Informacje o zawartości związanej z zabezpieczeniami w systemie iOS 8.1.1

W tym dokumencie omówiono zawartość związaną z zabezpieczeniami w systemie iOS 8.1.1.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

iOS 8.1.1

  • CFNetwork

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: pamięć podręczna witryn może nie być całkowicie czyszczona po wyłączeniu przeglądania prywatnego.

    Opis: problem z ochroną prywatności powodował, że dane przeglądania mogły pozostać w pamięci podręcznej po wyłączeniu przeglądania prywatnego. Ten problem rozwiązano przez zmianę zachowania dotyczącego pamięci podręcznej.

    Identyfikator CVE

    CVE-2014-4460

  • dyld

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: użytkownik lokalny może być w stanie uruchomić niepodpisany kod

    Opis: w procedurze obsługi plików wykonywalnych Mach-O z nakładającymi się segmentami występował błąd dotyczący zarządzania stanem. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności rozmiarów segmentów.

    Identyfikator CVE

    CVE-2014-4455: @PanguTeam

  • Jądro

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi

    Opis: w procedurze obsługi niektórych pól metadanych obiektów IOSharedDataQueue występował błąd sprawdzania poprawności. Ten problem rozwiązano przez relokację metadanych.

    Identyfikator CVE

    CVE-2014-4461: @PanguTeam

  • Ekran blokady

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: atakujący będący w posiadaniu urządzenia może przekroczyć maksymalną liczbę nieudanych prób wprowadzenia kodu odblokowującego

    Opis: w niektórych przypadkach limit nieudanych prób wprowadzenia kodu odblokowującego nie był egzekwowany. Ten problem rozwiązano przez wprowadzenie dodatkowej procedury wymuszania tego limitu.

    Identyfikator CVE

    CVE-2014-4451: Stuart Ryan z University of Technology, Sydney

  • Ekran blokady

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: osoba z fizycznym dostępem do telefonu może uzyskać dostęp do zdjęć w bibliotece zdjęć

    Opis: opcja Zostaw wiadomość w funkcji FaceTime mogła umożliwiać wyświetlanie i wysyłanie zdjęć na urządzeniu. Rozwiązanie tego problemu polega na poprawieniu procedury zarządzania stanem.

    Identyfikator CVE

    CVE-2014-4463

  • Profile piaskownicy

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: złośliwa aplikacja może uruchomić dowolny plik binarny na zaufanym urządzeniu

    Opis: błąd w procedurach obsługi uprawnień przez funkcję debugowania dla systemu iOS umożliwiał generowanie aplikacji na zaufanych urządzeniach, które nie były debugowane. Ten problem rozwiązano przez wprowadzenie zmian w piaskownicy serwera debugowania.

    Identyfikator CVE

    CVE-2014-4457: @PanguTeam

  • Funkcja Spotlight

    Dostępne dla: iPhone 4s lub nowszy, iPod touch (5. generacji) lub nowszy, iPad 2 lub nowszy

    Zagrożenie: początkowe połączenie między programem Spotlight lub Safari a serwerami sugestii funkcji Spotlight zawiera niepotrzebne informacje

    Opis: początkowe połączenie między programem Spotlight lub Safari a serwerami sugestii funkcji Spotlight zawierało przybliżoną lokalizację użytkownika udostępnianą przed wprowadzeniem zapytania. Ten problem rozwiązano przez usunięcie informacji z pierwszego połączenia. Przybliżona lokalizacja użytkownika jest wysyłana tylko w ramach zapytań.

    Identyfikator CVE

    CVE-2014-4453: Ashkan Soltani

  • WebKit

    Dostępne dla: telefonu iPhone 4s lub nowszego, iPoda touch (5. generacji) lub nowszego, iPada 2 lub nowszego

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu

    Opis: w oprogramowaniu WebKit występowało kilka błędów powodujących uszkodzenie zawartości pamięci. Te problemy rozwiązano przez poprawienie obsługi pamięci.

    Identyfikator CVE

    CVE-2014-4452

    CVE-2014-4462

Funkcja FaceTime nie jest dostępna we wszystkich krajach i regionach.

Informacje o produktach niewytworzonych przez Apple lub o niezależnych witrynach internetowych, których Apple nie kontroluje ani nie testuje, są udostępniane bez żadnej rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności za wybór, działanie lub wykorzystanie takich witryn lub produktów innych firm. Apple nie składa żadnych oświadczeń dotyczących dokładności lub wiarygodności witryn internetowych innych firm. Ryzyko jest wpisane w korzystanie z Internetu. Skontaktuj się z dostawcą, aby uzyskać więcej informacji. Pozostałe nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów.

Data publikacji: