Informacje o zawartości związanej z zabezpieczeniami w systemie iOS 8.1

Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w systemie iOS 8.1

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

iOS 8.1

  • Bluetooth

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: złośliwe urządzenie wejściowe Bluetooth może ominąć mechanizm zestawiania w parę.

    Opis: możliwe było nawiązywanie nieszyfrowanych połączeń z akcesoriów interfejsu użytkownika (HID, Human Interface Device) Bluetooth o niskim poborze energii. Jeśli urządzenie z systemem iOS zostało zestawione w parę z takim akcesorium, osoba atakująca mogła podszyć się pod uprawnione akcesorium w celu nawiązania połączenia. Ten problem rozwiązano przez odmowę akceptowania nieszyfrowanych połączeń z urządzeniami HID.

    Identyfikator CVE

    CVE-2014-4428: Mike Ryan z firmy iSEC Partners

  • House Arrest

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: pliki przesyłane do urządzenia mogą być zapisywane z niewystarczającą ochroną kryptograficzną.

    Opis: pliki mogły być przesyłane do katalogu Dokumenty aplikacji i szyfrowane za pomocą klucza chronionego tylko przez identyfikator UID sprzętu. Ten problem rozwiązano przez zaszyfrowanie przesyłanych plików przy użyciu klucza chronionego identyfikatorem UID sprzętu oraz kodem użytkownika.

    Identyfikator CVE

    CVE-2014-4448: Jonathan Zdziarski i Kevin DeLong

  • Dostęp do danych iCloud

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: osoba atakująca mająca uprzywilejowany dostęp do sieci może wymusić na klientach dostępu do danych iCloud ujawnienie poufnych informacji.

    Opis: w klientach dostępu do danych iCloud występowała luka sprawdzania poprawności certyfikatów TLS. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania certyfikatów.

    Identyfikator CVE

    CVE-2014-4449: Carl Mehner z USAA

  • Klawiatury

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: funkcja QuickType mogła poznać dane logowania użytkownika.

    Opis: funkcja QuickType mogła poznać dane logowania użytkownika podczas przełączania między elementami. Ten problem rozwiązano przez wyłączenie poznawania przez funkcję QuickType zawartości pól, gdy jest wyłączone automatyczne uzupełnianie, i ponowne stosowanie kryteriów podczas przełączania między elementami wejściowymi DOM w starszych wersjach oprogramowania WebKit.

    Identyfikator CVE

    CVE-2014-4450

  • Secure Transport

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: osoba atakująca może odszyfrować dane chronione za pomocą protokołu SSL.

    Opis: znane są ataki na poufność komunikacji za pośrednictwem protokołu SSL 3.0 polegające na używaniu szyfru blokującego w trybie CBC przez oprogramowanie szyfrujące. Osoba atakująca może zablokować nawiązywanie połączeń przy użyciu protokołu TLS 1.0 lub nowszych wersji, aby wymusić stosowanie protokołu SSL 3.0 nawet w przypadku, gdy serwer powinien obsługiwać lepszy protokół TLS. Ten problem rozwiązano przez wyłączenie zestawów szyfrowania CBC w przypadku niepowodzenia nawiązania połączenia TLS.

    Identyfikator CVE

    CVE-2014-3566: Bodo Moeller, Thai Duong i Krzysztof Kotowicz z zespołu do spraw bezpieczeństwa w firmie Google

Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.

Data publikacji: