Informacje o zawartości związanej z zabezpieczeniami w systemie iOS 8.1

Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w systemie iOS 8.1

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

iOS 8.1

• Bluetooth

  Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

  Zagrożenie: złośliwe urządzenie wejściowe Bluetooth może ominąć mechanizm zestawiania w parę.

  Opis: możliwe było nawiązywanie nieszyfrowanych połączeń z akcesoriów interfejsu użytkownika (HID, Human Interface Device) Bluetooth o niskim poborze energii. Jeśli urządzenie z systemem iOS zostało zestawione w parę z takim akcesorium, osoba atakująca mogła podszyć się pod uprawnione akcesorium w celu nawiązania połączenia. Ten problem rozwiązano przez odmowę akceptowania nieszyfrowanych połączeń z urządzeniami HID.

  Identyfikator CVE

  CVE-2014-4428: Mike Ryan z firmy iSEC Partners

• House Arrest

  Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

  Zagrożenie: pliki przesyłane do urządzenia mogą być zapisywane z niewystarczającą ochroną kryptograficzną.

  Opis: pliki mogły być przesyłane do katalogu Dokumenty aplikacji i szyfrowane za pomocą klucza chronionego tylko przez identyfikator UID sprzętu. Ten problem rozwiązano przez zaszyfrowanie przesyłanych plików przy użyciu klucza chronionego identyfikatorem UID sprzętu oraz kodem użytkownika.

  Identyfikator CVE

  CVE-2014-4448: Jonathan Zdziarski i Kevin DeLong

• Dostęp do danych iCloud

  Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

  Zagrożenie: osoba atakująca mająca uprzywilejowany dostęp do sieci może wymusić na klientach dostępu do danych iCloud ujawnienie poufnych informacji.

  Opis: w klientach dostępu do danych iCloud występowała luka sprawdzania poprawności certyfikatów TLS. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania certyfikatów.

  Identyfikator CVE

  CVE-2014-4449: Carl Mehner z USAA

• Klawiatury

  Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

  Zagrożenie: funkcja QuickType mogła poznać dane logowania użytkownika.

  Opis: funkcja QuickType mogła poznać dane logowania użytkownika podczas przełączania między elementami. Ten problem rozwiązano przez wyłączenie poznawania przez funkcję QuickType zawartości pól, gdy jest wyłączone automatyczne uzupełnianie, i ponowne stosowanie kryteriów podczas przełączania między elementami wejściowymi DOM w starszych wersjach oprogramowania WebKit.

  Identyfikator CVE

  CVE-2014-4450

• Secure Transport

  Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

  Zagrożenie: osoba atakująca może odszyfrować dane chronione za pomocą protokołu SSL.

  Opis: znane są ataki na poufność komunikacji za pośrednictwem protokołu SSL 3.0 polegające na używaniu szyfru blokującego w trybie CBC przez oprogramowanie szyfrujące. Osoba atakująca może zablokować nawiązywanie połączeń przy użyciu protokołu TLS 1.0 lub nowszych wersji, aby wymusić stosowanie protokołu SSL 3.0 nawet w przypadku, gdy serwer powinien obsługiwać lepszy protokół TLS. Ten problem rozwiązano przez wyłączenie zestawów szyfrowania CBC w przypadku niepowodzenia nawiązania połączenia TLS.

  Identyfikator CVE

  CVE-2014-3566: Bodo Moeller, Thai Duong i Krzysztof Kotowicz z zespołu do spraw bezpieczeństwa w firmie Google