O sigurnosnom sadržaju sustava iOS 8.1
U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 8.1.
Radi zaštite svojih klijenata Apple ne otkriva sigurnosne probleme, ne razgovara o njima niti ih potvrđuje do dovršetka cjelovite istrage te objavljivanja potrebnih zakrpa i izdanja. Da biste doznali više o sigurnosti Appleovih proizvoda, idite na web-mjesto Sigurnost Appleovih proizvoda.
Informacije o PGP ključu zaštite Appleovih proizvoda potražite u članku Korištenje PGP ključa zaštite Appleovih proizvoda.
Kada je moguće, slabe točke označene su CVE ID-ovima pomoću kojih je moguće pronaći dodatne informacije.
Da biste doznali više o sigurnosnim ažuriranjima, pročitajte članak Appleova sigurnosna ažuriranja.
iOS 8.1
Bluetooth
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: zlonamjerni ulazni Bluetooth uređaj može zaobići uparivanje
Opis: dopuštene su nekriptirane veze s niskoenergetskih Bluetooth dodataka u klasi uređaja s korisničkim sučeljem. Ako se iOS uređaj upario s takvim dodatkom, napadač je mogao lažirati legitimni dodatak da bi uspostavio vezu. Problem je riješen odbijanjem nekriptiranih veza s HID uređajima.
CVE-ID
CVE-2014-4428 : Mike Ryan iz tvrtke iSEC Partners
House Arrest
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: datoteke prenesene na uređaj mogu se zapisivati uz nedovoljnu kriptografsku zaštitu
Opis: datoteke su se mogle prenositi u direktorij Dokumenti aplikacije i kriptirati ključem zaštićenim samo hardverskim UID-om. Taj je problem riješen šifriranjem prenesenih datoteka zaštićenim hardverskim UID-om i korisničkom lozinkom.
CVE-ID
CVE-2014-4448 : Jonathan Zdziarski i Kevin DeLong
Pristup podacima na servisu iCloud
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: napadač s povlaštenim položajem u mreži može klijente za pristup podacima na servisu iCloud prinuditi da daju povjerljive podatke
Opis: u klijentima za pristup podacima na servisu iCloud postojala je slaba točka prilikom provjere TLS certifikata. Taj je problem riješen poboljšanom provjerom certifikata.
CVE-ID
CVE-2014-4449 : Carl Mehner iz grupacije USAA
Tipkovnice
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: QuickType može naučiti korisnikove vjerodajnice
Opis: tipkovnica QuickType mogla je naučiti korisnikove vjerodajnice prilikom prelaska s jednog elementa na drugi. Taj problem riješen onemogućivanjem učenja tipkovnici QuickType iz polja za koja je onemogućen samodovršetak i ponovnom primjenom kriterija prilikom prelaska s jednog na drugi ulazni DOM element u naslijeđenom WebKitu.
CVE-ID
CVE-2014-4450
Sigurni prijenos
Dostupno za: iPhone 4s i novije verzije, iPod touch (pete generacije) i novije verzije, iPad 2 i novije verzije
Učinak: napadač može dekriptirati podatke zaštićene protokolom SSL
Opis: postoje poznati napadi na povjerljivost protokola SSL 3.0 kada komplet šifri koristi blokirajuću šifru u modu CBC. Napadač je mogao iznuditi korištenje protokola SSL 3.0, čak i kada je poslužitelj podržavao bolju verziju protokola TLS, blokiranjem pokušaja povezivanja putem protokola TLS 1.0 ili novijeg. Taj je problem riješen onemogućivanjem CBC kompleta šifri kada ne uspije povezivanje putem protokola TLS.
CVE-ID
CVE-2014-3566 : Bodo Moeller, Thai Duong i Krzysztof Kotowicz iz Googleova tima za sigurnost
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.