Informacje o zawartości związanej z zabezpieczeniami w systemie iOS 8

Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w systemie iOS 8.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

iOS 8

  • 802.1X

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: osoba atakująca może uzyskać dane logowania do sieci Wi-Fi

    Opis: osoba atakująca mogła podszyć się pod punkt dostępu Wi-Fi, zaoferować użytkownikowi uwierzytelnienie się za pomocą protokołu LEAP, złamać skrót MS-CHAPv1, a następnie użyć uzyskanych w ten sposób danych logowania do uwierzytelnienia się na docelowym punkcie dostępu, nawet jeśli ten punkt dostępu obsługiwał silniejsze metody uwierzytelniania. Ten problem rozwiązano przez domyślne wyłączenie protokołu LEAP.

    Identyfikator CVE

    CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax i Wim Lamotte z Uniwersytetu w Hasselt

  • Konta

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie zidentyfikować Apple ID użytkownika

    Opis: w logice kontroli dostępu dla kont występował błąd. Aplikacja działająca w piaskownicy mogła uzyskać informacje na temat obecnie aktywnego konta usługi iCloud, w tym nazwę konta. Ten problem rozwiązano przez ograniczenie dostępu do pewnych typów kont z nieautoryzowanych aplikacji.

    Identyfikator CVE

    CVE-2014-4423: Adam Weaver

  • Ułatwienia dostępu

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: urządzenie nie może zablokować ekranu w przypadku używania funkcji AssistiveTouch

    Opis: w procedurach obsługi zdarzeń przez funkcję AssistiveTouch występował błąd logiczny uniemożliwiający blokowanie ekranu. Ten problem rozwiązano przez poprawienie procedur obsługi zegara blokady.

    Identyfikator CVE

    CVE-2014-4368: Hendrik Bettermann

  • Infrastruktura kont

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: osoba atakująca mająca dostęp do urządzenia z systemem iOS może przechwycić poufne informacje o użytkowniku zachowane w dziennikach

    Opis: poufne informacje dotyczące użytkownika były rejestrowane w dziennikach. Ten problem rozwiązano przez rejestrowanie mniejszej ilości informacji.

    Identyfikator CVE

    CVE-2014-4357: Heli Myllykoski z OP-Pohjola Group

  • Książka adresowa

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: osoba mająca fizyczny dostęp do urządzenia z systemem iOS może odczytać książkę adresową

    Opis: książka adresowa była szyfrowana przy użyciu klucza chronionego jedynie identyfikatorem UID sprzętu. Ten problem rozwiązano przez zaszyfrowanie książki adresowej przy użyciu klucza chronionego identyfikatorem UID sprzętu oraz kodem użytkownika.

    Identyfikator CVE

    CVE-2014-4352: Jonathan Zdziarski

  • Instalacja programu

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: osoba atakująca lokalnie może być w stanie podwyższyć uprawnienia i instalować niezweryfikowane aplikacje

    Opis: w funkcji Instalacja programu występowała sytuacja wyścigu. Osoba atakująca mająca możliwość zapisu w katalogu /tmp mogła być w stanie instalować niezweryfikowane aplikacje. Ten problem rozwiązano przez zmianę miejsca plików instalacyjnych na inny katalog.

    Identyfikator CVE

    CVE-2014-4386: evad3rs

  • Instalacja programu

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: osoba atakująca lokalnie może być w stanie podwyższyć uprawnienia i instalować niezweryfikowane aplikacje

    Opis: w funkcji Instalacja programu występował błąd przeglądania ścieżek. Osoba atakująca lokalnie mogła przekierować sprawdzanie poprawności podpisu kodu na pakiet inny niż instalowany i spowodować zainstalowanie niezweryfikowanej aplikacji. Ten problem rozwiązano przez wykrywanie przeglądania ścieżek i zapobieganie mu podczas ustalania, który podpis kodu ma zostać poddany weryfikacji.

    Identyfikator CVE

    CVE-2014-4384: evad3rs

  • Zasoby

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: osoba atakująca mająca uprzywilejowany dostęp do sieci może skłonić system iOS do „myślenia”, że jest aktualny, podczas gdy nie jest

    Opis: w procedurach obsługi odpowiedzi funkcji sprawdzania uaktualnień występował błąd sprawdzania poprawności. Sfałszowane daty z nagłówków odpowiedzi Last-Modified (Ostatnia modyfikacja) ustawione na przyszłe daty były używane do sprawdzania If-Modified-Since (Jeśli zmodyfikowano od) w kolejnych żądaniach uaktualnień. Ten problem rozwiązano przez wprowadzenie sprawdzania poprawności nagłówka Last-Modified.

    Identyfikator CVE

    CVE-2014-4383: Raul Siles z DinoSec

  • Bluetooth

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: funkcja Bluetooth zostaje nieoczekiwanie domyślnie włączona po aktualizacji systemu iOS

    Opis: funkcja Bluetooth była włączana automatycznie po aktualizacji systemu iOS. Ten problem rozwiązano przez włączanie funkcji Bluetooth tylko dla uaktualnień wersji głównej lub pomocniczej.

    Identyfikator CVE

    CVE-2014-4354: Maneet Singh, Sean Bluestein

  • Zasady zaufania dotyczące certyfikatów

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: uaktualnienie zasad zaufania dotyczących certyfikatów

    Opis: uaktualniono zasady zaufania dotyczące certyfikatów. Pełną listę certyfikatów można zobaczyć na stronie http://support.apple.com/kb/HT5012?viewlocale=pl_PL.

  • CoreGraphics

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: otwarcie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu

    Opis: w procedurach obsługi plików PDF występowało przepełnienie całkowitoliczbowe. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4377: Felipe Andres Manzano z Binamuse VRT praujący w programie iSIGHT Partners GVP Program

  • CoreGraphics

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: otwarcie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub ujawnienie informacji

    Opis: w procedurach obsługi plików PDF występował błąd odczytu pamięci spoza dozwolonego zakresu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4378: Felipe Andres Manzano z Binamuse VRT pracujący w programie iSIGHT Partners GVP Program

  • Detektory danych

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: stuknięcie łącza FaceTime w aplikacji Mail może spowodować zainicjowanie połączenia głosowego w trybie FaceTime bez wyświetlania monitu

    Opis: aplikacja Mail nie monitowała użytkownika przed uruchomieniem adresów URL typu facetime-audio://. Ten problem rozwiązano przez dodanie monitu o potwierdzenie.

    Identyfikator CVE

    CVE-2013-6835: Guillaume Ross

  • Biblioteki podstawowe

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: aplikacja używająca parsera NSXMLParser może zostać niewłaściwie użyta w celu ujawnienia informacji

    Opis: w procedurach obsługi danych XML przez oprogramowanie NSXMLParser występował błąd dotyczący jednostki zewnętrznej XML. Ten problem rozwiązano przez wyłączenie wczytywania jednostek zewnętrznych z innych źródeł.

    Identyfikator CVE

    CVE-2014-4374: George Gal z VSR (http://www.vsecurity.com/)

  • Ekran początkowy i blokada ekranu

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: aplikacja w tle może określić, która aplikacja jest przednia

    Opis: prywatny interfejs API do określania przedniej aplikacji nie miał wystarczającej kontroli dostępu. Ten problem rozwiązano przez wprowadzenie dodatkowej kontroli dostępu.

    Identyfikator CVE

    CVE-2014-4361: Andreas Kurtz z NESO Security Labs i Markus Troßbach z Heilbronn University

  • iMessage

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: załączniki mogą pozostać po usunięciu nadrzędnej wiadomości iMessage i MMS

    Opis: w sposobie usuwania załączników występowała sytuacja wyścigu. Ten problem rozwiązano przez wykonywanie dodatkowego sprawdzania, czy załącznik został usunięty.

    Identyfikator CVE

    CVE-2014-4353: Silviu Schiau

  • IOAcceleratorFamily

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: aplikacja może powodować nieoczekiwane zamknięcie systemu

    Opis: w procedurze obsługi argumentów interfejsu API IOAcceleratorFamily występowała dereferencja wskaźnika NULL. Ten problem rozwiązano przez poprawienie procedury sprawdzania argumentów interfejsu API IOAcceleratorFamily.

    Identyfikator CVE

    CVE-2014-4369: Catherine alias winocm i Cererdlong z Alibaba Mobile Security Team

  • IOAcceleratorFamily

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: urządzenie może nieoczekiwanie uruchamiać się ponownie

    Opis: w sterowniku IntelAccelerator występowała dereferencja wskaźnika NULL. Problem rozwiązano przez poprawienie procedur obsługi błędów.

    Identyfikator CVE

    CVE-2014-4373: cunzhang z Adlab of Venustech

  • IOHIDFamily

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie odczytać wskaźniki jądra, przy użyciu których możliwe jest pominięcie losowego wybierana układu przestrzeni adresowej jądra

    Opis: w procedurze obsługi funkcji IOHIDFamily występował problem odczytu spoza dozwolonego zakresu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4379: Ian Beer z Google Project Zero

  • IOHIDFamily

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi

    Opis: w procedurze obsługi właściwości odwzorowania klawiszy przez rozszerzenie IOHIDFamily występował błąd powodujący przepełnienie buforu sterty. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4404: Ian Beer z Google Project Zero

  • IOHIDFamily

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi

    Opis: w procedurze obsługi właściwości odwzorowania klawiszy przez rozszerzenie IOHIDFamily występowała dereferencja wskaźnika NULL. Ten problem rozwiązano przez poprawienie procedury sprawdzania właściwości odwzorowania klawiszy IOHIDFamily.

    Identyfikator CVE

    CVE-2014-4405: Ian Beer z Google Project Zero

  • IOHIDFamily

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra

    Opis: w rozszerzeniu jądra IOHIDFamily występował problem zapisu poza dozwolonym zakresem. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4380: cunzhang z Adlab of Venustech

  • IOKit

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie odczytać niezainicjowane dane z pamięci jądra

    Opis: w procedurach obsługi funkcji IOKit występował błąd dostępu do niezainicjowanej pamięci. Ten problem rozwiązano przez poprawienie procedur inicjowania pamięci.

    Identyfikator CVE

    CVE-2014-4407: @PanguTeam

  • IOKit

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi

    Opis: w procedurach obsługi określonych pól metadanych obiektów IODataQueue występował błąd sprawdzania poprawności. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności metadanych.

    Identyfikator CVE

    CVE-2014-4418: Ian Beer z Google Project Zero

  • IOKit

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi

    Opis: w procedurach obsługi określonych pól metadanych obiektów IODataQueue występował błąd sprawdzania poprawności. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności metadanych.

    Identyfikator CVE

    CVE-2014-4388: @PanguTeam

  • IOKit

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi

    Opis: w procedurach obsługi funkcji IOKit występowało przepełnienie całkowitoliczbowe. Ten problem rozwiązano przez poprawienie procedury sprawdzania argumentów interfejsu API IOKit.

    Identyfikator CVE

    CVE-2014-4389: Ian Beer z Google Project Zero

  • Jądro

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: użytkownik lokalny może być w stanie określić rozkład pamięci jądra

    Opis: w interfejsie statystyk sieciowych występowało wiele błędów niezainicjowanej pamięci, które prowadziły do ujawnienia zawartości pamięci jądra Ten problem rozwiązano przez wprowadzenie dodatkowej procedury inicjowania pamięci.

    Identyfikator CVE

    CVE-2014-4371: Fermin J. Serna z Google Security Team

    CVE-2014-4419: Fermin J. Serna z Google Security Team

    CVE-2014-4420: Fermin J. Serna z Google Security Team

    CVE-2014-4421: Fermin J. Serna z Google Security Team

  • Jądro

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: osoba z uprzywilejowanym dostępem do sieci może przeprowadzić atak typu „odmowa usługi”

    Opis: w procedurach obsługi pakietów IPv6 występowała sytuacja wyścigu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania stanu blokady.

    Identyfikator CVE

    CVE-2011-2391: Marc Heuse

  • Jądro

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: użytkownik lokalny może spowodować nieoczekiwane zakończenie działania systemu lub wykonanie dowolnego kodu w jądrze

    Opis: w procedurach obsługi portów Mach występował błąd dwukrotnego zwolnienia pamięci. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności portów Mach.

    Identyfikator CVE

    CVE-2014-4375: anonimowy badacz

  • Jądro

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: użytkownik lokalny może spowodować nieoczekiwane zakończenie działania systemu lub wykonanie dowolnego kodu w jądrze

    Opis: w funkcji rt_setgate występował problem odczytu spoza dozwolonego zakresu. Może to prowadzić do ujawnienia lub uszkodzenia pamięci. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4408

  • Jądro

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: niektóre środki utwardzania jądra można omijać

    Opis: generator liczb losowych używany w środkach utwardzania jądra na wczesnym etapie procesu rozruchu nie był bezpieczny pod względem kryptograficznym. Niektóre jego wyniki dawały się wywnioskować z przestrzeni użytkownika, umożliwiając ominięcie środków utwardzania. Ten problem rozwiązano przez użycie algorytmu bezpiecznego pod względem kryptograficznym.

    Identyfikator CVE

    CVE-2014-4422: Tarjei Mandt z Azimuth Security

  • Libnotify

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami użytkownika root

    Opis: w funkcji Libnotify występował problem zapisu poza dozwolonym zakresem. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4381: Ian Beer z Google Project Zero

  • Lockdown

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: urządzenie może zostać zmanewrowane do niepoprawnego wyświetlania ekranu początkowego, gdy jest w stanie blokady aktywacji

    Opis: w działaniu funkcji odblokowywania występował błąd powodujący przechodzenie urządzenia do ekranu początkowego, nawet jeśli urządzenie nadal powinno być w stanie blokady aktywacji. Ten problem rozwiązano przez zmianę informacji weryfikowanych przez urządzenie podczas żądania odblokowania.

    Identyfikator CVE

    CVE-2014-1360

  • Mail

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: dane logowania mogą zostać wysłane w postaci zwykłego tekstu, nawet jeśli serwer rozgłosił funkcję LOGINDISABLED IMAP

    Opis: aplikacja Mail wysyłała polecenie LOGIN do serwerów, nawet jeśli serwery rozgłosiły funkcję LOGINDISABLED IMAP. Ten błąd jest problemem głównie w przypadku nawiązywania połączenia z serwerami skonfigurowanymi do akceptowania nieszyfrowanych połączeń i rozgłaszającymi funkcję LOGINDISABLED. Ten problem rozwiązano przez uwzględnienie funkcji LOGINDISABLED IMAP.

    Identyfikator CVE

    CVE-2014-4366: Mark Crispin

  • Mail

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: osoba mająca fizyczny dostęp do urządzenia z systemem iOS ma możliwość odczytywania załączników do wiadomości e-mail

    Opis: procedura używania mechanizmu ochrony danych załączników do wiadomości e-mail w programie Mail zawierała błąd logiczny. Ten problem rozwiązano przez poprawienie procedury ustawiania klasy ochrony danych dla załączników do wiadomości e-mail.

    Identyfikator CVE

    CVE-2014-1348: Andreas Kurtz z NESO Security Labs

  • Profile

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: funkcja Wybieranie głosowe zostaje nieoczekiwanie włączona po aktualizacji systemu iOS

    Opis: funkcja Wybieranie głosowe była włączana automatycznie po aktualizacji systemu iOS. Ten problem rozwiązano przez poprawienie procedury zarządzania stanem.

    Identyfikator CVE

    CVE-2014-4367: Sven Heinemann

  • Safari

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: dane logowania użytkownika mogą zostać ujawnione niezamierzonej witrynie przez funkcję automatycznego wypełniania

    Opis: przeglądarka Safari mogła automatycznie wypełniać nazwy użytkowników i hasła w ramce podrzędnej z innej domeny niż ramka główna. Ten problem rozwiązano przez poprawienie procedur śledzenia źródeł.

    Identyfikator CVE

    CVE-2013-5227: Niklas Malmgren z Klarna AB

  • Safari

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: osoba atakująca mająca uprzywilejowany dostęp do sieci może przechwycić dane logowania użytkownika

    Opis: zachowane hasła były wypełniane automatycznie w witrynach http, witrynach https ze złamanym zaufaniem i w ramkach iframe. Ten problem rozwiązano przez ograniczenie automatycznego wypełniania do ramki głównej witryn https z prawidłowymi łańcuchami certyfikatów.

    Identyfikator CVE

    CVE-2014-4363: David Silver, Suman Jana i Dan Boneh ze Stanford University, przy współpracy z: Eric Chen i Collin Jackson z Carnegie Mellon University

  • Safari

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: atakujący z uprzywilejowanym dostępem do sieci może sfałszować adresy URL w przeglądarce Safari

    Opis: interfejs użytkownika był niespójny w przeglądarce Safari na urządzeniach zarządzanych za pomocą rozwiązania MDM. Rozwiązanie tego problemu polega na ulepszeniu testów spójności interfejsu użytkownika.

    Identyfikator CVE

    CVE-2014-8841: Angelo Prado z Salesforce Product Security

  • Profile piaskownicy

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: aplikacje innych firm mają dostęp do danych konta Apple ID

    Opis: w piaskownicy aplikacji innych firm występował błąd powodujący ujawnienie informacji. Ten problem rozwiązano przez poprawienie profilu piaskownicy innych firm.

    Identyfikator CVE

    CVE-2014-4362: Andreas Kurtz z NESO Security Labs i Markus Troßbach z Heilbronn University

  • Ustawienia

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: podglądy wiadomości tekstowych mogą być wyświetlane na ekranie blokady, nawet jeśli ta funkcja jest wyłączona

    Opis: w podglądzie powiadomień o wiadomościach tekstowych na ekranie blokady występował błąd. W jego wyniku zawartość odebranych wiadomości mogła być wyświetlana na ekranie blokady, nawet jeśli podglądy były wyłączone w Ustawieniach. Problem rozwiązano przez poprawienie przestrzegania tego ustawienia.

    Identyfikator CVE

    CVE-2014-4356: Mattia Schirinzi z San Pietro Vernotico (BR), Włochy

  • syslog

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: użytkownik lokalny może być w stanie zmienić uprawnienia do dowolnych plików

    Opis: proces syslogd korzystał z dowiązań symbolicznych przy zmianie uprawnień do plików Ten problem rozwiązano przez poprawienie procedury obsługi łączy symbolicznych.

    Identyfikator CVE

    CVE-2014-4372: Tielei Wang i YeongJin Jang z Georgia Tech Information Security Center (GTISC)

  • Pogoda

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: informacje o położeniu były wysyłane w niezaszyfrowanej postaci

    Opis: w interfejsie API używanym do ustalania lokalnej pogody występował błąd powodujący ujawnienie informacji. Ten problem rozwiązano przez zmianę interfejsów API.

  • WebKit

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: złośliwie spreparowana witryna internetowa może śledzić użytkownika, nawet jeśli jest włączone przeglądanie prywatne

    Opis: aplikacja WWW mogła przechowywać dane pamięci podręcznej aplikacji HTML 5 podczas normalnego przeglądania, a następnie odczytywać te dane podczas przeglądania prywatnego. Ten problem rozwiązano przez wyłączenie dostępu do pamięci podręcznej aplikacji w trybie przeglądania prywatnego.

    Identyfikator CVE

    CVE-2014-4409: Yosuke Hasegawa (NetAgent Co., Led.)

  • WebKit

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu

    Opis: w oprogramowaniu WebKit występowało kilka błędów powodujących uszkodzenie zawartości pamięci. Te problemy rozwiązano przez poprawienie obsługi pamięci.

    Identyfikator CVE

    CVE-2013-6663: Atte Kettunen z OUSPG

    CVE-2014-1384: Apple

    CVE-2014-1385: Apple

    CVE-2014-1387: zespół do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2014-1388: Apple

    CVE-2014-1389: Apple

    CVE-2014-4410: Eric Seidel z Google

    CVE-2014-4411: zespół do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2014-4412: Apple

    CVE-2014-4413: Apple

    CVE-2014-4414: Apple

    CVE-2014-4415: Apple

  • Wi-Fi

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: urządzenie może być pasywnie śledzone na podstawie swojego adresu MAC sieci Wi-Fi

    Opis: używanie stałego adresu MAC do skanowania sieci Wi-Fi powodowało występowanie błędu prowadzącego do ujawnienia informacji. Ten problem rozwiązano przez losowe przydzielanie adresów MAC do pasywnego skanowania sieci Wi-Fi.

Uwaga:

W systemie iOS 8 wprowadzono zmiany do pewnych funkcji diagnostycznych. Szczegółowe informacje na ten temat zawiera artykuł http://support.apple.com/kb/HT6331?viewlocale=pl_PL

System iOS 8 zezwala teraz urządzeniom na cofnięcie zaufania wszystkich wcześniej zaufanych komputerów. Odpowiednie instrukcje można znaleźć w artykule http://support.apple.com/kb/HT5868?viewlocale=pl_PL

Funkcja FaceTime nie jest dostępna we wszystkich krajach i regionach.

Informacje o produktach niewytworzonych przez Apple lub o niezależnych witrynach internetowych, których Apple nie kontroluje ani nie testuje, są udostępniane bez żadnej rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności za wybór, działanie lub wykorzystanie takich witryn lub produktów innych firm. Apple nie składa żadnych oświadczeń dotyczących dokładności lub wiarygodności witryn internetowych innych firm. Ryzyko jest wpisane w korzystanie z Internetu. Skontaktuj się z dostawcą, aby uzyskać więcej informacji. Pozostałe nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów.

Data publikacji: