Az iOS 8 biztonsági változásjegyzéke

Ez a dokumentum az iOS 8 biztonsági változásjegyzékét ismerteti.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról Az Apple termékbiztonsági PGP-kulcs használata című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk a CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről Az Apple biztonsági frissítései című cikkből tájékozódhat.

iOS 8

  • 802.1X

    A következőhöz érhető el: iPhone 4s és újabb, 5. generációs iPod touch és újabb, iPad 2 és újabb

    Érintett terület: A támadók megszerezhették a Wi-Fi hitelesítő adatait.

    Leírás: Egy támadó Wi-Fi hozzáférési pontként álcázhatta magát, felajánlhatta a LEAP-hitelesítést, feltörhette az MS-CHAPv1-kivonatot, majd a származtatott hitelesítő adatokkal hitelesítést végezhetett az eredeti hozzáférési pont felé még akkor is, ha az a hozzáférési pont erősebb hitelesítési metódusok használatát támogatta. A problémát a LEAP alapértelmezés szerinti letiltásával küszöböltük ki.

    CVE-azonosító

    CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax és Wim Lamotte (Universiteit Hasselt)

  • Accounts

    A következőkhöz érhető el: iPhone 4s és újabb, 5. generációs iPod touch és újabb, iPad 2 és újabb

    Érintett terület: Előfordulhatott, hogy a rosszindulatú alkalmazások beazonosíthatták a felhasználó Apple ID-jét.

    Leírás: Hiba merült fel a fiókok hozzáférés-kezelési logikájában. A sandboxban lévő alkalmazások információkat tudtak szerezni az éppen aktív iCloud-fiókról, ideértve a fiók nevét is. A problémát azzal küszöböltük ki, hogy bizonyos fióktípusokra korlátoztuk a hozzáférést a jogosulatlan alkalmazásokból.

    CVE-azonosító

    CVE-2014-4423: Adam Weaver

  • Accessibility

    A következőkhöz érhető el: iPhone 4s és újabb, 5. generációs iPod touch és újabb, iPad 2 és újabb

    Érintett terület: Előfordulhatott, hogy az AssistiveTouch használata esetén az eszköz nem zárolta a képernyőt.

    Leírás: Az AssistiveTouch eseménykezelésében logikai hiba merült fel, ami megakadályozta a képernyő zárolását. A problémát azzal küszöböltük ki, hogy javítottuk a zárolási időzítő kezelését.

    CVE-azonosító

    CVE-2014-4368: Hendrik Bettermann

  • Accounts Framework

    A következőhöz érhető el: iPhone 4s és újabb, 5. generációs iPod touch és újabb, iPad 2 és újabb

    Érintett terület: Egy iOS-eszközhöz hozzáféréssel rendelkező támadó bizalmas felhasználói adatokhoz férhetett hozzá a naplókból.

    Leírás: Bizalmas felhasználói adatok kerültek be a naplókba. A problémát kevesebb adat naplózásával küszöböltük ki.

    CVE-azonosító

    CVE-2014-4357: Heli Myllykoski (OP-Pohjola Group)

  • Address Book

    A következőhöz érhető el: iPhone 4s és újabb, 5. generációs iPod touch és újabb, iPad 2 és újabb

    Érintett terület: Egy iOS-eszközhöz fizikai hozzáféréssel rendelkező személy bizalmas beolvashatta a címtárat.

    Leírás: A címtár egy kizárólag a hardveres UID által védett kulccsal volt titkosítva. A problémát azzal küszöböltük ki, hogy titkosítottuk a címtárat a hardver UID által védett kulccsal és a felhasználó jelkódjával.

    CVE-azonosító

    CVE-2014-4352: Jonathan Zdziarski

  • App Installation

    A következőkhöz érhető el: iPhone 4s és újabb, 5. generációs iPod touch és újabb, iPad 2 és újabb

    Érintett terület: Egy helyi támadó magasabb szintű jogosultságokra tehetett szert, és nem ellenőrzött alkalmazásokat telepíthetett.

    Leírás: Versenyhelyzet merült fel az App Installationben. A /tmp-hez írási jogosultsággal rendelkező támadó telepíteni tudott nem ellenőrzött alkalmazásokat. A problémát annak beállításával küszöböltük ki, hogy a rendszer egy másik könyvtárba másolja a telepítendő fájlokat.

    CVE-azonosító

    CVE-2014-4386: evad3rs

  • App Installation

    A következőkhöz érhető el: iPhone 4s és újabb, 5. generációs iPod touch és újabb, iPad 2 és újabb

    Érintett terület: Egy helyi támadó magasabb szintű jogosultságokra tehetett szert, és nem ellenőrzött alkalmazásokat telepíthetett.

    Leírás: Elérésiút-átlépési hiba merült fel az App Installationben. A helyi támadók át tudták irányítani a kódaláírás ellenőrzését a telepítés alatt álló csomagtól eltérő csomagra, és végre tudták hajtani egy nem ellenőrzött alkalmazás telepítését. A problémát annak beállításával küszöböltük ki, hogy a rendszer észlelje és megakadályozza az útvonalátlépést annak meghatározásakor, hogy melyik kódaláírás ellenőrzésére van szükség.

    CVE-azonosító

    CVE-2014-4384: evad3rs

  • Assets

    A következőhöz érhető el: iPhone 4s és újabb, 5. generációs iPod touch és újabb, iPad 2 és újabb

    Érintett terület: Egy kiemelt hálózati pozícióval rendelkező támadó elhitethette egy iOS-eszközzel azt, hogy naprakész még akkor is, ha ez nem így volt.

    Leírás: A frissítés-ellenőrzési válaszok kezelésénél érvényesítési hiba merült fel. A Last-Modified válaszfejlécekből származó hamisított dátumokat jövőbeni dátumokra tudták beállítani, és az If-Modified-Since típusú ellenőrzésekre használták a későbbi frissítési kérelmekben. A problémát a Last-Modified fejléc ellenőrzésével hárítottuk el.

    CVE-azonosító

    CVE-2014-4383: Raul Siles (DinoSec)

  • Bluetooth

    A következőkhöz érhető el: iPhone 4s és újabb, 5. generációs iPod touch és újabb, iPad 2 és újabb

    Érintett terület: A Bluetooth váratlanul alapértelmezés szerint engedélyezve lett az iOS frissítése után.

    Leírás: A Bluetooth automatikusan engedélyezve lett az iOS frissítése után. A problémát annak beállításával küszöböltük ki, hogy a Bluetooth csak a nagyobb és kisebb verziófrissítések esetén kapcsolódjon be.

    CVE-azonosító

    CVE-2014-4354: Maneet Singh, Sean Bluestein

  • Certificate Trust Policy

    A következőkhöz érhető el: iPhone 4s és újabb, 5. generációs iPod touch és újabb, iPad 2 és újabb

    Érintett terület: A tanúsítvány megbízhatósági irányelveinek frissítése.

    Leírás: Frissítve lettek a tanúsítvány megbízhatósági irányelvei. A tanúsítványok teljes listája a következő weboldalon tekinthető meg: https://support.apple.com/HT5012.

  • CoreGraphics

    A következőkhöz érhető el: iPhone 4s és újabb, iPod touch (5. generáció) és újabb, iPad 2 és újabb

    Érintett terület: A rosszindulatú célból létrehozott PDF-fájlok megnyitása váratlan alkalmazásleállást vagy tetszőleges kódvégrehajtást okozhatott.

    Leírás: Egészszám-túlcsordulási probléma fordult elő a PDF-fájlok kezelésekor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2014-4377: Felipe Andres Manzano (Binamuse VRT) az iSIGHT Partners GVP Program keretében

  • CoreGraphics

    A következőkhöz érhető el: iPhone 4s és újabb, iPod touch (5. generáció) és újabb, iPad 2 és újabb

    Érintett terület: Előfordulhatott, hogy az ártó szándékkal létrehozott PDF-fájlok megnyitása váratlan alkalmazásleálláshoz vagy információ-közzétételhez vezetett.

    Leírás: Határértéken kívüli memóriaolvasási hiba lépett fel a PDF-fájlok kezelésekor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2014-4378: Felipe Andres Manzano (Binamuse VRT) az iSIGHT Partners GVP Program keretében

  • Data Detectors

    A következőkhöz érhető el: iPhone 4s és újabb, 5. generációs iPod touch és újabb, iPad 2 és újabb

    Érintett terület: A Mailben egy FaceTime-hivatkozásra koppintva rákérdezés nélkül elindult egy FaceTime-hívás.

    Leírás: A Mail nem kérdezett rá a felhasználónál a facetime-audio:// kezdetű URL-címek megnyitására. A problémát egy megerősítésre felszólító üzenet hozzáadásával küszöbölték ki.

    CVE-azonosító

    CVE-2013-6835: Guillaume Ross

  • Foundation

    A következőkhöz érhető el: iPhone 4s és újabb, 5. generációs iPod touch és újabb, iPad 2 és újabb

    Érintett terület: Az adatok közzététele érdekében vissza lehetett élni egy NSXMLParsert használó alkalmazással.

    Leírás: Egy külső XML-entitással kapcsolatos hiba fordult elő az NSXMLParser általi XML-kezelésben. A problémát azzal küszöböltük ki, hogy letiltottuk a külső entitások betöltését az eredeti elemek esetén.

    CVE-azonosító

    CVE-2014-4374: George Gal (VSR, http://www.vsecurity.com/)

  • Home & Lock Screen

    A következőkhöz érhető el: iPhone 4s és újabb, 5. generációs iPod touch és újabb, iPad 2 és újabb

    Érintett terület: A háttérben futó alkalmazások megállapíthatták, hogy melyik alkalmazás fut legelöl.

    Leírás: A legelöl futó alkalmazást meghatározó privát API nem rendelkezett elegendő hozzáférés-kezeléssel. A problémát a hozzáférés-kezelés javítása révén küszöböltük ki.

    CVE-azonosító

    CVE-2014-4361: Andreas Kurtz (NESO Security Labs) és Markus Troßbach (Heilbronni Egyetem)

  • iMessage

    A következőkhöz érhető el: iPhone 4s és újabb, 5. generációs iPod touch és újabb, iPad 2 és újabb

    Érintett terület: Egyes mellékletek megmaradhattak a föléjük rendelt iMessage vagy MMS törlése után is.

    Leírás: Versenyhelyzet merült fel a mellékletek törlése során. A problémát azzal küszöböltük ki, hogy további ellenőrzéseket vezettünk be a mellékletek törölt állapotára vonatkozólag.

    CVE-azonosító

    CVE-2014-4353: Silviu Schiau

  • IOAcceleratorFamily

    A következőkhöz érhető el: iPhone 4s és újabb, 5. generációs iPod touch és újabb, iPad 2 és újabbÉrintett terület: Egyes alkalmazások váratlan rendszerleálláshoz vezethettek.Leírás: Egy nullmutató-dereferencia merült fel az IOAcceleratorFamily API argumentumainak kezelésekor. A problémát az IOAcceleratorFamily API argumentumainak jobb ellenőrzésével hárították el.CVE-azonosítóCVE-2014-4369: Sarah aka winocm és Cererdlong (Alibaba Mobile Security Team)

    Impact: An application may cause an unexpected system termination

    Description: A null pointer dereference existed in the handling of IOAcceleratorFamily API arguments. This issue was addressed through improved validation of IOAcceleratorFamily API arguments.

    CVE-ID

    CVE-2014-4369 : Sarah aka winocm and Cererdlong of Alibaba Mobile Security Team

    • Entry updated February 3, 2020

  • IOAcceleratorFamily

    A következőkhöz érhető el: iPhone 4s és újabb, 5. generációs iPod touch és újabb, iPad 2 és újabb

    Érintett terület: Egy eszköz váratlanul újraindulhatott.

    Leírás: Egy nullmutató-dereferencia merült fel az IntelAccelerator illesztőprogramban. Hatékonyabb hibakezeléssel küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2014-4373: cunzhang (Adlab of Venustech)

  • IOHIDFamily

    A következőhöz érhető el: iPhone 4s és újabb, 5. generációs iPod touch és újabb, iPad 2 és újabb

    Érintett terület: Egy ártó szándékkal létrehozott alkalmazás kernelmutatókat olvashatott be, amivel megkerülhette a kernel-címtartomány elrendezésének randomizálását.

    Leírás: Határértéken kívüli olvasási hiba merült fel az IOHIDFamily függvényben. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2014-4379: Ian Beer (Google Project Zero)

  • IOHIDFamily

    A következőkhöz érhető el: iPhone 4s és újabb, 5. generációs iPod touch és újabb, iPad 2 és újabb

    Érintett terület: Előfordulhatott, hogy a rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani rendszerszintű jogosultságokkal.

    Leírás: Az IOHIDFamily billentyű-hozzárendelési tulajdonságaiban halompuffer-túlcsordulás merült fel. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2014-4404: Ian Beer (Google Project Zero)

  • IOHIDFamily

    A következőkhöz érhető el: iPhone 4s és újabb, 5. generációs iPod touch és újabb, iPad 2 és újabb

    Érintett terület: Előfordulhatott, hogy a rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani rendszerszintű jogosultságokkal.

    Leírás: Nullmutató-dereferencia merült fel a billentyű-hozzárendelési tulajdonságok az IOHIDFamily általi kezelésekor. A problémát azzal küszöböltük ki, hogy javítottuk az IOHIDFamily billentyű-hozzárendelések ellenőrzését.

    CVE-azonosító

    CVE-2014-4405: Ian Beer (Google Project Zero)

  • IOHIDFamily

    A következőkhöz érhető el: iPhone 4s és újabb, 5. generációs iPod touch és újabb, iPad 2 és újabb

    Érintett terület: Előfordulhatott, hogy a rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultságokkal.

    Leírás: Az IOHIDFamily kernelbővítményben határértéken kívüli írási hiba merült fel. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2014-4380: cunzhang (Adlab of Venustech)

  • IOKit

    A következőkhöz érhető el: iPhone 4s és újabb, 5. generációs iPod touch és újabb, iPad 2 és újabb

    Érintett terület: Előfordulhatott, hogy a rosszindulatú alkalmazások nem inicializált adatokat olvashattak a kernelmemóriából.

    Leírás: Az IOKit-függvények kezelésében hiba merült fel a nem inicializált memória-hozzáféréssel kapcsolatban. A problémát hatékonyabb memóriainicializálással hárították el.

    CVE-azonosító

    CVE-2014-4407: @PanguTeam

  • IOKit

    A következőkhöz érhető el: iPhone 4s és újabb, 5. generációs iPod touch és újabb, iPad 2 és újabb

    Érintett terület: Előfordulhatott, hogy a rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani rendszerszintű jogosultságokkal.

    Leírás: Az IODataQueue-objektumok egyes metaadatmezőinek kezelése során érvényesítési hiba merült fel. A metaadatok ellenőrzésének javítása révén szüntettük meg a problémát.

    CVE-azonosító

    CVE-2014-4418: Ian Beer (Google Project Zero)

  • IOKit

    A következőkhöz érhető el: iPhone 4s és újabb, 5. generációs iPod touch és újabb, iPad 2 és újabb

    Érintett terület: Előfordulhatott, hogy a rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani rendszerszintű jogosultságokkal.

    Leírás: Az IODataQueue-objektumok egyes metaadatmezőinek kezelése során érvényesítési hiba merült fel. A metaadatok ellenőrzésének javítása révén szüntettük meg a problémát.

    CVE-azonosító

    CVE-2014-4388: @PanguTeam

  • IOKit

    A következőkhöz érhető el: iPhone 4s és újabb, 5. generációs iPod touch és újabb, iPad 2 és újabb

    Érintett terület: Előfordulhatott, hogy a rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani rendszerszintű jogosultságokkal.

    Leírás: Az IOKit-függvények kezelése során egészszám-túlcsordulás merült fel. Az IOKit API-argumentumok további ellenőrzésével küszöbölték ki a hibát.

    CVE-azonosító

    CVE-2014-4389: Ian Beer (Google Project Zero)

  • Kernel

    A következőkhöz érhető el: iPhone 4s és újabb, 5. generációs iPod touch és újabb, iPad 2 és újabb

    Érintett terület: Előfordulhatott, hogy egy helyi felhasználó megállapíthatta a kernelmemória elrendezését.

    Leírás: A hálózati statisztikai illesztőben a nem inicializált memóriával kapcsolatosan több hiba merült fel, ami a kernelmemória tartalmának felfedéséhez vezetett. A problémát a memória inicializálásának javítása révén küszöböltük ki.

    CVE-azonosító

    CVE-2014-4371: Fermin J. Serna (a Google biztonsági csapata)

    CVE-2014-4419: Fermin J. Serna (a Google biztonsági csapata)

    CVE-2014-4420: Fermin J. Serna (a Google biztonsági csapata)

    CVE-2014-4421: Fermin J. Serna (a Google biztonsági csapata)

  • Kernel

    A következőhöz érhető el: iPhone 4s és újabb, 5. generációs iPod touch és újabb, iPad 2 és újabb

    Érintett terület: Egy kiemelt hálózati pozícióval rendelkező személy szolgáltatásmegtagadást okozhatott.

    Leírás: Versenyhelyzet merülhetett fel az IPv6-csomagok kezelésekor. A zárolt állapot hatékonyabb ellenőrzésével küszöböltük ki a problémát.

    CVE-azonosító

    CVE-2011-2391: Marc Heuse

  • Kernel

    A következőkhöz érhető el: iPhone 4s és újabb, 5. generációs iPod touch és újabb, iPad 2 és újabb

    Érintett terület: Előfordulhatott, hogy egy helyi felhasználó nem várt rendszerleállást vagy tetszőleges programkód futtatását okozhatta a kernelben.

    Leírás: A Mach-portok kezelése során dupla memóriafelszabadítási hiba merült fel. A problémát a Mach-portok érvényességének javított ellenőrzésével szüntettük meg.

    CVE-azonosító

    CVE-2014-4375: anonim kutató

  • Kernel

    A következőkhöz érhető el: iPhone 4s és újabb, 5. generációs iPod touch és újabb, iPad 2 és újabb

    Érintett terület: Előfordulhatott, hogy egy helyi felhasználó nem várt rendszerleállást vagy tetszőleges programkód futtatását okozhatta a kernelben.

    Leírás: Az rt_setgate során határértéken kívüli olvasási hiba merült fel. A hiba időnként a memória tartalmának közzétételéhez vagy memóriasérüléshez vezetett. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2014-4408

  • Kernel

    A következőkhöz érhető el: iPhone 4s és újabb, 5. generációs iPod touch és újabb, iPad 2 és újabb

    Érintett terület: Előfordulhatott, hogy egyes kernelbiztonságot fokozó intézkedések megkerülhetők voltak.

    Leírás: A kernelbiztonságot fokozó intézkedésekben a rendszerindítási folyamat elején használt véletlenszám-generátor kriptográfiai szempontból nem volt biztonságos. A kimenet egy részét ki lehetett nyerni a felhasználótérből, ami lehetővé tette a korlátozási óvintézkedések megkerülését. A problémát egy biztonságos titkosítású algoritmus használatával küszöböltük ki.

    CVE-azonosító

    CVE-2014-4422: Tarjei Mandt (Azimuth Security)

  • Libnotify

    A következőkhöz érhető el: iPhone 4s és újabb, 5. generációs iPod touch és újabb, iPad 2 és újabb

    Érintett terület: Előfordulhatott, hogy a rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani gyökérszintű felhasználói jogosultságokkal.

    Leírás: A Libnotifyban határértéken kívüli írási hiba merült fel. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2014-4381: Ian Beer (Google Project Zero)

  • Lockdown

    A következőkhöz érhető el: iPhone 4s és újabb, 5. generációs iPod touch és újabb, iPad 2 és újabb

    Érintett terület: Az eszköznél elérhető volt, hogy helytelenül megjelenítse a főképernyőt, ha az eszköz aktiválási zárolás alatt állt.

    Leírás: Hiba merült fel a zárolásfeloldási működésben, ami miatt az eszköz akkor is továbblépett a főképernyőre, ha még aktiválási zárolási állapotban volt. A problémát a készülék által a zárolás feloldására irányuló kérés során ellenőrzött információk módosításával küszöböltük ki.

    CVE-azonosító

    CVE-2014-1360

  • Mail

    A következőkhöz érhető el: iPhone 4s és újabb, 5. generációs iPod touch és újabb, iPad 2 és újabb

    Érintett terület: A bejelentkezési hitelesítő adatokat egyszerű szövegként lehetett elküldeni még akkor is, ha a szerver közzétette a LOGINDISABLED IMAP képességét.

    Leírás: A Mail a LOGIN parancsot küldte a szervereknek még akkor is, ha közzétették a LOGINDISABLED IMAP képességüket. A hiba leginkább olyan szerverekhez való kapcsolódáskor jelent problémát, amelyek nem titkosított kapcsolatok elfogadására vannak konfigurálva, és a LOGINDISABLED funkciót határozták meg. A problémát a LOGINDISABLED IMAP funkció figyelembevételével küszöböltük ki.

    CVE-azonosító

    CVE-2014-4366: Mark Crispin

  • Mail

    A következőhöz érhető el: iPhone 4s és újabb, 5. generációs iPod touch és újabb, iPad 2 és újabb

    Érintett terület: Egy iOS-eszközhöz fizikai hozzáféréssel rendelkező személy elolvashatta az e-mailek mellékleteit.

    Leírás: A Mail által az e-mailek mellékleteire alkalmazott adatvédelemben egy logikai hiba merült fel. Azáltal hárítottuk el a problémát, hogy az e-mail-mellékleteknek megfelelően állítottuk be az adatvédelmi osztályt.

    CVE-azonosító

    CVE-2014-1348: Andreas Kurtz (NESO Security Labs)

  • Profiles

    A következőkhöz érhető el: iPhone 4s és újabb, 5. generációs iPod touch és újabb, iPad 2 és újabb

    Érintett terület: A Hangtárcsázás váratlanul engedélyezve lett az iOS frissítése után.

    Leírás: A Hangtárcsázás automatikusan engedélyezve lett az iOS frissítése után. Hatékonyabb állapotkezeléssel küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2014-4367: Sven Heinemann

  • Safari

    A következőkhöz érhető el: iPhone 4s és újabb, 5. generációs iPod touch és újabb, iPad 2 és újabb

    Érintett terület: A felhasználó hitelesítő adatai az automatikus kitöltés egy nem kívánt állapota miatt felfedhetők voltak.

    Leírás: A Safari a felhasználóneveket és jelszavakat egy, a főkerettől eltérő tartományból származó alkeretben is kitölthette. Ezt a problémát az eredetek nyomon követésének javítása révén küszöböltük ki.

    CVE-azonosító

    CVE-2013-5227: Niklas Malmgren (Klarna AB)

  • Safari

    A következőhöz érhető el: iPhone 4s és újabb, 5. generációs iPod touch és újabb, iPad 2 és újabb

    Érintett terület: Egy kiemelt hálózati pozícióval rendelkező támadó lehallgathatta a felhasználói hitelesítő adatokat.

    Leírás: A mentett jelszavak automatikusan ki lettek töltve a HTTP-webhelyeken, a sérült megbízhatóságú HTTPS-webhelyeken és iframe-eken belül. A probléma megoldása érdekében az érvényes tanúsítványláncokkal rendelkező HTTPS-webhelyek központi keretére korlátozták a jelszavak automatikus kitöltését.

    CVE-azonosító

    CVE-2014-4363: David Silver, Suman Jana és Dan Boneh (Stanford Egyetem), Eric Chen és Collin Jackson (Carnegie Mellon Egyetem) közreműködésével

  • Safari

    A következőhöz érhető el: iPhone 4s és újabb, 5. generációs iPod touch és újabb, iPad 2 és újabb

    Érintett terület: Egy kiemelt hálózati pozícióval rendelkező támadó meghamisíthatta a Safari URL-címeit.

    Leírás: A felhasználói felület következetlen működése merült fel az MDM-be regisztrált eszközök Safarijában. A problémát a felhasználói felület konzisztenciájának hatékonyabb ellenőrzésével küszöbölték ki.

    CVE-azonosító

    CVE-2014-8841: Angelo Prado (Salesforce Product Security)

  • Sandbox Profiles

    A következőkhöz érhető el: iPhone 4s és újabb, 5. generációs iPod touch és újabb, iPad 2 és újabb

    Érintett terület: Az Apple ID adatait külső gyártók alkalmazásai is elérték.

    Leírás: A külső gyártók alkalmazásainak sandboxában egy információ-közzétételi hiba merült fel. A külső gyártók sandbox-profiljának javításával küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2014-4362: Andreas Kurtz (NESO Security Labs) és Markus Troßbach (Heilbronni Egyetem)

  • Settings

    A következőkhöz érhető el: iPhone 4s és újabb, 5. generációs iPod touch és újabb, iPad 2 és újabb

    Érintett terület: A szöveges üzenetek előnézetei akkor is megjelenhettek a zárolt képernyőn, ha ez a funkció le volt tiltva.

    Leírás: Hiba merült fel a szöveges üzenetek értesítéseinek a zárolt képernyőn történő előnézetében. Ennek eredményeképpen a fogadott üzenetek tartalma a zárolt képernyőn megjelent akkor is, ha az előnézet le volt tiltva a Beállításokban. A problémát a beállítás hatékonyabb figyelésével küszöböltük ki.

    CVE-azonosító

    CVE-2014-4356: Mattia Schirinzi (San Pietro Vernotico [BR], Olaszország)

  • syslog

    A következőkhöz érhető el: iPhone 4s és újabb, 5. generációs iPod touch és újabb, iPad 2 és újabb

    Érintett terület: Előfordulhatott, hogy egy helyi felhasználó tetszőleges fájlok engedélyeit módosíthatta.

    Leírás: A syslogd követte a szimbolikus hivatkozásokat a fájlok engedélyeinek módosításakor. A problémát a szimbolikus hivatkozások kezelésének javítása révén küszöbölték ki.

    CVE-azonosító

    CVE-2014-4372: Tielei Wang és YeongJin Jang (Georgia Tech Information Security Center [GTISC])

  • Weather

    A következőkhöz érhető el: iPhone 4s és újabb, 5. generációs iPod touch és újabb, iPad 2 és újabb

    Érintett terület: A helyadatok titkosítás nélkül lettek elküldve.

    Leírás: A helyi időjárás-előrejelzés megállapításához használt API-ban információ-közzétételi hiba merült fel. A problémát az API-k módosításával hárították el.

  • WebKit

    A következőkhöz érhető el: iPhone 4s és újabb, 5. generációs iPod touch és újabb, iPad 2 és újabb

    Érintett terület: Egy ártó szándékkal készített webhely akkor is nyomon követhette a felhasználókat, ha a privát böngészés engedélyezve volt.

    Leírás: Egy webes alkalmazás HTML 5-alkalmazásgyorsítótárazási adatokat tárolhatott a normál böngészés során, majd ezeket az adatokat a privát böngészés során is beolvashatta. Azzal hárítottuk el a problémát, hogy letiltottuk az alkalmazások gyorsítótárának elérését a privát böngészési mód használatakor.

    CVE-azonosító

    CVE-2014-4409: Yosuke Hasegawa (NetAgent Co., Led.)

  • WebKit

    A következőkhöz érhető el: iPhone 4s és újabb, iPod touch (5. generáció) és újabb, iPad 2 és újabb

    Érintett terület: A rosszindulatú célból létrehozott webhelyek megtekintése váratlan alkalmazásleállást vagy tetszőleges kódvégrehajtást okozhatott.

    Leírás: A WebKit motor több, memóriasérüléssel kapcsolatos problémát tartalmazott. Hatékonyabb memóriakezeléssel küszöböltük ki a problémákat.

    CVE-azonosító

    CVE-2013-6663: Atte Kettunen (OUSPG)

    CVE-2014-1384: Apple

    CVE-2014-1385: Apple

    CVE-2014-1387: Google Chrome Security Team

    CVE-2014-1388: Apple

    CVE-2014-1389: Apple

    CVE-2014-4410: Eric Seidel (Google)

    CVE-2014-4411: Google Chrome Security Team

    CVE-2014-4412: Apple

    CVE-2014-4413: Apple

    CVE-2014-4414: Apple

    CVE-2014-4415: Apple

  • Wi-Fi

    A következőkhöz érhető el: iPhone 4s és újabb, 5. generációs iPod touch és újabb, iPad 2 és újabb

    Érintett terület: Az eszközt passzív módon nyomon lehetett követni a Wi-Fi-hez használt MAC-címe alapján.

    Leírás: Egy információ-közzétételi hiba merült fel amiatt, hogy állandó MAC-cím volt használatban a Wi-Fi-hálózatok keresésekor. A problémát azzal küszöböltük ki, hogy véletlenszerűvé tettük a MAC-címet a passzív Wi-Fi-keresés során.

Megjegyzés:

Az iOS 8 rendszerben módosult néhány diagnosztikai funkció. A következő cikkben olvashat erről bővebben: https://support.apple.com/HT6331

Az iOS 8 most már engedélyezi, hogy a korábban megbízhatónak jelölt összes számítógépet megbízhatatlannak jelölje meg a felhasználó. A következő cikkben található a kapcsolódó útmutató: https://support.apple.com/HT5868

A FaceTime nem minden országban és térségben érhető el.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: