Zawartość związana z zabezpieczeniami w systemie iOS 8

Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w systemie iOS 8.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć na tej stronie.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

iOS 8

  • 802.1X

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: osoba atakująca może uzyskać dane uwierzytelniania sieci Wi-Fi.

    Opis: osoba atakująca mogła podszyć się pod punkt dostępu sieci Wi-Fi, zaoferować uwierzytelnienie przez LEAP, złamać skrót MS-CHAPv1 i użyć uzyskanych danych do uwierzytelnienia się w prawdziwym punkcie dostępu, nawet jeśli ten punkt dostępu obsługuje silniejsze metody uwierzytelniania. Ten problem został rozwiązany przez domyślne wyłączenie LEAP.

    Identyfikator CVE

    CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax i Wim Lamotte z Uniwersytetu w Hasselt

  • Konta

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: złośliwa aplikacja może identyfikować Apple ID użytkownika.

    Opis: w mechanizmie kontroli dostępu na kontach występował błąd. Aplikacja z ograniczeniami piaskownicy mogła uzyskać informacje o aktywnym koncie iCloud wraz z jego nazwą. Ten problem został rozwiązany przez ograniczenie dostępu nieautoryzowanych aplikacji do określonych typów kont.

    Identyfikator CVE

    CVE-2014-4423: Adam Weaver

  • Dostępność

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: urządzenie może nie blokować ekranu podczas korzystania z AssistiveTouch.

    Opis: w mechanizmie obsługi wydarzeń funkcji AssistiveTouch występował błąd powodujący nieblokowanie się ekranu. Ten błąd został naprawiony przez poprawienie procedury obsługi zegara blokady.

    Identyfikator CVE

    CVE-2014-4368: Hendrik Bettermann

  • Architektura kont

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: osoba atakująca z dostępem do urządzenia z systemem iOS może uzyskać z dzienników poufne informacje o użytkowniku.

    Opis: rejestrowane były poufne informacje o użytkowniku. Ten problem został rozwiązany przez zmniejszenie ilości rejestrowanych informacji.

    Identyfikator CVE

    CVE-2014-4357: Heli Myllykoski z firmy OP-Pohjola Group

  • Książka adresowa

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: osoba mająca fizyczny dostęp do urządzenia z systemem iOS może odczytać zawartość książki adresowej.

    Opis: książka adresowa była szyfrowana przy użyciu klucza chronionego jedynie identyfikatorem UID sprzętu. Ten błąd naprawiono przez zaszyfrowanie książki adresowej przy użyciu klucza chronionego identyfikatorem UID sprzętu oraz kodem użytkownika.

    Identyfikator CVE

    CVE-2014-4352: Jonathan Zdziarski

  • Instalacja aplikacji

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: osoba atakująca lokalnie może podwyższyć poziom uprawnień i zainstalować niezweryfikowane aplikacje.

    Opis: w procedurze instalowania aplikacji występowała sytuacja wyścigu. Osoba atakująca mająca możliwość zapisu w folderze /tmp mogła być w stanie instalować niezweryfikowane aplikacje. Ten problem został rozwiązany przez przygotowywanie plików do instalacji w innym katalogu.

    Identyfikator CVE

    CVE-2014-4386: evad3rs

  • Instalacja aplikacji

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: osoba atakująca lokalnie może podwyższyć poziom uprawnień i zainstalować niezweryfikowane aplikacje.

    Opis: w procedurze instalowania aplikacji występował błąd umożliwiający atak „path traversal”. Zagrożenie: osoba atakująca lokalnie mogła przekierować sprawdzanie poprawności podpisów kodu na pakiet inny od instalowanego i spowodować zainstalowanie niezweryfikowanej aplikacji. Ten problem został rozwiązany przez wykrywanie i blokowanie zmiany ścieżki podczas określania podpisów kodu do zweryfikowania.

    Identyfikator CVE

    CVE-2014-4384: evad3rs

  • Zasoby

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może poinformować urządzenie z systemem iOS o tym, że jest zaktualizowane, mimo że w rzeczywistości tak nie jest.

    Opis: w procedurze obsługi odpowiedzi na pytania o dostępność aktualizacji występował błąd sprawdzania poprawności. Przy sprawdzaniu warunku If-Modified-Since (jeśli zmodyfikowano od) na potrzeby pytań o dostępność aktualizacji były używane fałszywe daty (przyszłe) z nagłówków odpowiedzi Last-Modified (ostatnia modyfikacja). Ten problem został rozwiązany przez sprawdzanie poprawności nagłówka Last-Modified (ostatnia modyfikacja).

    Identyfikator CVE

    CVE-2014-4383: Raul Siles of DinoSec

  • Bluetooth

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: Bluetooth domyślnie włącza się po uaktualnieniu systemu iOS.

    Opis: Bluetooth włączał się automatycznie po uaktualnieniu systemu iOS. Ten problem został rozwiązany przez skonfigurowanie włączania Bluetooth tylko w przypadku uaktualnień wersji głównej lub pobocznej.

    Identyfikator CVE

    CVE-2014-4354: Maneet Singh, Sean Bluestein

  • Zasady zaufania dotyczące certyfikatów

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: uaktualnienie zasad zaufania dotyczących certyfikatów.

    Opis: uaktualniono zasady zaufania dotyczące certyfikatów. Pełną listę certyfikatów można zobaczyć na stronie http://support.apple.com/pl-pl/HT5012.

  • CoreGraphics

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: otwarcie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurach obsługi plików PDF występuje przepełnienie całkowitoliczbowe. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4377: Felipe Andres Manzano z Binamuse VRT przy współpracy członków programu iSIGHT Partners GVP Program

  • CoreGraphics

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: otwarcie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub ujawnienie informacji.

    Opis: w procedurach obsługi plików PDF występował błąd odczytu pamięci spoza dozwolonego zakresu. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4378: Felipe Andres Manzano z Binamuse VRT przy współpracy członków programu iSIGHT Partners GVP Program

  • Detektory danych

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: kliknięcie łącza FaceTime w aplikacji Mail powodowało rozpoczęcie połączenia audio FaceTime bez ostrzeżenia.

    Opis: aplikacja Mail nie pytała użytkownika o pozwolenie na uruchomienie adresów URL facetime-audio://. Ten problem rozwiązano przez dodanie monitu o potwierdzenie.

    Identyfikator CVE

    CVE-2013-6835: Guillaume Ross

  • Foundation

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: aplikacja używająca parsera NSXMLParser może zostać niewłaściwie użyta w celu ujawnienia informacji.

    Opis: obsługa XML przez parser NSXMLParser zawierała błąd dotyczący zewnętrznej jednostki XML. Ten problem rozwiązano przez niewczytywanie jednostek zewnętrznych z różnych źródeł.

    Identyfikator CVE

    CVE-2014-4374: George Gal z VSR (http://www.vsecurity.com/)

  • Ekran początkowy i ekran blokady

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: aplikacja w tle może określić, która aplikacja jest na pierwszym planie.

    Opis: prywatny interfejs API służący do sprawdzania, która aplikacja jest na pierwszym planie, nie był objęty wystarczającą kontrolą dostępu. Ten problem został rozwiązany przez zwiększenie kontroli dostępu.

    Identyfikator CVE

    CVE-2014-4361: Andreas Kurtz z NESO Security Labs i Markus Troßbach z Uniwersytetu w Heilbronn

  • iMessage

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: załączniki mogą pozostawać nienaruszone po usunięciu zawierającej je wiadomości iMessage lub MMS.

    Opis: występowała sytuacja wyścigu dotycząca sposobu usuwania załączników. Ten problem został rozwiązany przez dodatkowe sprawdzanie, czy załącznik został usunięty.

    Identyfikator CVE

    CVE-2014-4353: Silviu Schiau

  • IOAcceleratorFamily

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: aplikacja może spowodować nieoczekiwane zamknięcie systemu.

    Opis: w procedurze obsługi argumentów interfejsu API IOAcceleratorFamily występowała dereferencja wskaźnika null. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności argumentów interfejsu API IOAcceleratorFamily.

    Identyfikator CVE

    CVE-2014-4369: Sarah (znana też jako winocm) i Cererdlong z grupy Alibaba Mobile Security Team

    Wpis uaktualniono 3 lutego 2020 r.
  • IOAcceleratorFamily

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: urządzenie może zostać niespodziewanie ponownie uruchomione.

    Opis: w sterowniku IntelAccelerator występowała dereferencja wskaźnika null. Ten problem został rozwiązany przez poprawienie obsługi błędów.

    Identyfikator CVE

    CVE-2014-4373: cunzhang z Adlab of Venustech

  • IOHIDFamily

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: złośliwa aplikacja może odczytywać wskaźniki jądra, dzięki którym można ominąć mechanizm losowego wybierania układu przestrzeni adresowej jądra.

    Opis: w procedurze obsługi funkcji IOHIDFamily występował błąd odczytu spoza zakresu. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4379: Ian Beer z Google Project Zero

  • IOHIDFamily

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w procedurze obsługi właściwości mapowania klawiszy przez komponent IOHIDFamily występowało przepełnienie buforu sterty. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4404: Ian Beer z Google Project Zero

  • IOHIDFamily

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w procedurze obsługi właściwości mapowania klawiszy przez komponent IOHIDFamily występowała dereferencja wskaźnika null. Ten problem rozwiązano przez poprawienie procedury obsługi właściwości mapowania klawiszy w komponencie IOHIDFamily.

    Identyfikator CVE

    CVE-2014-4405: Ian Beer z Google Project Zero

  • IOHIDFamily

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

    Opis: w rozszerzeniu jądra IOHIDFamily występował błąd zapisu poza dozwolonym zakresem. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4380: cunzhang z Adlab of Venustech

  • IOKit

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: złośliwa aplikacja może odczytać niezainicjowane dane z pamięci jądra.

    Opis: w procedurach obsługi funkcji IOKit występował błąd niezainicjowanego dostępu do pamięci. Ten problem rozwiązano przez poprawienie procedur inicjowania pamięci

    Identyfikator CVE

    CVE-2014-4407: @PanguTeam

  • IOKit

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w procedurze obsługi niektórych pól metadanych obiektów IODataQueue występował błąd sprawdzania poprawności. Ten problem rozwiązano przez poprawienie procedury sprawdzania metadanych.

    Identyfikator CVE

    CVE-2014-4418: Ian Beer z Google Project Zero

  • IOKit

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w procedurze obsługi niektórych pól metadanych obiektów IODataQueue występował błąd sprawdzania poprawności. Ten problem rozwiązano przez poprawienie procedury sprawdzania metadanych.

    Identyfikator CVE

    CVE-2014-4388: @PanguTeam

  • IOKit

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w procedurach obsługi funkcji IOKit występowało przepełnienie całkowitoliczbowe. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności argumentów interfejsu API IOKit.

    Identyfikator CVE

    CVE-2014-4389: Ian Beer z Google Project Zero

  • Jądro

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: użytkownik lokalny może być w stanie określić rozkład pamięci jądra.

    Opis: w interfejsie statystyk sieciowych występowały różne błędy niezainicjowanej pamięci, które prowadziły do ujawnienia zawartości pamięci jądra. Ten błąd rozwiązano przez wprowadzenie dodatkowych procedur inicjowania pamięci.

    Identyfikator CVE

    CVE-2014-4371: Fermin J. Serna z zespołu Google Security Team

    CVE-2014-4419: Fermin J. Serna z zespołu Google Security Team

    CVE-2014-4420: Fermin J. Serna z zespołu Google Security Team

    CVE-2014-4421: Fermin J. Serna z zespołu Google Security Team

  • Jądro

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: osoba z uprzywilejowanym dostępem do sieci może przeprowadzić atak typu „odmowa usługi” (DoS).

    Opis: w procedurze obsługi pakietów IPv6 występował problem sytuacji wyścigu. Ten problem rozwiązano przez poprawienie procedur sprawdzania stanu blokady.

    Identyfikator CVE

    CVE-2011-2391: Marc Heuse

  • Jądro

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: użytkownik lokalny może spowodować nieoczekiwane zakończenie działania systemu lub wykonanie dowolnego kodu w jądrze.

    Opis: w procedurze obsługi portów Mach występował błąd dwukrotnego zwolnienia pamięci. Ten problem rozwiązano przez ulepszenie procedury sprawdzania poprawności portów Mach.

    Identyfikator CVE

    CVE-2014-4375: anonimowy badacz

  • Jądro

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: użytkownik lokalny może spowodować nieoczekiwane zakończenie działania systemu lub wykonanie dowolnego kodu w jądrze.

    Opis: w interfejsie rt_setgate występował błąd odczytu spoza zakresu. Może to prowadzić do ujawnienia lub uszkodzenia pamięci. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4408

  • Jądro

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: niektóre funkcje zabezpieczeń jądra mogą być pomijane.

    Opis: generator liczb losowych używany w funkcjach zabezpieczeń jądra we wczesnych etapach procesu rozruchu nie był bezpieczny pod względem kryptograficznym. Niektóre z jego danych wyjściowych mogły być rozszyfrowywane przez użytkownika, co pozwalało na pomijanie funkcji zabezpieczeń. Ten problem został rozwiązany przez użycie bezpiecznego algorytmu kryptograficznego.

    Identyfikator CVE

    CVE-2014-4422: Tarjei Mandt z Azimuth Security

  • Libnotify

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami użytkownika root.

    Opis: w Libnotify występował błąd zapisu poza dozwolonym zakresem. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4381: Ian Beer z Google Project Zero

  • Blokada

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: urządzenie można zmusić do wyświetlenia ekranu początkowego, mimo że ma ono blokadę aktywacji.

    Opis: występował błąd odblokowywania, który powodował, że urządzenie wyświetlało ekran początkowy, gdy powinno być w trybie blokady aktywacji. Ten problem został rozwiązany przez zmianę informacji weryfikowanych przez urządzenie w przypadku prośby o odblokowanie.

    Identyfikator CVE

    CVE-2014-1360

  • Mail

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: poświadczenia logowania mogą być wysyłane w formie zwykłego tekstu, nawet jeśli serwer ogłasza funkcję LOGINDISABLED IMAP.

    Opis: program Mail wysyłał polecenie LOGIN do serwerów nawet wtedy, gdy ogłaszały funkcję LOGINDISABLED IMAP. Ten problem ma znaczenie w przypadku łączenia się z serwerem skonfigurowanym do akceptowania niezaszyfrowanych połączeń i ogłaszającym funkcję LOGINDISABLED. Został on rozwiązany przez uwzględnianie funkcji LOGINDISABLED IMAP.

    Identyfikator CVE

    CVE-2014-4366: Mark Crispin

  • Mail

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: osoba mająca fizyczny dostęp do urządzenia z systemem iOS potencjalnie może odczytać załączniki do wiadomości e-mail.

    Opis: w programie Mail występował błąd mechanizmu korzystania z ochrony danych w przypadku załączników do wiadomości e-mail. Ten problem został rozwiązany przez prawidłowe ustawienie klasy ochrony danych dla załączników wiadomości e-mail.

    Identyfikator CVE

    CVE-2014-1348: Andreas Kurtz z firmy NESO Security Labs

  • Profile

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: Wybieranie głosowe było nieoczekiwanie włączane po uaktualnieniu systemu iOS.

    Opis: Wybieranie głosowe włączał się automatycznie po uaktualnieniu systemu iOS. Ten błąd naprawiono przez poprawienie procedur zarządzania stanem.

    Identyfikator CVE

    CVE-2014-4367: Sven Heinemann

  • Safari

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: poświadczenia użytkownika mogą być ujawniane nieodpowiedniej witrynie przez automatyczne wypełnianie.

    Opis: przeglądarka Safari mogła automatycznie wypełniać nazwy użytkowników i hasła w ramce podrzędnej innej domeny niż ramka główna. Ten błąd został naprawiony przez poprawienie procedur śledzenia sesji.

    Identyfikator CVE

    CVE-2013-5227: Niklas Malmgren z Klarna AB

  • Safari

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: atakujący z uprzywilejowanym dostępem do sieci może przechwycić poświadczenia użytkownika.

    Opis: zapisane hasła były automatycznie wypełniane na stronach http, na niezaufanych stronach https i w ramkach iframe. Ten problem został rozwiązany przez ograniczenie automatycznego wypełniania haseł do głównej ramki witryn http z poprawnymi łańcuchami certyfikatów.

    Identyfikator CVE

    CVE-2014-4363: David Silver, Suman Jana i Dan Boneh z Uniwersytetu Stanforda oraz Eric Chen i Collin Jackson z Uniwersytetu Carnegiego i Mellonów

  • Safari

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: atakujący z uprzywilejowanym dostępem do sieci może sfałszować adresy URL w przeglądarce Safari.

    Opis: interfejs użytkownika był niespójny w przeglądarce Safari na urządzeniach zarządzanych za pomocą rozwiązania MDM. Ten problem został rozwiązany przez poprawienie testów spójności interfejsu użytkownika.

    Identyfikator CVE

    CVE-2014-8841: Angelo Prado z Salesforce Product Security

  • Profile piaskownicy

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: informacje o koncie Apple ID są dostępne dla aplikacji innych firm.

    Opis: w piaskownicy aplikacji innych firm występował błąd powodujący ujawnienie informacji. Ten problem został rozwiązany przez poprawienie profilu piaskownicy dla aplikacji innych firm.

    Identyfikator CVE

    CVE-2014-4362: Andreas Kurtz z NESO Security Labs i Markus Troßbach z Uniwersytetu w Heilbronn

  • Ustawienia

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: podgląd wiadomości SMS może być wyświetlany na ekranie blokady nawet w przypadku wyłączenia tej funkcji.

    Opis: występował błąd dotyczący podglądu powiadomień o wiadomościach SMS na ekranie blokady. W związku z tym treść odebranych wiadomości była wyświetlana na ekranie blokady nawet wtedy, gdy podgląd był wyłączony w Ustawieniach. Ten problem został rozwiązany przez lepsze przestrzeganie tego ustawienia.

    Identyfikator CVE

    CVE-2014-4356: Mattia Schirinzi z San Pietro Vernotico (BR), Włochy

  • syslog

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: użytkownik lokalny może zmienić uprawnienia do plików.

    Opis: demon syslogd korzystał z dowiązań symbolicznych przy zmianie uprawnień do plików. Ten błąd został rozwiązany przez poprawienie procedur obsługi dowiązań symbolicznych.

    Identyfikator CVE

    CVE-2014-4372: Tielei Wang i YeongJin Jang z Georgia Tech Information Security Center (GTISC)

  • Pogoda

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: informacje o lokalizacji były wysyłane w postaci niezaszyfrowanej.

    Opis: w interfejsie API używanym do sprawdzania lokalnej pogody występował błąd powodujący ujawnianie lokalizacji. Ten problem został rozwiązany przez zmianę interfejsów API.

  • WebKit

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: złośliwie spreparowana witryna może śledzić użytkowników nawet wtedy, gdy w przeglądarce jest włączony tryb przeglądania prywatnego.

    Opis: aplikacja internetowa mogła przechowywać dane z pamięci podręcznej aplikacji HTML 5 podczas normalnego przeglądania, a następnie odczytywać dane podczas przeglądania w trybie prywatnym. Ten problem został rozwiązany przez wyłączenie dostępu do pamięci podręcznej aplikacji w trybie przeglądania prywatnego.

    Identyfikator CVE

    CVE-2014-4409: Yosuke Hasegawa (NetAgent Co., Led.)

  • WebKit

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    Opis: w oprogramowaniu WebKit występowało kilka błędów powodujących uszkodzenie zawartości pamięci. Te błędy naprawiono przez poprawienie obsługi pamięci.

    Identyfikator CVE

    CVE-2013-6663: Atte Kettunen z firmy OUSPG

    CVE-2014-1384: Apple

    CVE-2014-1385: Apple

    CVE-2014-1387: zespół do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2014-1388: Apple

    CVE-2014-1389: Apple

    CVE-2014-4410: Eric Seidel z Google

    CVE-2014-4411: zespół do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2014-4412: Apple

    CVE-2014-4413: Apple

    CVE-2014-4414: Apple

    CVE-2014-4415: Apple

  • Wi-Fi

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: urządzenie może być śledzone pasywnie przy użyciu adresu MAC interfejsu Wi-Fi.

    Opis: występował problem z ujawnianiem informacji, ponieważ do wyszukiwania sieci Wi-Fi używany był stały adres MAC. Ten problem został rozwiązany przez używanie losowego adresu MAC na potrzeby pasywnego skanowania w poszukiwaniu sieci Wi-Fi.

Uwaga:

System iOS 8 zawiera zmiany w niektórych funkcjach diagnostycznych. Więcej informacji można znaleźć w artykule: https://support.apple.com/pl-pl/HT6331

System iOS 8 umożliwia teraz urządzeniom anulowanie ufania komputerom, które wcześniej były zaufane. Instrukcje można znaleźć w artykule https://support.apple.com/pl-pl/HT5868

Funkcja FaceTime nie jest dostępna we wszystkich krajach i regionach.

Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.

Data publikacji: