Zawartość związana z zabezpieczeniami w systemie iOS 8

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie iOS 8.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów Apple można znaleźć na tej stronie

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, które ułatwiają uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

iOS 8

  • 802.1X

    Dostępne dla: iPhone'a 4s i nowszych, iPoda touch (5. generacji) i nowszych, iPada 2 i nowszych

    Zagrożenie: osoba atakująca może uzyskać poświadczenia do sieci Wi-Fi

    Opis: osoba atakująca mogła podszyć się pod punkt dostępu Wi-Fi, zaoferować uwierzytelnienie za pomocą LEAP, złamać skrót MS-CHAPv1 i użyć pochodnych poświadczeń do uwierzytelnienia połączenia z docelowym punktem dostępu, jeśli obsługiwał silniejsze metody uwierzytelniania. Ten problem został rozwiązany przez domyślne wyłączenie LEAP.

    Identyfikator CVE

    CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax i Wim Lamotte z Uniwersytetu w Hasselt

  • Accounts

    Dostępne dla: iPhone'a 4s i nowszych, iPoda touch (5. generacji) i nowszych, iPada 2 i nowszych

    Zagrożenie: złośliwa aplikacja może zidentyfikować Apple ID użytkownika

    Opis: występował problem w logice kontroli dostępu do kont. Aplikacja z ograniczeniami piaskownicy mogła uzyskać informacje o aktywnym koncie iCloud wraz z jego nazwą. Ten problem został rozwiązany przez ograniczenie dostępu nieautoryzowanych aplikacji do określonych typów kont.

    Identyfikator CVE

    CVE-2014-4423: Adam Weaver

  • Accessibility

    Dostępne dla: iPhone'a 4s i nowszych, iPoda touch (5. generacji) i nowszych, iPada 2 i nowszych

    Zagrożenie: urządzenie nie może blokować ekranu podczas używania funkcji AssistiveTouch

    Opis: występował problem z logiką w obsługiwaniu zdarzeń przez funkcję AssistiveTouch, co uniemożliwiało blokowanie ekranu. Ten błąd został naprawiony przez poprawienie procedury obsługi zegara blokady.

    Identyfikator CVE

    CVE-2014-4368: Hendrik Bettermann

  • Accounts Framework

    Dostępne dla: iPhone'a 4s i nowszych, iPoda touch (5. generacji) i nowszych, iPada 2 i nowszych

    Zagrożenie: osoba atakująca z dostępem do urządzenia z systemem iOS może uzyskać dostęp do poufnych danych użytkownika na podstawie dzienników

    Opis: poufne dane użytkownika były rejestrowane w dzienniku. Ten problem został rozwiązany przez zmniejszenie ilości rejestrowanych informacji.

    Identyfikator CVE

    CVE-2014-4357: Heli Myllykoski z firmy OP-Pohjola Group

  • Address Book

    Dostępne dla: iPhone'a 4s i nowszych, iPoda touch (5. generacji) i nowszych, iPada 2 i nowszych

    Zagrożenie: osoba z fizycznym dostępem do urządzenia z systemem iOS może odczytywać książkę adresową

    Opis: książka adresowa była zaszyfrowana kluczem chronionym wyłącznie przez sprzętowy identyfikator UID. Ten błąd naprawiono przez zaszyfrowanie książki adresowej przy użyciu klucza chronionego identyfikatorem UID sprzętu oraz kodem użytkownika.

    Identyfikator CVE

    CVE-2014-4352: Jonathan Zdziarski

  • App Installation

    Dostępne dla: iPhone'a 4s i nowszych, iPoda touch (5. generacji) i nowszych, iPada 2 i nowszych

    Zagrożenie: lokalna osoba atakująca może być w stanie eskalować uprawnienia i zainstalować niezweryfikowane aplikacje

    Opis: w instalacji aplikacji występowała sytuacja wyścigu. Osoba atakująca mająca możliwość zapisu w folderze /tmp mogła być w stanie instalować niezweryfikowane aplikacje. Ten problem został rozwiązany przez przygotowywanie plików do instalacji w innym katalogu.

    Identyfikator CVE

    CVE-2014-4386: evad3rs

  • App Installation

    Dostępne dla: iPhone'a 4s i nowszych, iPoda touch (5. generacji) i nowszych, iPada 2 i nowszych

    Zagrożenie: lokalna osoba atakująca może być w stanie eskalować uprawnienia i zainstalować niezweryfikowane aplikacje

    Opis: w instalacji aplikacji występował problem zmiany ścieżki. Zagrożenie: osoba atakująca lokalnie mogła przekierować sprawdzanie poprawności podpisów kodu na pakiet inny od instalowanego i spowodować zainstalowanie niezweryfikowanej aplikacji. Ten problem został rozwiązany przez wykrywanie i blokowanie zmiany ścieżki podczas określania podpisów kodu do zweryfikowania.

    Identyfikator CVE

    CVE-2014-4384: evad3rs

  • Assets

    Dostępne dla: iPhone'a 4s i nowszych, iPoda touch (5. generacji) i nowszych, iPada 2 i nowszych

    Zagrożenie: osoba atakująca z uprzywilejowaną pozycją w sieci może być w stanie spowodować, aby urządzenie z systemem iOS myślało, że jest aktualne, gdy tak nie jest

    Opis: występował błąd weryfikacji w obsłudze odpowiedzi na sprawdzenie aktualizacji. Przy sprawdzaniu warunku If-Modified-Since (jeśli zmodyfikowano od) na potrzeby pytań o dostępność aktualizacji były używane fałszywe daty (przyszłe) z nagłówków odpowiedzi Last-Modified (ostatnia modyfikacja). Ten problem został rozwiązany przez sprawdzanie poprawności nagłówka Last-Modified (ostatnia modyfikacja).

    Identyfikator CVE

    CVE-2014-4383: Raul Siles of DinoSec

  • Bluetooth

    Dostępne dla: iPhone'a 4s i nowszych, iPoda touch (5. generacji) i nowszych, iPada 2 i nowszych

    Zagrożenie: po aktualizacji systemu iOS łączność Bluetooth była nieoczekiwanie domyślnie włączona

    Opis: łączność Bluetooth była automatycznie włączona po aktualizacji systemu iOS. Ten problem został rozwiązany przez skonfigurowanie włączania Bluetooth tylko w przypadku uaktualnień wersji głównej lub pobocznej.

    Identyfikator CVE

    CVE-2014-4354: Maneet Singh, Sean Bluestein

  • Certificate Trust Policy

    Dostępne dla: iPhone'a 4s i nowszych, iPoda touch (5. generacji) i nowszych, iPada 2 i nowszych

    Zagrożenie: aktualizacja zasad zaufania certyfikatu

    Opis: zaktualizowano zasady zaufania certyfikatu. Pełną listę certyfikatów można zobaczyć na stronie http://support.apple.com/HT5012.

  • CoreGraphics

    Dostępne dla: iPhone’a 4s i nowszych, iPoda touch (5. generacji) i nowszych, iPada 2 i nowszych

    Zagrożenie: otwarcie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurach obsługi plików PDF występowało przepełnienie całkowitoliczbowe. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4377: Felipe Andres Manzano z Binamuse VRT przy współpracy członków programu iSIGHT Partners GVP Program

  • CoreGraphics

    Dostępne dla: iPhone’a 4s i nowszych, iPoda touch (5. generacji) i nowszych, iPada 2 i nowszych

    Zagrożenie: otwarcie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub ujawnienie informacji.

    Opis: w procedurach obsługi plików PDF występował odczyt z pamięci poza zakresem. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4378: Felipe Andres Manzano z Binamuse VRT przy współpracy członków programu iSIGHT Partners GVP Program

  • Data Detectors

    Dostępne dla: iPhone'a 4s i nowszych, iPoda touch (5. generacji) i nowszych, iPada 2 i nowszych

    Zagrożenie: stuknięcie łącza FaceTime w aplikacji Poczta wyzwalało połączenie głosowe FaceTime bez monitowania użytkownika

    Opis: aplikacja Poczta nie pytała użytkownika o wyświetlenie adresów URL facetime-audio://. Ten problem rozwiązano przez dodanie monitu o potwierdzenie.

    Identyfikator CVE

    CVE-2013-6835: Guillaume Ross

  • Foundation

    Dostępne dla: iPhone'a 4s i nowszych, iPoda touch (5. generacji) i nowszych, iPada 2 i nowszych

    Zagrożenie: aplikacja używająca parsera NSXMLParser mogła być użyta do ujawnienia informacji

    Opis: w obsłudze plików XML przez parser NSXMLParser występował błąd jednostki zewnętrznej XML. Ten problem rozwiązano przez niewczytywanie jednostek zewnętrznych z różnych źródeł.

    Identyfikator CVE

    CVE-2014-4374: George Gal z VSR (http://www.vsecurity.com/)

  • Home & Lock Screen

    Dostępne dla: iPhone'a 4s i nowszych, iPoda touch (5. generacji) i nowszych, iPada 2 i nowszych

    Zagrożenie: aplikacja w tle może ustalić aplikację główną

    Opis: prywatny interfejs API do ustalania aplikacji głównej nie miał właściwej kontroli dostępu. Ten problem został rozwiązany przez zwiększenie kontroli dostępu.

    Identyfikator CVE

    CVE-2014-4361: Andreas Kurtz z NESO Security Labs i Markus Troßbach z Uniwersytetu w Heilbronn

  • iMessage

    Dostępne dla: iPhone'a 4s i nowszych, iPoda touch (5. generacji) i nowszych, iPada 2 i nowszych

    Zagrożenie: załączniki mogą nie być usunięte wraz z nadrzędną wiadomością iMessage lub MMS-em

    Opis: w sposobie usuwania załączników występowała sytuacja wyścigu. Ten problem został rozwiązany przez dodatkowe sprawdzanie, czy załącznik został usunięty.

    Identyfikator CVE

    CVE-2014-4353: Silviu Schiau

  • IOAcceleratorFamily

    Dostępne dla: iPhone’a 4s i nowszych, iPoda touch (5. generacji) i nowszych, iPada 2 i nowszychZagrożenie: aplikacja mogła spowodować nieoczekiwane zamknięcie systemuOpis: w procedurze obsługi argumentów interfejsu API rozszerzenia IOAcceleratorFamily występowała dereferencja wskaźnika NULL. Ten problem został rozwiązany przez ulepszenie procedury sprawdzania argumentów interfejsu API rozszerzenia IOAcceleratorFamily.Identyfikator CVECVE-2014-4369: Sarah (winocm) i Cererdlong z zespołu Alibaba Mobile Security Team

    Impact: An application may cause an unexpected system termination

    Description: A null pointer dereference existed in the handling of IOAcceleratorFamily API arguments. This issue was addressed through improved validation of IOAcceleratorFamily API arguments.

    CVE-ID

    CVE-2014-4369 : Sarah aka winocm and Cererdlong of Alibaba Mobile Security Team

    • Entry updated February 3, 2020

  • IOAcceleratorFamily

    Dostępne dla: iPhone'a 4s i nowszych, iPoda touch (5. generacji) i nowszych, iPada 2 i nowszych

    Zagrożenie: urządzenie mogło się nieoczekiwanie uruchomić ponownie

    Opis: w sterowniku IntelAccelerator wstępowała dereferencja wskaźnika NULL. Ten problem został rozwiązany przez poprawienie obsługi błędów.

    Identyfikator CVE

    CVE-2014-4373: cunzhang z Adlab of Venustech

  • IOHIDFamily

    Dostępne dla: iPhone'a 4s i nowszych, iPoda touch (5. generacji) i nowszych, iPada 2 i nowszych

    Zagrożenie: złośliwa aplikacja mogła być w stanie odczytać wskaźniki jądra, co mogło być użyte do ominięcia randomizacji układu przestrzeni adresu jądra

    Opis: w procedurze obsługi rozszerzenia IOHIDFamily występował problem odczytu spoza zakresu. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4379: Ian Beer z Google Project Zero

  • IOHIDFamily

    Dostępne dla: iPhone’a 4s i nowszych, iPoda touch (5. generacji) i nowszych, iPada 2 i nowszych

    Zagrożenie: złośliwa aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi

    Opis: w procedurze obsługi właściwości mapowania klawiszy w rozszerzeniu IOHIDFamily występowało przepełnienie buforu stosu. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4404: Ian Beer z Google Project Zero

  • IOHIDFamily

    Dostępne dla: iPhone’a 4s i nowszych, iPoda touch (5. generacji) i nowszych, iPada 2 i nowszych

    Zagrożenie: złośliwa aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi

    Opis: we właściwościach mapowania klawiszy w rozszerzeniu IOHIDFamily występowała dereferencja wskaźnika NULL. Ten problem rozwiązano przez poprawienie procedury obsługi właściwości mapowania klawiszy w komponencie IOHIDFamily.

    Identyfikator CVE

    CVE-2014-4405: Ian Beer z Google Project Zero

  • IOHIDFamily

    Dostępne dla: iPhone’a 4s i nowszych, iPoda touch (5. generacji) i nowszych, iPada 2 i nowszych

    Zagrożenie: złośliwa aplikacja może być w stanie wykonać dowolny kod z uprawnieniami do jądra

    Opis: w rozszerzeniu jądra IOHIDFamily występował problem zapisu poza zakresem. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4380: cunzhang z Adlab of Venustech

  • IOKit

    Dostępne dla: iPhone'a 4s i nowszych, iPoda touch (5. generacji) i nowszych, iPada 2 i nowszych

    Zagrożenie: złośliwa aplikacja może być w stanie odczytać niezainicjowane dane z pamięci jądra

    Opis: w procedurze obsługi funkcji IOKit występował problem z dostępem do niezainicjowanej pamięci. Ten błąd naprawiono przez poprawienie inicjowania pamięci

    Identyfikator CVE

    CVE-2014-4407: @PanguTeam

  • IOKit

    Dostępne dla: iPhone’a 4s i nowszych, iPoda touch (5. generacji) i nowszych, iPada 2 i nowszych

    Zagrożenie: złośliwa aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi

    Opis: w procedurze obsługi pewnych pól metadanych obiektów kolejki IODataQueue występował błąd sprawdzania poprawności. Ten problem rozwiązano przez poprawienie procedury sprawdzania metadanych.

    Identyfikator CVE

    CVE-2014-4418: Ian Beer z Google Project Zero

  • IOKit

    Dostępne dla: iPhone’a 4s i nowszych, iPoda touch (5. generacji) i nowszych, iPada 2 i nowszych

    Zagrożenie: złośliwa aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi

    Opis: w procedurze obsługi pewnych pól metadanych obiektów kolejki IODataQueue występował błąd sprawdzania poprawności. Ten problem rozwiązano przez poprawienie procedury sprawdzania metadanych.

    Identyfikator CVE

    CVE-2014-4388: @PanguTeam

  • IOKit

    Dostępne dla: iPhone’a 4s i nowszych, iPoda touch (5. generacji) i nowszych, iPada 2 i nowszych

    Zagrożenie: złośliwa aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi

    Opis: w procedurze obsługi funkcji IOKit występowało przepełnienie całkowitoliczbowe. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności argumentów interfejsu API IOKit.

    Identyfikator CVE

    CVE-2014-4389: Ian Beer z Google Project Zero

  • Kernel

    Dostępne dla: iPhone'a 4s i nowszych, iPoda touch (5. generacji) i nowszych, iPada 2 i nowszych

    Zagrożenie: użytkownik lokalny ma możliwość ustalenia układu pamięci jądra

    Opis: w interfejsie statystyk sieci występowało wiele błędów niezainicjowanej pamięci, co skutkowało ujawnianiem zawartości pamięci jądra. Ten błąd rozwiązano przez wprowadzenie dodatkowych procedur inicjowania pamięci.

    Identyfikator CVE

    CVE-2014-4371: Fermin J. Serna z Google Security Team

    CVE-2014-4419: Fermin J. Serna z Google Security Team

    CVE-2014-4420: Fermin J. Serna z Google Security Team

    CVE-2014-4421: Fermin J. Serna z Google Security Team

  • Kernel

    Dostępne dla: iPhone'a 4s i nowszych, iPoda touch (5. generacji) i nowszych, iPada 2 i nowszych

    Zagrożenie: osoba atakująca z uprzywilejowaną pozycją w sieci może spowodować odmowę świadczenia usług

    Opis: w procedurze obsługi pakietów IPv6 występowała sytuacja wyścigu. Ten problem rozwiązano przez poprawienie procedur sprawdzania stanu blokady.

    Identyfikator CVE

    CVE-2011-2391: Marc Heuse

  • Kernel

    Dostępne dla: iPhone’a 4 i nowszych, iPoda touch (5. generacji) i nowszych, iPada 2 i nowszych

    Zagrożenie: użytkownik lokalny może mieć możliwość spowodowania nieoczekiwanego zamknięcia systemu lub wykonania dowolnego kodu w jądrze

    Opis: w procesie obsługi portów Mach występował problem podwójnego polecenia zwolnienia. Ten problem rozwiązano przez ulepszenie procedury sprawdzania poprawności portów Mach.

    Identyfikator CVE

    CVE-2014-4375: anonimowy badacz

  • Kernel

    Dostępne dla: iPhone’a 4 i nowszych, iPoda touch (5. generacji) i nowszych, iPada 2 i nowszych

    Zagrożenie: użytkownik lokalny może mieć możliwość spowodowania nieoczekiwanego zamknięcia systemu lub wykonania dowolnego kodu w jądrze

    Opis: w rt_setgate występował problem odczytu spoza zakresu. Może to prowadzić do ujawnienia lub uszkodzenia pamięci. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4408

  • Kernel

    Dostępne dla: iPhone’a 4 i nowszych, iPoda touch (5. generacji) i nowszych, iPada 2 i nowszych

    Zagrożenie: istnieje możliwość ominięcia pewnych funkcji zabezpieczających jądra

    Opis: generator liczb losowych używany jako funkcja zabezpieczająca jądra we wczesnym procesie rozruchu nie był zabezpieczony kryptograficznie. Niektóre z jego danych wyjściowych mogły być rozszyfrowywane przez użytkownika, co pozwalało na pomijanie funkcji zabezpieczeń. Ten problem został rozwiązany przez użycie bezpiecznego algorytmu kryptograficznego.

    Identyfikator CVE

    CVE-2014-4422: Tarjei Mandt z Azimuth Security

  • Libnotify

    Dostępne dla: iPhone’a 4s i nowszych, iPoda touch (5. generacji) i nowszych, iPada 2 i nowszych

    Zagrożenie: złośliwa aplikacja może być w stanie wykonać dowolny kod z uprawnieniami do katalogu głównego

    Opis: w Libnotify występował problem odczytu spoza zakresu. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4381: Ian Beer z Google Project Zero

  • Lockdown

    Dostępne dla: iPhone’a 4s i nowszych, iPoda touch (5. generacji) i nowszych, iPada 2 i nowszych

    Zagrożenie: urządzenie może być zmuszone do nieprawidłowego wyświetlenia ekranu głównego, gdy jest zablokowane

    Opis: wystąpił problem z działaniem odblokowywania, który powodował, że urządzenie przechodziło do ekranu głównego, gdy nadal powinno być zablokowane. Ten problem został rozwiązany przez zmianę informacji weryfikowanych przez urządzenie w przypadku prośby o odblokowanie.

    Identyfikator CVE

    CVE-2014-1360

  • Mail

    Dostępne dla: iPhone’a 4s i nowszych, iPoda touch (5. generacji) i nowszych, iPada 2 i nowszych

    Zagrożenie: poświadczenia mogą być wysłane w zwykłym tekście, nawet jeśli serwer ogłosił funkcję LOGINDISABLED IMAP

    Opis: aplikacja Poczta wysłała polecenie LOGIN do serwerów, nawet jeśli ogłosiły funkcję LOGINDISABLED IMAP. Ten problem ma znaczenie w przypadku łączenia się z serwerem skonfigurowanym do akceptowania niezaszyfrowanych połączeń i ogłaszającym funkcję LOGINDISABLED. Został on rozwiązany przez uwzględnianie funkcji LOGINDISABLED IMAP.

    Identyfikator CVE

    CVE-2014-4366: Mark Crispin

  • Mail

    Dostępne dla: iPhone 4s i nowszych, iPoda touch (5. generacji) i nowszych, iPada 2 i nowszych

    Zagrożenie: osoba z fizycznym dostępem do urządzenia z systemem iOS może potencjalnie odczytywać załączniki do wiadomości e-mail

    Opis: w ochronie danych załączników do wiadomości e-mail aplikacji Poczta występował problem logiczny. Ten problem został rozwiązany przez prawidłowe ustawienie klasy ochrony danych dla załączników wiadomości e-mail.

    Identyfikator CVE

    CVE-2014-1348: Andreas Kurtz z NESO Security Labs

  • Profiles

    Dostępne dla: iPhone'a 4s i nowszych, iPoda touch (5. generacji) i nowszych, iPada 2 i nowszych

    Zagrożenie: po aktualizacji systemu iOS wybieranie głosowe było nieoczekiwanie włączone

    Opis: wybieranie głosowe było automatycznie włączone po aktualizacji systemu iOS. Ten błąd naprawiono przez poprawienie procedur zarządzania stanem.

    Identyfikator CVE

    CVE-2014-4367: Sven Heinemann

  • Safari

    Dostępne dla: iPhone'a 4s i nowszych, iPoda touch (5. generacji) i nowszych, iPada 2 i nowszych

    Zagrożenie: poświadczenia użytkownika mogą być ujawnione niezidentyfikowanej witrynie za pośrednictwem automatycznego wypełniania

    Opis: przeglądarka Safari mogła automatycznie wypełnić nazwy użytkowników i hasła w ramce podrzędnej z innej domeny niż ramka główna. Ten błąd został naprawiony przez poprawienie procedur śledzenia sesji.

    Identyfikator CVE

    CVE-2013-5227: Niklas Malmgren z Klarna AB

  • Safari

    Dostępne dla: iPhone'a 4s i nowszych, iPoda touch (5. generacji) i nowszych, iPada 2 i nowszych

    Zagrożenie: osoba atakująca z uprzywilejowaną pozycją w sieci może przejąć poświadczenia użytkownika

    Opis: zapisane hasła były wypełniane automatycznie w witrynach http, w niezaufanych witrynach https oraz w ramkach iframe. Ten problem został rozwiązany przez ograniczenie automatycznego wypełniania haseł do głównej ramki witryn https z poprawnymi łańcuchami certyfikatów.

    Identyfikator CVE

    CVE-2014-4363: David Silver, Suman Jana i Dan Boneh z Uniwersytetu Stanforda oraz Eric Chen i Collin Jackson z Uniwersytetu Carnegiego i Mellonów

  • Safari

    Dostępne dla: iPhone'a 4s i nowszych, iPoda touch (5. generacji) i nowszych, iPada 2 i nowszych

    Zagrożenie: osoba atakująca z uprzywilejowaną pozycją w sieci może fałszować adresy URL w przeglądarce Safari

    Opis: w przeglądarce Safari na urządzeniach obsługujących MDM istniała niespójność interfejsu użytkownika. Ten problem został rozwiązany przez poprawienie testów spójności interfejsu użytkownika.

    Identyfikator CVE

    CVE-2014-8841: Angelo Prado z Salesforce Product Security

  • Sandbox Profiles

    Dostępne dla: iPhone'a 4s i nowszych, iPoda touch (5. generacji) i nowszych, iPada 2 i nowszych

    Zagrożenie: aplikacje zewnętrzne mogą uzyskiwać informacje o Apple ID

    Opis: w piaskownicy aplikacji zewnętrznych istniał problem z ujawnianiem informacji. Ten problem został rozwiązany przez poprawienie profilu piaskownicy dla aplikacji innych firm.

    Identyfikator CVE

    CVE-2014-4362: Andreas Kurtz z NESO Security Labs i Markus Troßbach z Uniwersytetu w Heilbronn

  • Settings

    Dostępne dla: iPhone'a 4s i nowszych, iPoda touch (5. generacji) i nowszych, iPada 2 i nowszych

    Zagrożenie: podglądy wiadomości tekstowych mogą się pojawiać na ekranie blokady nawet wtedy, gdy ta funkcja jest wyłączona

    Opis: występował problem w podglądzie powiadomień o wiadomościach tekstowych na ekranie blokady. W związku z tym treść odebranych wiadomości była wyświetlana na ekranie blokady nawet wtedy, gdy podgląd był wyłączony w Ustawieniach. Ten problem został rozwiązany przez lepsze przestrzeganie tego ustawienia.

    Identyfikator CVE

    CVE-2014-4356: Mattia Schirinzi z San Pietro Vernotico (BR), Włochy

  • syslog

    Dostępne dla: iPhone'a 4s i nowszych, iPoda touch (5. generacji) i nowszych, iPada 2 i nowszych

    Zagrożenie: użytkownik lokalny ma możliwość zmiany uprawnień w dowolnych plikach

    Opis: podczas zmiany uprawnień w plikach syslogd używał dowiązań symbolicznych. Ten błąd został rozwiązany przez poprawienie procedur obsługi dowiązań symbolicznych.

    Identyfikator CVE

    CVE-2014-4372: Tielei Wang i YeongJin Jang z Georgia Tech Information Security Center (GTISC)

  • Weather

    Dostępne dla: iPhone'a 4s i nowszych, iPoda touch (5. generacji) i nowszych, iPada 2 i nowszych

    Zagrożenie: wysyłane były niezaszyfrowane informacje o lokalizacji

    Opis: w interfejsie API używanym do określana lokalnej pogody istniał problem z ujawnianiem informacji. Ten problem został rozwiązany przez zmianę interfejsów API.

  • WebKit

    Dostępne dla: iPhone'a 4s i nowszych, iPoda touch (5. generacji) i nowszych, iPada 2 i nowszych

    Zagrożenie: złośliwa witryna może śledzić użytkowników nawet przy włączonym trybie przeglądania prywatnego

    Opis: aplikacja internetowa mogła przechowywać dane z pamięci podręcznej aplikacji HTML 5 podczas normalnego przeglądania witryn, a następnie odczytywać te dane w trybie przeglądania prywatnego. Ten problem został rozwiązany przez wyłączenie dostępu do pamięci podręcznej aplikacji w trybie przeglądania prywatnego.

    Identyfikator CVE

    CVE-2014-4409: Yosuke Hasegawa (NetAgent Co., Led.)

  • WebKit

    Dostępne dla: iPhone’a 4s i nowszych, iPoda touch (5. generacji) i nowszych, iPada 2 i nowszych

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    Opis: w oprogramowaniu WebKit występowało kilka błędów powodujących uszkodzenie zawartości pamięci. Te błędy naprawiono przez poprawienie obsługi pamięci.

    Identyfikator CVE

    CVE-2013-6663: Atte Kettunen z OUSPG

    CVE-2014-1384: Apple

    CVE-2014-1385: Apple

    CVE-2014-1387: Zespół Google Chrome Security

    CVE-2014-1388: Apple

    CVE-2014-1389: Apple

    CVE-2014-4410: Eric Seidel z Google

    CVE-2014-4411: Zespół Google Chrome Security

    CVE-2014-4412: Apple

    CVE-2014-4413: Apple

    CVE-2014-4414: Apple

    CVE-2014-4415: Apple

  • Wi-Fi

    Dostępne dla: iPhone’a 4s i nowszych, iPoda touch (5. generacji) i nowszych, iPada 2 i nowszych

    Zagrożenie: urządzenie mogło być pasywnie śledzone przez adres MAC swojej sieci Wi-Fi

    Opis: występował problem z ujawnianiem informacji, ponieważ do skanowania w poszukiwaniu sieci Wi-Fi używany był stabilny adres MAC. Ten problem został rozwiązany przez używanie losowego adresu MAC na potrzeby pasywnego skanowania w poszukiwaniu sieci Wi-Fi.

Uwaga:

System iOS 8 zawiera zmiany w niektórych funkcjach diagnostycznych. Więcej informacji można znaleźć w artykule https://support.apple.com/HT6331

System iOS 8 umożliwia teraz urządzeniom anulowanie ufania komputerom, które wcześniej były zaufane. Instrukcje można znaleźć w artykule https://support.apple.com/HT5868

Funkcja FaceTime nie jest dostępna we wszystkich krajach i regionach.

Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.

Data publikacji: