Informacje o zawartości związanej z zabezpieczeniami w systemie iOS 8.1.1
W tym dokumencie omówiono zawartość związaną z zabezpieczeniami w systemie iOS 8.1.1.
W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.
iOS 8.1.1
CFNetwork
Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: pamięć podręczna witryn może nie być całkowicie czyszczona po wyłączeniu przeglądania prywatnego.
Opis: problem z ochroną prywatności powodował, że dane przeglądania mogły pozostać w pamięci podręcznej po wyłączeniu przeglądania prywatnego. Ten problem rozwiązano przez zmianę zachowania dotyczącego pamięci podręcznej.
Identyfikator CVE
CVE-2014-4460
dyld
Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: użytkownik lokalny może być w stanie uruchomić niepodpisany kod
Opis: w procedurze obsługi plików wykonywalnych Mach-O z nakładającymi się segmentami występował błąd dotyczący zarządzania stanem. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności rozmiarów segmentów.
Identyfikator CVE
CVE-2014-4455: @PanguTeam
Jądro
Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi
Opis: w procedurze obsługi niektórych pól metadanych obiektów IOSharedDataQueue występował błąd sprawdzania poprawności. Ten problem rozwiązano przez relokację metadanych.
Identyfikator CVE
CVE-2014-4461: @PanguTeam
Ekran blokady
Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: atakujący będący w posiadaniu urządzenia może przekroczyć maksymalną liczbę nieudanych prób wprowadzenia kodu odblokowującego
Opis: w niektórych przypadkach limit nieudanych prób wprowadzenia kodu odblokowującego nie był egzekwowany. Ten problem rozwiązano przez wprowadzenie dodatkowej procedury wymuszania tego limitu.
Identyfikator CVE
CVE-2014-4451: Stuart Ryan z University of Technology, Sydney
Ekran blokady
Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: osoba z fizycznym dostępem do telefonu może uzyskać dostęp do zdjęć w bibliotece zdjęć
Opis: opcja Zostaw wiadomość w funkcji FaceTime mogła umożliwiać wyświetlanie i wysyłanie zdjęć na urządzeniu. Rozwiązanie tego problemu polega na poprawieniu procedury zarządzania stanem.
Identyfikator CVE
CVE-2014-4463
Profile piaskownicy
Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: złośliwa aplikacja może uruchomić dowolny plik binarny na zaufanym urządzeniu
Opis: błąd w procedurach obsługi uprawnień przez funkcję debugowania dla systemu iOS umożliwiał generowanie aplikacji na zaufanych urządzeniach, które nie były debugowane. Ten problem rozwiązano przez wprowadzenie zmian w piaskownicy serwera debugowania.
Identyfikator CVE
CVE-2014-4457: @PanguTeam
Funkcja Spotlight
Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy
Zagrożenie: początkowe połączenie między programem Spotlight lub Safari a serwerami sugestii funkcji Spotlight zawiera niepotrzebne informacje
Opis: początkowe połączenie między programem Spotlight lub Safari a serwerami sugestii funkcji Spotlight zawierało przybliżoną lokalizację użytkownika udostępnianą przed wprowadzeniem zapytania. Ten problem rozwiązano przez usunięcie informacji z pierwszego połączenia. Przybliżona lokalizacja użytkownika jest wysyłana tylko w ramach zapytań.
Identyfikator CVE
CVE-2014-4453: Ashkan Soltani
WebKit
Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu
Opis: w oprogramowaniu WebKit występowało kilka błędów powodujących uszkodzenie zawartości pamięci. Te problemy rozwiązano przez poprawienie obsługi pamięci.
Identyfikator CVE
CVE-2014-4452
CVE-2014-4462
Funkcja FaceTime nie jest dostępna we wszystkich krajach i regionach.
Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.