID

    CVE-2014-1360

  • Mail

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: vjerodajnice za prijavu bilo je moguće poslati u običnom tekstu i kada je poslužitelj objavio IMAP mogućnost LOGINDISABLED.

    Opis: aplikacija Mail na poslužitelje je slala naredbu LOGIN čak i ako su oni objavili IMAP mogućnost LOGINDISABLED. Taj se problem većinom pojavljuje prilikom povezivanja s poslužiteljima konfiguriranima da prihvate nešifrirane veze te da objave LOGINDISABLED. Problem je riješen uzimanjem u obzir IMAP mogućnosti LOGINDISABLED.

    CVE-ID

    CVE-2014-4366: Mark Crispin

  • Mail

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: osoba s fizičkim pristupom iOS uređaju mogla je pročitati e-mail privitke

    Opis: u aplikaciji Mail otkriven je problem s logikom u primjeni zaštite podataka na e-mail privitke. Problem je riješen pravilnim postavljanjem zaštite podataka za e-mail privitke.

    CVE-ID

    CVE-2014-1348: Andreas Kurtz (NESO Security Labs)

  • Profili

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: nakon nadogradnje iOS sustava neočekivano se omogućavalo govorno biranje

    Opis: nakon nadogradnje iOS sustava automatski se omogućavalo govorno biranje. Problem je riješen poboljšanim upravljanjem stanjem.

    CVE-ID

    CVE-2014-4367: Sven Heinemann

  • Safari

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: korisničke vjerodajnice mogle su se putem automatskog unosa otkriti neočekivanom web-mjestu

    Opis: Safari je mogao automatski unijeti korisnička imena i lozinke u podokvir iz domene koja se razlikuje od glavnog okvira. Problem je riješen poboljšanim praćenjem izvora.

    CVE-ID

    CVE-2013-5227: Niklas Malmgren (Klarna AB)

  • Safari

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: napadač s mrežnim ovlastima mogao je presresti korisničke vjerodajnice

    Opis: spremljene lozinke automatski su se unosile na http web-mjesta, na nepouzdana http web-mjesta te u i-okvire. Problem je riješen ograničenjem automatskog unosa lozinki u glavni okvir https web-mjesta s valjanim lancima certifikata.

    CVE-ID

    CVE-2014-4363: David Silver, Suman Jana i Dan Boneh (Sveučilište Stanford), u suradnji s Ericom Chenom i Collinom Jacksonom (Sveučilište Carnegie Mellon)

  • Safari

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: napadač s mrežnim ovlastima mogao je lažirati URL-ove u pregledniku Safari

    Opis: u pregledniku Safari na uređajima s podrškom za MDM postojala je nedosljednost korisničkog sučelja. Problem je riješen poboljšanim provjerama dosljednosti korisničkog sučelja.

    CVE-ID

    CVE-2014-8841: Angelo Prado iz tima za sigurnost proizvoda s portala Salesforce

  • Profili s memorijom za testiranje

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: podaci o Apple ID-u dostupni su aplikacijama drugih proizvođača

    Opis: u aplikaciji s memorijom za testiranje aplikacija drugog proizvođača otkriven je problem s otkrivanjem informacija. Problem je riješen poboljšanjem profila memorije za testiranje drugog proizvođača.

    CVE-ID

    CVE-2014-4362: Andreas Kurtz (NESO Security Labs) i Markus Troßbach (Sveučilište Heilbronn)

  • Postavke

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: na zaključanom zaslonu pojavljivali su se pretpregledi tekstnih poruka i kada je ta značajka bila onemogućena

    Opis: na zaključanom zaslonu otkriven je problem s pretpregledom obavijesti o tekstnim porukama. Kao rezultat toga, sadržaj primljenih poruka prikazivao se na zaključanom zaslonu i kada su u postavkama pretpregledi bili onemogućeni. Problem je riješen boljom kontrolom te postavke.

    CVE-ID

    CVE-2014-4356: Mattia Schirinzi (San Pietro Vernotico (BR), Italija)

  • syslog

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: lokalni korisnik mogao je promijeniti dozvole proizvoljnih datoteka

    Opis: syslogd je pratio simbolične veze prilikom promjene dozvola za datoteke. Problem je riješen poboljšanim rukovanjem simboličnih veza.

    CVE-ID

    CVE-2014-4372: Tielei Wang i YeongJin Jang (Georgia Tech Information Security Center (GTISC))

  • Vrijeme

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: podaci o lokaciji slali su se u nešifriranom obliku

    Opis: otkriven je problem s otkrivanjem informacija u API-ju radi lokalne vremenske prognoze. Problem je riješen promjenom API-ja.

  • WebKit

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: zlonamjerno web-mjesto može pratiti korisnike čak i ako oni omoguće privatno pregledavanje sadržaja

    Opis: web-aplikacija mogla je pohraniti podatke u predmemoriju HTML 5 aplikacije tijekom normalnog pregledavanja te ih potom pročitati tijekom privatnog pregledavanja. Problem je riješen onemogućivanjem pristupa predmemoriji aplikacije u načinu privatnog pregledavanja.

    CVE-ID

    CVE-2014-4409: Yosuke Hasegawa (NetAgent Co., Led.)

  • WebKit

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje arbitrarnog koda

    Opis: u WebKitu je otkriven veći broj problema s neispravnom memorijom. Problemi su riješeni poboljšanim rukovanjem memorijom.

    CVE-ID

    CVE-2013-6663: Atte Kettunen (OUSPG)

    CVE-2014-1384: Apple

    CVE-2014-1385: Apple

    CVE-2014-1387: tim za sigurnost preglednika Google Chrome

    CVE-2014-1388: Apple

    CVE-2014-1389: Apple

    CVE-2014-4410: Eric Seidel (Google)

    CVE-2014-4411: tim za sigurnost preglednika Google Chrome

    CVE-2014-4412: Apple

    CVE-2014-4413: Apple

    CVE-2014-4414: Apple

    CVE-2014-4415: Apple

  • Wi-Fi

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: uređaj se mogao pasivno pratiti prema svojoj Wi-Fi MAC adresi

    Opis: otkriven je problem s otkrivanjem podataka jer je stabilna MAC adresa iskorištena za pregledavanje Wi-Fi mreža. Problem je riješen randomizacijom MAC adrese za pasivne Wi-Fi preglede.

Bilješka:

iOS 8 sadrži promjene nekih dijagnostičkih mogućnosti. Detaljnije informacije potražite u članku http://support.apple.com/kb/HT6331?viewlocale=hr_HR

iOS 8 sada dopušta uređajima da ponište pouzdanost računala koja su se prethodno smatrala pouzdanima. Upute potražite u članku http://support.apple.com/kb/HT5868?viewlocale=hr_HR

FaceTime nije dostupan u svim državama ili regijama.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ni proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Prilikom korištenja interneta uvijek postoje rizici. Obratite se davatelju usluge da biste saznali više. Nazivi drugih tvrtki i proizvoda mogu biti robne marke svojih vlasnika.

Datum objave: