Informacje o zawartości związanej z zabezpieczeniami w systemie iOS 8.1

Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w systemie iOS 8.1

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

iOS 8.1

  • Bluetooth

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: złośliwe urządzenie wejściowe Bluetooth może ominąć mechanizm zestawiania w parę.

    Opis: możliwe było nawiązywanie nieszyfrowanych połączeń z akcesoriów interfejsu użytkownika (HID, Human Interface Device) Bluetooth o niskim poborze energii. Jeśli urządzenie z systemem iOS zostało zestawione w parę z takim akcesorium, osoba atakująca mogła podszyć się pod uprawnione akcesorium w celu nawiązania połączenia. Ten problem rozwiązano przez odmowę akceptowania nieszyfrowanych połączeń z urządzeniami HID.

    Identyfikator CVE

    CVE-2014-4428: Mike Ryan z firmy iSEC Partners

  • House Arrest

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: pliki przesyłane do urządzenia mogą być zapisywane z niewystarczającą ochroną kryptograficzną.

    Opis: pliki mogły być przesyłane do katalogu Dokumenty aplikacji i szyfrowane za pomocą klucza chronionego tylko przez identyfikator UID sprzętu. Ten problem rozwiązano przez zaszyfrowanie przesyłanych plików przy użyciu klucza chronionego identyfikatorem UID sprzętu oraz kodem użytkownika.

    Identyfikator CVE

    CVE-2014-4448: Jonathan Zdziarski i Kevin DeLong

  • Dostęp do danych iCloud

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: osoba atakująca mająca uprzywilejowany dostęp do sieci może wymusić na klientach dostępu do danych iCloud ujawnienie poufnych informacji.

    Opis: w klientach dostępu do danych iCloud występowała luka sprawdzania poprawności certyfikatów TLS. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania certyfikatów.

    Identyfikator CVE

    CVE-2014-4449: Carl Mehner z USAA

  • Klawiatury

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: funkcja QuickType mogła poznać dane logowania użytkownika.

    Opis: funkcja QuickType mogła poznać dane logowania użytkownika podczas przełączania między elementami. Ten problem rozwiązano przez wyłączenie poznawania przez funkcję QuickType zawartości pól, gdy jest wyłączone automatyczne uzupełnianie, i ponowne stosowanie kryteriów podczas przełączania między elementami wejściowymi DOM w starszych wersjach oprogramowania WebKit.

    Identyfikator CVE

    CVE-2014-4450

  • Secure Transport

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: osoba atakująca może odszyfrować dane chronione za pomocą protokołu SSL.

    Opis: znane są ataki na poufność komunikacji za pośrednictwem protokołu SSL 3.0 polegające na używaniu szyfru blokującego w trybie CBC przez oprogramowanie szyfrujące. Osoba atakująca może zablokować nawiązywanie połączeń przy użyciu protokołu TLS 1.0 lub nowszych wersji, aby wymusić stosowanie protokołu SSL 3.0 nawet w przypadku, gdy serwer powinien obsługiwać lepszy protokół TLS. Ten problem rozwiązano przez wyłączenie zestawów szyfrowania CBC w przypadku niepowodzenia nawiązania połączenia TLS.

    Identyfikator CVE

    CVE-2014-3566: Bodo Moeller, Thai Duong i Krzysztof Kotowicz z zespołu do spraw bezpieczeństwa w firmie Google

Informacje o produktach niewytworzonych przez Apple lub o niezależnych witrynach internetowych, których Apple nie kontroluje ani nie testuje, są udostępniane bez żadnej rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności za wybór, działanie lub wykorzystanie takich witryn lub produktów innych firm. Apple nie składa żadnych oświadczeń dotyczących dokładności lub wiarygodności witryn internetowych innych firm. Ryzyko jest wpisane w korzystanie z Internetu. Skontaktuj się z dostawcą, aby uzyskać więcej informacji. Pozostałe nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów.

Data publikacji: