O sigurnosnom sadržaju sustava iOS 8.1

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 8.1.

Radi zaštite svojih klijenata Apple ne otkriva sigurnosne probleme, ne razgovara o njima niti ih potvrđuje do dovršetka cjelovite istrage te objavljivanja potrebnih zakrpa i izdanja. Da biste doznali više o sigurnosti Appleovih proizvoda, idite na web-mjesto Sigurnost Appleovih proizvoda.

Informacije o PGP ključu zaštite Appleovih proizvoda potražite u članku Korištenje PGP ključa zaštite Appleovih proizvoda.

Kada je moguće, slabe točke označene su CVE ID-ovima pomoću kojih je moguće pronaći dodatne informacije.

Da biste doznali više o sigurnosnim ažuriranjima, pročitajte članak Appleova sigurnosna ažuriranja.

iOS 8.1

  • Bluetooth

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: zlonamjerni ulazni Bluetooth uređaj može zaobići uparivanje

    Opis: dopuštene su nekriptirane veze s niskoenergetskih Bluetooth dodataka u klasi uređaja s korisničkim sučeljem. Ako se iOS uređaj upario s takvim dodatkom, napadač je mogao lažirati legitimni dodatak da bi uspostavio vezu. Problem je riješen odbijanjem nekriptiranih veza s HID uređajima.

    CVE-ID

    CVE-2014-4428 : Mike Ryan iz tvrtke iSEC Partners

  • House Arrest

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: datoteke prenesene na uređaj mogu se zapisivati uz nedovoljnu kriptografsku zaštitu

    Opis: datoteke su se mogle prenositi u direktorij Dokumenti aplikacije i kriptirati ključem zaštićenim samo hardverskim UID-om. Taj je problem riješen šifriranjem prenesenih datoteka zaštićenim hardverskim UID-om i korisničkom lozinkom.

    CVE-ID

    CVE-2014-4448 : Jonathan Zdziarski i Kevin DeLong

  • Pristup podacima na servisu iCloud

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: napadač s povlaštenim položajem u mreži može klijente za pristup podacima na servisu iCloud prinuditi da daju povjerljive podatke

    Opis: u klijentima za pristup podacima na servisu iCloud postojala je slaba točka prilikom provjere TLS certifikata. Taj je problem riješen poboljšanom provjerom certifikata.

    CVE-ID

    CVE-2014-4449 : Carl Mehner iz grupacije USAA

  • Tipkovnice

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: QuickType može naučiti korisnikove vjerodajnice

    Opis: tipkovnica QuickType mogla je naučiti korisnikove vjerodajnice prilikom prelaska s jednog elementa na drugi. Taj problem riješen onemogućivanjem učenja tipkovnici QuickType iz polja za koja je onemogućen samodovršetak i ponovnom primjenom kriterija prilikom prelaska s jednog na drugi ulazni DOM element u naslijeđenom WebKitu.

    CVE-ID

    CVE-2014-4450

  • Sigurni prijenos

    Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije

    Učinak: napadač može dekriptirati podatke zaštićene protokolom SSL

    Opis: postoje poznati napadi na povjerljivost protokola SSL 3.0 kada komplet šifri koristi blokirajuću šifru u modu CBC. Napadač je mogao iznuditi korištenje protokola SSL 3.0, čak i kada je poslužitelj podržavao bolju verziju protokola TLS, blokiranjem pokušaja povezivanja putem protokola TLS 1.0 ili novijeg. Taj je problem riješen onemogućivanjem CBC kompleta šifri kada ne uspije povezivanje putem protokola TLS.

    CVE-ID

    CVE-2014-3566 : Bodo Moeller, Thai Duong i Krzysztof Kotowicz iz Googleova tima za sigurnost

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ni proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Prilikom korištenja interneta uvijek postoje rizici. Obratite se davatelju usluge da biste saznali više. Nazivi drugih tvrtki i proizvoda mogu biti robne marke svojih vlasnika.

Datum objave: