Over de beveiligingsinhoud van iOS 8
In dit artikel wordt de beveiligingsinhoud van iOS 8 beschreven.
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.
Raadpleeg Hoe gebruikt je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.
Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.
Raadpleeg Apple beveiligingsupdates
iOS 8
802.1X
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: een aanvaller kan wifi-inloggegevens bemachtigen
Beschrijving: een aanvaller kan zich voordoen als een wifitoegangspunt, aanbieden om zich te verifiëren met LEAP, de MS-CHAPv1-hash breken en de afgeleide inloggegevens gebruiken om zich te verifiëren bij het beoogde toegangspunt, zelfs als dat toegangspunt sterkere verificatiemethoden ondersteunt. Dit probleem is verholpen door LEAP standaard uit te schakelen.
CVE-ID
CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax en Wim Lamotte van Universiteit Hasselt
Accounts
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: een kwaadaardig programma kan mogelijk de Apple ID van de gebruiker identificeren
Beschrijving: er was een probleem met de logica voor toegangscontrole voor account. Een programma in een sandbox kan informatie krijgen over de iCloud-account die momenteel actief is, inclusief de naam van de account. Dit probleem is verholpen door de toegang tot bepaalde accounttypen vanaf onbevoegde programma's te beperken.
CVE-ID
CVE-2014-4423: Adam Weaver
Accessibility
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: het apparaat vergrendelt het scherm mogelijk tijdens het gebruik van AssistiveTouch
Beschrijving: er was een probleem met de logica voor het afhandelen van activiteiten door AssistiveTouch, waardoor het scherm niet werd vergrendeld. Dit probleem is verholpen door een verbeterde verwerking van de timer van de vergrendelfunctie.
CVE-ID
CVE-2014-4368: Hendrik Bettermann
Accounts Framework
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: een aanvaller met toegang tot een iOS-apparaat heeft mogelijk toegang tot gevoelige informatie uit logbestanden
Beschrijving: gevoelige gebruikersgegevens zijn vastgelegd in logboeken. Dit probleem is verholpen door minder gegevens in logbestanden op te nemen.
CVE-ID
CVE-2014-4357: Heli Myllykoski van OP-Pohjola Group
Address Book
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: iemand met fysieke toegang tot een iOS-apparaat kan mogelijk het adresboek lezen
Beschrijving: het adresboek was versleuteld met een sleutel die alleen werd beschermd door de hardware-UID. Dit probleem is verholpen door het adresboek te versleutelen met een sleutel die wordt beschermd door de UID van de hardware en de toegangscode van de gebruiker.
CVE-ID
CVE-2014-4352: Jonathan Zdziarski
App Installation
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: een lokale aanvaller kan mogelijk bevoegdheden verhogen en ongeverifieerde programma's installeren
Beschrijving: er was een racevoorwaarde in Appinstallatie. Een aanvaller die naar /tmp kon schrijven, kon mogelijk een niet-geverifieerde app installeren. Dit probleem is verholpen door de te installeren bestanden in een andere map te plaatsen.
CVE-ID
CVE-2014-4386: evad3rs
App Installation
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: een lokale aanvaller kan mogelijk bevoegdheden verhogen en ongeverifieerde programma's installeren
Beschrijving: er was een probleem met het doorlopen van paden in Appinstallatie. Een lokale aanvaller kon de validatie van de codeondertekening opnieuw gebruiken voor een andere bundel dan de bundel die werd geïnstalleerd en zo een niet-geverifieerde app installeren. Dit probleem is verholpen door 'path traversal' te detecteren en te voorkomen bij het bepalen van de te verifiëren codeondertekening.
CVE-ID
CVE-2014-4384: evad3rs
Assets
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: een aanvaller met een bevoorrechte netwerkpositie kan een iOS-apparaat mogelijk laten denken dat dit is bijgewerkt, ook als het dat niet is
Beschrijving: er was een validatieprobleem bij de verwerking van de reactie op updatecontroles. Vervalste datums in reactieheaders 'Laatst gewijzigd' die werden ingesteld op een datum in de toekomst, werden gebruikt voor 'Indien gewijzigd sinds'-controles in latere updateverzoeken. Dit probleem is verholpen door validatie van de 'Laatst gewijzigd'-header.
CVE-ID
CVE-2014-4383: Raul Siles van DinoSec
Bluetooth
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: Bluetooth wordt onverwacht standaard ingeschakeld na een iOS-upgrade
Beschrijving: Bluetooth werd automatisch ingeschakeld na een iOS-upgrade. Dit probleem is verholpen door Bluetooth enkel voor de updates van grotere of kleinere versies in te schakelen.
CVE-ID
CVE-2014-4354: Maneet Singh, Sean Bluestein
Certificate Trust Policy
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: update van het vertrouwensbeleid voor certificaten
Beschrijving: het vertrouwensbeleid voor certificaten is bijgewerkt. De volledige lijst met certificaten vind je op https://support.apple.com/HT5012.
CoreGraphics
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: het openen van een kwaadwillig vervaardigd PDF-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was sprake van een overloop bij de verwerking van PDF-bestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2014-4377 Felipe Andres Manzano van Binamuse VRT in samenwerking met iSIGHT Partners GVP Program
CoreGraphics
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: het openen van een kwaadwillig vervaardigd PDF-bestand kan leiden tot het onverwacht beëindigen van het programma of openbaarmaking van gegevens
Beschrijving: er was sprake van lezen van geheugen buiten het bereik bij de verwerking van PDF-bestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2014-4378 Felipe Andres Manzano van Binamuse VRT in samenwerking met iSIGHT Partners GVP Program
Data Detectors
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: door tikken op een FaceTime-koppeling in Mail werd zonder waarschuwing een FaceTime-audiogesprek gestart
Beschrijving: Mail raadpleegde de gebruiker niet voor het starten van facetime-audio:// URL's. Dit probleem is verholpen door om bevestiging te vragen.
CVE-ID
CVE-2013-6835: Guillaume Ross
Foundation
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: een programma kan met behulp van NSXMLParser worden misbruikt om gegevens openbaar te maken
Beschrijving: er was een probleem met een externe XML-entiteit bij het verwerken van XML door NSXMLParser. Dit probleem is verholpen door externe entiteiten niet over oorsprongen heen te laden.
CVE-ID
CVE-2014-4374: George Gal van VSR (http://www.vsecurity.com/)
Home & Lock Screen
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: een app op de achtergrond kan bepalen welke app op de voorgrond staat
Beschrijving: de privé-API om te bepalen welke app op de voorgrond staat, had onvoldoende toegangscontrole. Dit probleem is verholpen door extra toegangscontrole.
CVE-ID
CVE-2014-4361: Andreas Kurtz van NESO Security Labs en Markus Troßbach van Heilbronn University
iMessage
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: bijlagen blijven mogelijk aanwezig nadat de iMessage of mms waar ze bij horen, is verwijderd
Beschrijving: er was sprake van een racevoorwaarde in de wijze waarop bijlagen werden verwijderd. Dit probleem is verholpen door extra te controleren of een bijlage is verwijderd.
CVE-ID
CVE-2014-4353: Silviu Schiau
IOAcceleratorFamily
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer Impact: een programma kan een onverwachte beëindigen van het systeem veroorzaken Beschrijving: er was een null pointer-dereferentie bij de verwerking van IOAcceleratorFamily-API-argumenten. Dit probleem is verholpen door een verbeterde validatie van IOAcceleratorFamily API-contexten. CVE-IDCVE-2014-4369: Sarah aka winocm en Cererdlong van Alibaba Mobile Security Team
Impact: An application may cause an unexpected system termination
Description: A null pointer dereference existed in the handling of IOAcceleratorFamily API arguments. This issue was addressed through improved validation of IOAcceleratorFamily API arguments.
CVE-ID
CVE-2014-4369 : Sarah aka winocm and Cererdlong of Alibaba Mobile Security Team
Entry updated February 3, 2020
IOAcceleratorFamily
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: het apparaat kan onverwacht opnieuw worden gestart
Beschrijving: er was een null pointer-dereferentie in het IntelAccelerator-stuurprogramma. Het probleem is verholpen door een verbeterde verwerking van fouten.
CVE-ID
CVE-2014-4373: cunzhang van Adlab van Venustech
IOHIDFamily
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: een kwaadaardig programma kan mogelijk kernel pointers lezen, wat kan worden gebruikt bij het omzeilen van de randomisatiebescherming voor de indeling van adresruimte
Beschrijving: er was een probleem met lezen buiten het bereik bij de verwerking van een IOHIDFamily-functie. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2014-4379: Ian Beer van Google Project Zero
IOHIDFamily
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: een kwaadaardig programma kan mogelijk willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een heapbufferoverloop bij de verwerking van 'key-mapping'-eigenschappen door IOHIDFamily. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2014-4404 : Ian Beer van Google Project Zero
IOHIDFamily
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: een kwaadaardig programma kan mogelijk willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was sprake van een null pointer dereferentie bij de verwerking van 'key-mapping'-eigenschappen door IOAcceleratorFamily. Dit probleem is verholpen door een verbeterde validatie van 'key-mapping'-eigenschappen van IOHIDFamily.
CVE-ID
CVE-2014-4405 : Ian Beer van Google Project Zero
IOHIDFamily
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: een kwaadaardig programma kan mogelijk willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: er was een probleem met schrijven buiten het bereik in de IOHIDFamily-kernelextensie. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2014-4380 : cunzhang van Adlab van Venustech
IOKit
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: een kwaadaardig programma kan niet-geïnitialiseerde gegevens uit het kernelgeheugen lezen
Beschrijving: er was een probleem met een niet-geïnitialiseerde geheugentoegang bij de verwerking van IOKit-functies. Dit probleem is verholpen door een verbeterde geheugeninitialisatie
CVE-ID
CVE-2014-4407: @PanguTeam
IOKit
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: een kwaadaardig programma kan mogelijk willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een validatieprobleem bij de verwerking van bepaalde metagegevensvelden van IODataQueue-objecten. Dit probleem is verholpen door een verbeterde validatie van metadata.
CVE-ID
CVE-2014-4418: Ian Beer van Google Project Zero
IOKit
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: een kwaadaardig programma kan mogelijk willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een validatieprobleem bij de verwerking van bepaalde metagegevensvelden van IODataQueue-objecten. Dit probleem is verholpen door een verbeterde validatie van metadata.
CVE-ID
CVE-2014-4388: @PanguTeam
IOKit
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: een kwaadaardig programma kan mogelijk willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een overloop bij gehele getallen bij de verwerking van IOKit-functies. Dit probleem is verholpen door een verbeterde validatie van IOKit API-argumenten.
CVE-ID
CVE-2014-4389: Ian Beer van Google Project Zero
Kernel
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: een lokale gebruiker kan mogelijk de kernelgeheugenlay-out bepalen
Beschrijving: er waren meerdere problemen met niet-geïnitialiseerd geheugen in de interface van netwerkstatistieken, wat leidde tot de vrijgave van geheugeninhoud. Dit probleem is verholpen door een extra geheugeninitialisatie.
CVE-ID
CVE-2014-4371: Fermin J. Serna van het Google Security Team
CVE-2014-4419: Fermin J. Serna van het Google Security Team
CVE-2014-4420: Fermin J. Serna van het Google Security Team
CVE-2014-4421: Fermin J. Serna van het Google Security Team
Kernel
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: een persoon met een bevoorrechte netwerkpositie kan een denial of service veroorzaken
Beschrijving: er trad een racevoorwaardefout op bij de verwerking van IPv6-pakketten. Dit probleem is verholpen door een verbeterde controle van de vergrendelde status.
CVE-ID
CVE-2011-2391: Marc Heuse
Kernel
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: een lokale gebruiker kan mogelijk het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code veroorzaken
Beschrijving: er was een double free-probleem bij de verwerking van Mach-poorten. Dit probleem is verholpen door een verbeterde validatie van Mach-poorten.
CVE-ID
CVE-2014-4375: een anonieme onderzoeker
Kernel
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: een lokale gebruiker kan mogelijk het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code veroorzaken
Beschrijving: er was een probleem met lezen buiten het bereik in rt_setgate. Dit kan leiden tot de vrijgave van het geheugen of geheugenbeschadiging. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2014-4408
Kernel
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: sommige maatregelen voor het versterken van de kernel worden mogelijk omzeild
Beschrijving: de generator voor willekeurige nummers die wordt gebruikt voor versterkende maatregelen in de kernel aan het begin van het opstartproces was cryptografisch niet veilig. Een deel van de uitvoer ervan was afleidbaar vanuit de gebruikersruimte, waardoor de versterkende maatregelen konden worden omzeild. Dit probleem is verholpen door een cryptografisch veilig algoritme te gebruiken.
CVE-ID
CVE-2014-4422: Tarjei Mandt van Azimuth Security
Libnotify
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: een kwaadaardig programma kan mogelijk willekeurige code uitvoeren met rootbevoegdheden
Beschrijving: er was een probleem met schrijven buiten het bereik in Libnotify. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2014-4381: Ian Beer van Google Project Zero
Lockdown
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: een apparaat kan worden gemanipuleerd om ten onrechte het beginscherm weer te geven wanneer het activeringsslot is ingeschakeld
Beschrijving: er was een probleem bij het ontgrendelen waarbij het apparaat doorging naar het beginscherm, zelfs als het door het activeringsslot vergrendeld hoorde te zijn. Dit is verholpen door de informatie te wijzigen die een apparaat tijdens het ontgrendelen verifieert.
CVE-ID
CVE-2014-1360
Mail
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: inloggegevens kunnen als gewone tekst worden verstuurd, zelfs als de server heeft gemeld dat hij LOGINDISABLED IMAP ondersteunt
Beschrijving: Mail stuurde het commando LOGIN naar servers, zelfs als deze hadden gemeld dat zij LOGINDISABLED IMAP ondersteunden. Dit is met name zorgelijk wanneer verbinding wordt gemaakt met servers die zijn geconfigureerd om niet-versleutelde verbindingen te accepteren en aangeven dat zij LOGINDISABLED ondersteunen. Dit probleem is verholpen door de LOGINDISABLED IMAP-mogelijkheid te respecteren.
CVE-ID
CVE-2014-4366: Mark Crispin
Mail
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: een persoon met fysieke toegang tot een iOS-apparaat kan e-mailbijlagen lezen
Beschrijving: er was een logisch probleem bij het gebruik van gegevensbeveiliging bij e-mailbijlagen in Mail. Dit probleem is verholpen door de gegevensbeveiliging voor e-mailbijlagen naar behoren in te stellen.
CVE-ID
CVE-2014-1348: Andreas Kurtz van NESO Security Labs
Profiles
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: stembediening wordt onverwacht ingeschakeld na een iOS-upgrade
Beschrijving: stembediening werd onverwacht ingeschakeld na een iOS-upgrade. Dit probleem is verholpen door verbeterd statusbeheer.
CVE-ID
CVE-2014-4367: Sven Heinemann
Safari
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: inloggegevens van een gebruiker worden via de functie voor het automatisch invullen van gegevens mogelijk vrijgegeven aan een onbedoelde website
Beschrijving: Safari heeft mogelijk gebruikersnamen en wachtwoorden automatisch ingevuld in een subframe uit een ander domein dan dat van het hoofdframe. Dit probleem is verholpen door een verbeterde brontracering.
CVE-ID
CVE-2013-5227: Niklas Malmgren van Klarna AB
Safari
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: een aanvaller met een bevoorrechte netwerkpositie kan gebruikersreferenties onderscheppen
Beschrijving: opgeslagen wachtwoorden zijn automatisch ingevuld in http-websites, in https-websites met geschonden vertrouwen en in iframes. Dit probleem is verholpen door automatische invulling van wachtwoorden alleen te laten plaatsvinden in het hoofdframe van https-sites met geldige certificaatketens.
CVE-ID
CVE-2014-4363: David Silver, Suman Jana en Dan Boneh van Stanford University in samenwerking met Eric Chen en Collin Jackson van Carnegie Mellon University
Safari
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: een aanvaller met een geprivilegieerde netwerkpositie kan URL's in Safari vervalsen
Beschrijving: er was een inconsistentie in de gebruikersinterface in Safari op apparaten waarop MDM is ingeschakeld. Het probleem is verholpen door een verbeterde controle van de consistentie in de gebruikersinterface.
CVE-ID
CVE-2014-8841: Angelo Prado van Salesforce Product Security
Sandbox Profiles
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: Apple ID-informatie is toegankelijk voor apps van andere makers
Beschrijving: er was een probleem met de vrijgave van informatie in de sandbox voor apps van andere makers. Dit probleem is verholpen door het profiel van de sandbox voor andere makers te verbeteren.
CVE-ID
CVE-2014-4362: Andreas Kurtz van NESO Security Labs en Markus Troßbach van Heilbronn University
Settings
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: voorvertoningen van tekstberichten verschijnen op het toegangsscherm zelfs als deze functie is uitgeschakeld
Beschrijving: er was een probleem met de voorvertoning van meldingen van tekstberichten op het toegangsscherm. Hierdoor werd de inhoud van ontvangen berichten op het toegangsscherm getoond, zelfs als voorvertoning daarvan was uitgeschakeld in Instellingen. Het probleem is verholpen door een verbeterde opvolging van deze instelling.
CVE-ID
CVE-2014-4356: Mattia Schirinzi van San Pietro Vernotico (BR), Italië
syslog
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: een lokale gebruiker kan de bevoegdheden van willekeurige bestanden wijzigen
Beschrijving: syslogd volgde symbolische koppelingen bij het wijzigen van bevoegdheden van bestanden. Dit probleem is verholpen door een verbeterde verwerking van symbolische koppelingen.
CVE-ID
CVE-2014-4372: Tielei Wang en YeongJin Jang van Georgia Tech Information Security Center (GTISC)
Weather
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: informatie over de locatie werd onversleuteld verstuurd
Beschrijving: er was een probleem met de vrijgave van informatie in een API die wordt gebruikt om het lokale weer te bepalen. Dit probleem is verholpen door een andere API te gebruiken.
WebKit
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: een kwaadaardige website kan gebruikers volgen zelfs als de privémodus is ingeschakeld
Beschrijving: een webprogramma kon de cachegegevens van een HTML 5-programma tijdens een normale internetsessie bewaren en deze gegevens vervolgens lezen tijdens een privésessie. Dit probleem is verholpen door de toegang tot de cache van het programma in de privémodus uit te schakelen.
CVE-ID
CVE-2014-4409: Yosuke Hasegawa (NetAgent Co., Led.)
WebKit
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er waren meerdere problemen met geheugenbeschadiging in WebKit. Deze problemen zijn verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2013-6663: Atte Kettunen van OUSPG
CVE-2014-1384: Apple
CVE-2014-1385: Apple
CVE-2014-1387: Google Chrome Security Team
CVE-2014-1388: Apple
CVE-2014-1389: Apple
CVE-2014-4410: Eric Seidel van Google
CVE-2014-4411: Google Chrome Security Team
CVE-2014-4412: Apple
CVE-2014-4413: Apple
CVE-2014-4414: Apple
CVE-2014-4415: Apple
Wi-Fi
Beschikbaar voor: iPhone 4s en nieuwer, iPod touch (5e generatie) en nieuwer, iPad 2 en nieuwer
Impact: een apparaat kan passief worden gevolgd via het wifi-MAC-adres
Beschrijving: er was een probleem met de vrijgave van informatie omdat een onveranderlijk MAC-adres werd gebruikt bij het zoeken naar wifinetwerken. Dit probleem is verholpen door het MAC-adres dat bij wifi-zoekacties wordt gebruikt, willekeurig te maken.
Opmerking:
iOS 8 bevat wijzigingen aan sommige diagnostische mogelijkheden. Raadpleeg https://support.apple.com/nl-nl/HT6331
Apparaten kunnen via iOS 8 het vertrouwen van alle eerder vertrouwde computers intrekken. Instructies vind je op https://support.apple.com/HT5868
FaceTime is niet in alle landen of regio's beschikbaar.
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.