Az iOS 8 biztonsági tartalma

Ez a dokumentum az iOS 8 biztonsági tartalmát ismerteti.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról Az Apple termékbiztonsági PGP-kulcs használata című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről Az Apple biztonsági frissítései című cikkből tájékozódhat.

iOS 8

  • 802.1X

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A támadók meg tudták szerezni a Wi-Fi hálózat hitelesítési adatait.

    Leírás: A támadók meg tudták szerezni a Wi-Fi hozzáférési pont adatait, a LEAP segítségével tudtak hitelesítést végezni, fel tudták törni az MS-CHAPv1 kivonatot, és a megszerzett hitelesítő adatok segítségével hitelesíteni tudták az adott hozzáférési pontot akkor is, ha az erősebb hitelesítési módszereket támogatott. A problémát a LEAP alapértelmezés szerinti letiltásával küszöbölték ki.

    CVE-azonosító

    CVE-2014-4364 : Pieter Robyns, Bram Bonne, Peter Quax és Wim Lamotte (Universiteit Hasselt)

  • Fiókok

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A rosszindulatú alkalmazások be tudták azonosítani a felhasználó Apple ID azonosítóját.

    Leírás: Egy hiba állt fenn a fiókok hozzáférés-vezérlési logikai rendszerében. A sandboxban lévő alkalmazások információkat tudtak szerezni az éppen aktív iCloud-fiókról, ideértve a fiók nevét is. A problémát azzal küszöbölték ki, hogy bizonyos fióktípusokra korlátozták a hozzáférést a jogosulatlan alkalmazásokból.

    CVE-azonosító

    CVE-2014-4423 : Adam Weaver

  • Kisegítő lehetőségek

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A készülék nem mindig zárolta a képernyőt az AssistiveTouch használata esetén.

    Leírás: Egy logikai hiba állt fenn az események AssistiveTouch általi kezelésekor, ami miatt nem zárolódott a képernyő. A problémát azzal küszöbölték ki, hogy javították a zárolási időzítő kezelését.

    CVE-azonosító

    CVE-2014-4368 : Hendrik Bettermann

  • Fiókkezelő keretrendszer

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Egy iOS-készülékhez hozzáféréssel rendelkező személy meg tudta szerezni a bizalmas felhasználói adatokat a naplókból.

    Leírás: Naplózásra kerültek a felhasználó bizalmas adatai. A problémát kevesebb adat naplózásával küszöbölték ki.

    CVE-azonosító

    CVE-2014-4357 : Heli Myllykoski (OP-Pohjola Group)

  • Címtár

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Egy iOS-készülékhez fizikai hozzáféréssel rendelkező személy olvasni tudta a címtárat.

    Leírás: A rendszer olyan kulccsal titkosította a címtárt, amelyet csak a hardveres UID védett. A problémát azzal küszöbölték ki, hogy titkosították a címtárat a hardver UID által védett kulccsal és a felhasználó jelkódjával.

    CVE-azonosító

    CVE-2014-4352 : Jonathan Zdziarski

  • Alkalmazástelepítés

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A helyi támadók magasabb jogosultságokat tudtak szerezni, és nem ellenőrzött alkalmazásokat tudtak telepíteni.

    Leírás: Versenyhelyzeti probléma állt fenn az alkalmazástelepítéssel összefüggésben. A /tmp-hez írási jogosultsággal rendelkező támadó telepíteni tudott nem ellenőrzött alkalmazásokat. A problémát annak beállításával küszöbölték ki, hogy a rendszer egy másik könyvtárba másolja a telepítendő fájlokat.

    CVE-azonosító

    CVE-2014-4386 : evad3rs

  • Alkalmazástelepítés

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A helyi támadók magasabb jogosultságokat tudtak szerezni, és nem ellenőrzött alkalmazásokat tudtak telepíteni.

    Leírás: Egy útvonalátjárással kapcsolatos hiba állt fenn az alkalmazástelepítés során. A helyi támadók át tudták irányítani a kódaláírás hitelesítését a telepítés alatt álló csomagtól eltérő csomagra, és végre tudták hajtani egy nem ellenőrzött alkalmazás telepítését. A problémát annak beállításával küszöbölték ki, hogy a rendszer észlelje és megakadályozza az útvonalátjárást annak meghatározásakor, hogy melyik kódaláírás ellenőrzésére van szükség.

    CVE-azonosító

    CVE-2014-4384 : evad3rs

  • Eszközök

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A magas hálózati jogosultságú támadók el tudták érni, hogy az iOS-készülék naprakésznek minősítse magát akkor is, amikor nem volt az.

    Leírás: Hitelesítési hiba lépett fel a frissítésellenőrzési válaszok kezelésekor. A Last-Modified válaszfejlécekből származó hamisított dátumokat jövőbeni dátumokra tudták beállítani, és az If-Modified-Since típusú ellenőrzésekre használták a későbbi frissítési kérelmekben. A problémát a Last-Modified fejléc hitelesítésével hárították el.

    CVE-azonosító

    CVE-2014-4383 : Raul Siles (DinoSec)

  • Bluetooth

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A Bluetooth alapértelmezés szerint váratlanul aktiválódott az iOS frissítése után.

    Leírás: A Bluetooth automatikusan aktiválódott az iOS frissítése után. A problémát annak beállításával küszöbölték ki, hogy a Bluetooth csak a nagyobb és kisebb verziófrissítések esetén kapcsolódjon be.

    CVE-azonosító

    CVE-2014-4354 : Maneet Singh, Sean Bluestein

  • Megbízható tanúsítványok házirendje

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A megbízható tanúsítványok házirendjének frissítése

    Leírás: Frissült a megbízható tanúsítványok házirendje. A tanúsítványok teljes listája a következő weboldalon tekinthető meg: https://support.apple.com/hu-hu/HT204132.

  • CoreGraphics

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott PDF-fájlok megnyitása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: Egészszám-túlcsordulási probléma lépett fel a PDF-fájlok kezelésekor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2014-4377 : Felipe Andres Manzano (Binamuse VRT) az iSIGHT Partners GVP Program keretében

  • CoreGraphics

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott PDF-fájlok megnyitása váratlan alkalmazásleálláshoz vagy információ-közzétételhez vezetett.

    Leírás: Határértéket túllépő memóriaolvasási probléma lépett fel a PDF-fájlok kezelésekor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2014-4378 : Felipe Andres Manzano (Binamuse VRT) az iSIGHT Partners GVP Program keretében

  • Adatészlelők

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A Mailben egy FaceTime-hivatkozásra koppintva a rendszer felszólítás nélkül FaceTime-hanghívást kezdeményezett.

    Leírás: A Mail nem értesítette a felhasználót a facetime-audio:// URL-címek megnyitása előtt. A problémát egy megerősítésre felszólító üzenet hozzáadásával küszöbölték ki.

    CVE-azonosító

    CVE-2013-6835 : Guillaume Ross

  • Foundation

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Az NSXMLParser elemzőt használó alkalmazásokat fel lehetett használni az információk közzétételére.

    Leírás: Egy XML entitásfeldolgozási probléma lépett fel az XML NSXMLParser általi kezelésekor. A problémát azzal küszöbölték ki, hogy letiltották a külső entitások betöltését az eredeti elemek esetén.

    CVE-azonosító

    CVE-2014-4374 : George Gal (VSR, http://www.vsecurity.com/)

  • Főképernyő és zárolt képernyő

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: Egy háttérben lévő alkalmazás meg tudta határozni, hogy melyik alkalmazás van az előtérben.

    Leírás: Az előtérben lévő alkalmazás meghatározására használt magán API nem rendelkezett megfelelő hozzáférés-vezérléssel. A problémát a hozzáférés-kezelés javítása révén küszöbölték ki.

    CVE-azonosító

    CVE-2014-4361 : Andreas Kurtz (NESO Security Labs) és Markus Troßbach (Heilbronni Egyetem)

  • iMessage

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: A mellékletek megmaradtak a szülő iMessage vagy MMS törlése után is.

    Leírás: Versenyhelyzeti probléma állt fenn a mellékletek törlési módjával összefüggésben. A problémát azzal küszöbölték ki, hogy további ellenőrzéseket vezettek be a mellékletek törölt állapotára vonatkozólag.

    CVE-azonosító

    CVE-2014-4353 : Silviu Schiau

  • IOAcceleratorFamily

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak kiváltani.

    Leírás: Címke nélküli mutatófeloldási hiba lépett fel az IOAcceleratorFamily API-argumentumok kezelésekor. Az IOAcceleratorFamily API-argumentumok további hitelesítésével küszöbölték ki a hibát.

    CVE-azonosító

    CVE-2014-4369 : Catherine (más néven winocm) és Cererdlong (Alibaba Mobile Security Team)

  • IOAcceleratorFamily

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A készülék váratlanul újraindult.

    Leírás: Címke nélküli mutató-feloldási hiba állt fenn az IntelAccelerator illesztőprogramban. Hatékonyabb hibakezeléssel küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2014-4373 : cunzhang (Adlab of Venustech)

  • IOHIDFamily

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A rosszindulatú alkalmazások olvasni tudták a kernelmutatókat, aminek következtében meg tudták kerülni az ASLR-t (Address Space Layout Randomization) a kernel esetén.

    Leírás: Határérték-olvasási hiba állt fenn az egyik IOHIDFamily függvény kezelésekor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2014-4379 : Ian Beer (Google Project Zero)

  • IOHIDFamily

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Puffertúlcsordulást okozó probléma lépett fel a billentyű-hozzárendelések IOHIDFamily általi kezelésekor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2014-4404 : Ian Beer (Google Project Zero)

  • IOHIDFamily

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Címke nélküli mutató-feloldási hiba állt fenn a billentyű-hozzárendelések IOHIDFamily általi kezelésével összefüggésben. A problémát azzal küszöbölték ki, hogy javították az IOHIDFamily billentyű-hozzárendelések hitelesítését.

    CVE-azonosító

    CVE-2014-4405 : Ian Beer (Google Project Zero)

  • IOHIDFamily

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Határérték-írási hiba állt fenn az IOHIDFamily kernelbővítményben. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2014-4380 : cunzhang (Adlab of Venustech)

  • IOKit

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A rosszindulatú alkalmazások nem inicializált adatokat tudtak olvasni a kernelmemóriából.

    Leírás: Az IOKit függvények kezelésében nem inicializált memória-hozzáféréssel kapcsolatos probléma állt fenn. Hatékonyabb memória-inicializálással küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2014-4407 : @PanguTeam

  • IOKit

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Hitelesítési hiba lépett fel az IODataQueue-objektumok bizonyos metaadatmezőinek kezelésekor. A problémát a metaadatok hitelesítésének javítása révén szüntették meg.

    CVE-azonosító

    CVE-2014-4418 : Ian Beer (Google Project Zero)

  • IOKit

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Hitelesítési hiba lépett fel az IODataQueue-objektumok bizonyos metaadatmezőinek kezelésekor. A problémát a metaadatok hitelesítésének javítása révén szüntették meg.

    CVE-azonosító

    CVE-2014-4388 : @PanguTeam

  • IOKit

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Egészszám-túlcsordulási probléma lépett fel az IOKit függvények kezelésekor. Az IOKit API-argumentumok további hitelesítésével küszöbölték ki a hibát.

    CVE-azonosító

    CVE-2014-4389 : Ian Beer (Google Project Zero)

  • Kernel

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A helyi felhasználók meg tudták határozni a kernelmemória felépítését

    Leírás: Több, nem inicializált memóriával kapcsolatos probléma állt fenn a hálózati statisztikai interfészben, ami a kernelmemória tartalmának közzétételéhez vezetett. A problémát a memória inicializálásának javítása révén küszöbölték ki.

    CVE-azonosító

    CVE-2014-4371 : Fermin J. Serna (a Google biztonsági csapatának tagja)

    CVE-2014-4419 : Fermin J. Serna (a Google biztonsági csapatának tagja)

    CVE-2014-4420 : Fermin J. Serna (a Google biztonsági csapatának tagja)

    CVE-2014-4421 : Fermin J. Serna (a Google biztonsági csapatának tagja)

  • Kernel

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A magas hálózati jogosultságú támadók szolgáltatásmegtagadást tudtak előidézni.

    Leírás: Versenyhelyzeti probléma állt fenn az IPv6 csomagok kezelésével összefüggésben. A zárolt állapot hatékonyabb ellenőrzésével küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2011-2391 : Marc Heuse

  • Kernel

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A helyi felhasználók rendszerleállást tudtak előidézni, illetve tetszőleges kódot tudtak végrehajtani a kernelben.

    Leírás: Kétszeres felszabadítást előidéző hiba állt fenn a Mach-portok kezelésében. A problémát a Mach-portok érvényességének javított ellenőrzésével szüntették meg.

    CVE-azonosító

    CVE-2014-4375: névtelen kutató

  • Kernel

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A helyi felhasználók rendszerleállást tudtak előidézni, illetve tetszőleges kódot tudtak végrehajtani a kernelben.

    Leírás: Határérték-olvasási hiba állt fenn az rt_setgate esetén. A hiba a memória tartalmának közzétételéhez vagy memóriasérüléshez vezethetett. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2014-4408

  • Kernel

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A kernelre vonatkozó néhány korlátozási óvintézkedést meg lehetett kerülni.

    Leírás: Titkosítási szempontból nem volt biztonságos a véletlenszám-generáló, amelyet a rendszer a kernelre vonatkozó korlátozási óvintézkedésekhez használt az indítási folyamat korai szakaszában. A kimenet egy részét ki lehetett nyerni a felhasználótérből, ami lehetővé tette a korlátozási óvintézkedések megkerülését. A problémát egy biztonságos titkosítású algoritmus használatával küszöbölték ki.

    CVE-azonosító

    CVE-2014-4422 : Tarjei Mandt (Azimuth Security)

  • Libnotify

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A gyökérszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Határérték-írási hiba állt fenn a Libnotify esetén. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2014-4381 : Ian Beer (Google Project Zero)

  • Zárolás

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A készülékeket meg lehetett téveszteni, aminek következtében helytelenül a főképernyőt jelenítették meg, amikor az aktiválási zár be volt kapcsolva.

    Leírás: Egy hiba állt fenn a zárolás feloldása esetén, amely miatt a készülék a főképernyőt nyitotta meg akkor is, ha aktiválási zárolt állapotban kellett volna lennie. A probléma a készülék által, a zárolás feloldására irányuló kérés során kért információk módosításával küszöbölték ki.

    CVE-azonosító

    CVE-2014-1360

  • Mail

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A bejelentkezési adatok elküldhetők voltak egyszerű szövegként akkor is, ha a kiszolgáló a LOGINDISABLED IMAP funkciót határozta meg.

    Leírás: A Mail a LOGIN parancsot küldte a kiszolgálóknak akkor is, ha a kiszolgálók a LOGINDISABLED IMAP funkciót határozták meg. A hiba leginkább olyan kiszolgálókhoz való kapcsolódáskor jelent problémát, amelyek nem titkosított kapcsolatok elfogadására vannak konfigurálva, és a LOGINDISABLED funkciót határozták meg. A problémát a LOGINDISABLED IMAP funkció figyelembevételével küszöbölték ki.

    CVE-azonosító

    CVE-2014-4366 : Mark Crispin

  • Mail

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Egy iOS-készülékhez fizikai hozzáféréssel rendelkező személy olvasni tudta az e-mailek mellékleteit.

    Leírás: A Mail alkalmazásban az adatvédelmi osztály e-mail mellékleteken való használatával összefüggő logikai probléma állt fenn. Azáltal hárították el a problémát, hogy az e-mail mellékleteknek megfelelően állították be az adatvédelmi osztályt.

    CVE-azonosító

    CVE-2014-1348: Andreas Kurtz (NESO Security Labs)

  • Profilok

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A Hangtárcsázás funkció váratlanul aktiválódott az iOS frissítése után.

    Leírás: A Hangtárcsázás automatikusan aktiválódott az iOS frissítése után. Hatékonyabb állapotkezeléssel küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2014-4367 : Sven Heinemann

  • Safari

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A felhasználói hitelesítő adatok váratlanul nyilvánosságra kerülhettek a webhelyeken az automatikus kitöltés révén.

    Leírás: Előfordult, hogy a Safari automatikusan kitöltötte a felhasználónevet és a jelszót egy olyan alkeretben, amely nem abból a tartományból származott, mint a főkeret. Az eredetek nyomon követésének javításával küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2013-5227 : Niklas Malmgren (Klarna AB)

  • Safari

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A magas hálózati jogosultságú támadók meg tudták szerezni a felhasználói hitelesítési adatokat.

    Leírás: A rendszer automatikusan töltötte ki a mentett jelszavakat a http webhelyeken és a hibás megbízhatósággal rendelkező és iframe formátumot használó https webhelyeken. A probléma megoldása érdekében az érvényes tanúsítványláncokkal rendelkező https webhelyek központi keretére korlátozták a jelszavak automatikus kitöltését.

    CVE-azonosító

    CVE-2014-4363 : David Silver, Suman Jana és Dan Boneh, Stanford Egyetem; együttműködők: Eric Chen és Collin Jackson, Carnegie Mellon Egyetem

  • Safari

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A magas hálózati jogosultságú támadók meg tudták hamisítani az URL-címeket a Safariban.

    Leírás: Inkonzisztens volt a felhasználói felület a Safariban azokon a készülékeken, amelyeken MDM volt aktiválva. A problémát a felhasználói felület konzisztenciájának hatékonyabb ellenőrzésével küszöbölték ki.

    CVE-azonosító

    CVE-2014-8841 : Angelo Prado (Salesforce Product Security)

  • Sandbox-profilok

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A külső gyártók alkalmazásai hozzá tudtak férni az Apple ID adataihoz.

    Leírás: Adat-közzétételi probléma állt fenn a külső gyártó Sandbox alkalmazása esetén. A külső gyártók sandbox-profiljának javításával küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2014-4362 : Andreas Kurtz (NESO Security Labs) és Markus Troßbach (Heilbronni Egyetem)

  • Beállítások

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A szöveges üzenetek előnézete sokszor megjelent a zárolt képernyőn akkor is, ha ez a funkció le volt tiltva.

    Leírás: Probléma állt fenn a szöveges üzenetértesítések zárolt képernyőn való előnézetének megtekintésekor. Ennek eredményeképpen a fogadott üzenetek tartalma a zárolt képernyőn jelent meg akkor is, ha az előnézet le volt tiltva a Beállításokban. A problémát a beállítás hatékonyabb figyelésével küszöbölték ki.

    CVE-azonosító

    CVE-2014-4356 : Mattia Schirinzi (San Pietro Vernotico [BR], Olaszország)

  • syslog

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A helyi felhasználók módosítani tudtak tetszőleges fájlokhoz tartozó jogosultságokat

    Leírás: A syslogd szimbolikus hivatkozásokat követett a fájlokhoz társított jogosultságok módosításakor. A problémát a szimbolikus hivatkozások kezelésének javítása révén küszöbölték ki.

    CVE-azonosító

    CVE-2014-4372 : Tielei Wang és YeongJin Jang (Georgia Tech Information Security Center [GTISC])

  • Időjárás

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb

    Érintett terület: A helyadatokat titkosítás nélkül küldte el a rendszer.

    Leírás: Adat-közzétételi probléma állt fenn a hely időjárás meghatározására használt egyik API-ban. A problémát az API-k módosításával hárították el.

  • WebKit

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A rosszindulatú webhelyek akkor is követni tudták a felhasználókat, amikor a privát böngészés aktiválva volt.

    Leírás: A webalkalmazások HTML 5 alkalmazás-gyorsítótáradatokat tudtak tárolni a normál böngészés során, majd be tudták olvasni az adatokat privát böngészés közben. Azzal hárították el a problémát, hogy letiltották az alkalmazások gyorsítótárának elérését a privát böngészési mód használatakor.

    CVE-azonosító

    CVE-2014-4409 : Yosuke Hasegawa (NetAgent Co., Led.)

  • WebKit

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: A WebKit motor több, memóriasérüléssel kapcsolatos problémát tartalmazott. A memóriakezelés javítása révén küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2013-6663: Atte Kettunen, OUSPG

    CVE-2014-1384 : Apple

    CVE-2014-1385 : Apple

    CVE-2014-1387 : A Google Chrome biztonsági csapata

    CVE-2014-1388 : Apple

    CVE-2014-1389 : Apple

    CVE-2014-4410: Eric Seidel, Google

    CVE-2014-4411: A Google Chrome biztonsági csapata

    CVE-2014-4412: Apple

    CVE-2014-4413: Apple

    CVE-2014-4414: Apple

    CVE-2014-4415: Apple

  • Wi-Fi

    A következő készülékekhez érhető el: iPhone 4s és újabb, 5. generációs és újabb iPod touch, iPad 2 és újabb.

    Érintett terület: A készülékek passzív módon nyomon követhetők voltak a Wi-Fi MAC-címük alapján.

    Leírás: Adat-közzétételi probléma állt fenn, mert a rendszer egy állandó MAC-címet használt a Wi-Fi hálózatok keresésekor. A problémát azzal küszöbölték ki, hogy véletlenszerűvé tették a MAC-címet a passzív Wi-Fi keresés során.

Megjegyzés:

Az iOS 8 rendszerben módosult néhány diagnosztikai funkció. A következő cikkben olvashat erről bővebben: https://support.apple.com/hu-hu/HT203034.

Az iOS 8 most már engedélyezi, hogy a korábban megbízhatónak jelölt összes számítógépet megbízhatatlannak jelölje meg a felhasználó. A következő cikkben található a kapcsolódó útmutató: https://support.apple.com/hu-hu/HT202778.

A FaceTime nem minden országban vagy térségben érhető el.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: