Сведения о проблемах системы безопасности, устраняемых обновлением ОС iOS 8.1.1
В этом документе описаны проблемы системы безопасности, устраненные в ОС iOS 8.1.1.
В целях защиты клиентов компания Apple не разглашает информацию о проблемах в системе безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на веб-сайте Безопасность продуктов Apple.
Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.
Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.
Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.
ОС iOS 8.1.1
CFNetwork
Доступно для iPhone 4s и более новых моделей, iPod touch (5-го поколения) и более новых моделей, iPad 2 и более новых моделей
Воздействие. Кэш веб-сайта может очищаться не полностью после выхода из режима «Частный доступ».
Описание. Существовала проблема, связанная с нарушением конфиденциальности: данные о просмотренных страницах оставались в кэше после выхода из режима «Частный доступ». Эта проблема устранена путем изменения поведения кэширования.
Идентификатор CVE
CVE-2014-4460
dyld
Доступно для iPhone 4s и более новых моделей, iPod touch (5-го поколения) и более новых моделей, iPad 2 и более новых моделей
Воздействие. Локальный пользователь может запустить на выполнение неподписанный код.
Описание. При обработке исполняемых файлов Mach-O с перекрывающимися сегментами возникала проблема управления состоянием. Эта проблема устранена путем усовершенствования проверки размера сегментов.
Идентификатор CVE
CVE-2014-4455: @PanguTeam
Ядро
Доступно для iPhone 4s и более новых моделей, iPod touch (5-го поколения) и более новых моделей, iPad 2 и более новых моделей
Воздействие. Вредоносная программа может выполнять произвольный код с системными привилегиями.
Описание. При обработке определенных полей метаданных в объектах IOSharedDataQueue возникала проблема проверки. Эта проблема устранена путем перемещения метаданных.
Идентификатор CVE
CVE-2014-4461: @PanguTeam
Экран блокировки
Доступно для iPhone 4s и более новых моделей, iPod touch (5-го поколения) и более новых моделей, iPad 2 и более новых моделей
Воздействие. Злоумышленник, завладевший устройством, может превысить максимальное количество неудачных попыток ввода пароля.
Описание. В некоторых случаях ограничение на количество неудачных попыток ввода пароля не применялось. Эта проблема устранена путем добавления дополнительного ограничения для максимального количества попыток.
Идентификатор CVE
CVE-2014-4451: Стюарт Райан (Stuart Ryan) из Технологического университета Сиднея
Экран блокировки
Доступно для iPhone 4s и более новых моделей, iPod touch (5-го поколения) и более новых моделей, iPad 2 и более новых моделей
Воздействие. Человек, имеющий физический доступ к телефону, может просматривать фотографии, хранящиеся в медиатеке фотографий.
Описание. Используя вариант «Оставить сообщение» в FaceTime, можно было просматривать и отправлять фотографии с устройства. Эта проблема устранена путем усовершенствования управления состоянием.
Идентификатор CVE
CVE-2014-4463
Профили Sandbox
Доступно для iPhone 4s и более новых моделей, iPod touch (5-го поколения) и более новых моделей, iPad 2 и более новых моделей
Воздействие. Вредоносная программа может запустить на выполнение на доверенном устройстве произвольный двоичный код.
Описание. В функции отладки для ОС iOS существовала проблема с разрешениями, из-за которой на доверенных устройствах могли запускаться неотлаженные программы. Эта проблема устранена путем изменения изолированной среды на отладочном сервере.
Идентификатор CVE
CVE-2014-4457: @PanguTeam
Spotlight
Доступно для iPhone 4s и более новых моделей, iPod touch (5-го поколения) и более новых моделей, iPad 2 и более новых моделей
Воздействие. В процессе первоначального соединения Spotlight или Safari с серверами, для которых включена функция «Предложения Spotlight», могут собираться ненужные сведения.
Описание. При первоначальном соединении Spotlight или Safari с серверами, для которых включена функция «Предложения Spotlight», собирались сведения о приблизительном местонахождении пользователя, прежде чем он вводил запрос. Эта проблема устранена путем отключения сбора этих сведений при первоначальном соединении, так чтобы определялось приблизительное местонахождение пользователя только после отправки запроса.
Идентификатор CVE
CVE-2014-4453: Ашкан Солтани (Ashkan Soltani)
WebKit
Доступно для iPhone 4s и более новых моделей, iPod touch (5-го поколения) и более новых моделей, iPad 2 и более новых моделей
Воздействие. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода.
Описание. В библиотеке WebKit возникало несколько ошибок, приводящих к повреждению данных в памяти. Проблемы устранены путем улучшенной обработки памяти.
Идентификатор CVE
CVE-2014-4452
CVE-2014-4462
Технология FaceTime доступна не во всех странах и регионах.
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.