Despre conținutul de securitate din iOS 8.1.1
Acest document descrie conținutul de securitate din iOS 8.1.1.
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate înainte de a face o investigație completă și de a pune la dispoziție corecțiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul web Securitatea produselor Apple.
Pentru informații despre cheia PGP pentru securitatea produselor Apple, consultă Utilizarea cheii PGP pentru securitatea produselor Apple.
Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilități pentru mai multe informații.
Pentru a afla mai multe despre alte actualizări de securitate, consultă Actualizările de securitate Apple.
iOS 8.1.1
CFNetwork
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: este posibil să nu fie golit integral cache-ul paginii web după părăsirea navigării private
Descriere: a existat o problemă de confidențialitate legată de faptul că ar putea rămâne date despre navigare în cache după părăsirea navigării private. Această problemă a fost rezolvată prin modificarea comportării cache-ului.
CVE-ID
CVE-2014-4460
dyld
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: Un utilizator local poate executa cod nesemnat
Descriere: A existat o problemă a gestionării stării la manipularea fișierelor executabile Match-O cu segmente suprapuse. Această problemă a fost rezolvată prin validarea îmbunătățită a dimensiunilor segmentelor.
CVE-ID
CVE-2014-4455: @PanguTeam
Nucleu
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: se poate ca o aplicație rău intenționată să aibă posibilitatea să execute cod arbitrar cu privilegii de sistem
Descriere: a existat o problemă de validare la tratarea anumitor câmpuri de metadate ale obiectelor IOSharedDataQueue. Această problemă a fost rezolvată prin relocarea metadatelor.
CVE-ID
CVE-2014-4461: @PanguTeam
Ecranul de blocare
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: un atacator în posesia unui dispozitiv poate depăși numărul maxim de încercări nereușite de introducere a codului de acces
Descriere: în unele circumstanțe, limita de încercări nereușite de introducere a codului de acces nu a fost aplicată. Această problemă a fost rezolvată prin aplicarea suplimentară a acestei limite.
CVE-ID
CVE-2014-4451: Stuart Ryan de la University of Technology, Sydney
Ecranul de blocare
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: o persoană cu acces fizic la telefon poate accesa fotografii din Biblioteca foto
Descriere: este posibil ca opțiunea Lăsați un mesaj din FaceTime să fi permis vizualizarea și trimiterea de fotografii de pe dispozitiv. Această problemă a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-ID
CVE-2014-4463
Profiluri de sandbox
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: o aplicație rău intenționată poate lansa fișiere binare arbitrare pe un dispozitiv de încredere
Descriere: a existat o problemă legată de permisiuni la funcționalitatea de depanare pentru iOS care a permis răspândirea de aplicații pe dispozitive de încredere pe care nu se efectua depanare. Această problemă a fost rezolvată prin efectuarea de modificări în sandboxul serverului de depanare.
CVE-ID
CVE-2014-4457: @PanguTeam
Spotlight
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: se includ informații nenecesare la conectarea inițială între Spotlight sau Safari și serverele Sugestii Spotlight
Descriere: conectarea inițială efectuată de Spotlight sau Safari la serverele Sugestii Spotlight a inclus locația aproximativă a unui utilizator înainte ca acesta să introducă o interogare. Această problemă a fost rezolvată prin eliminarea acestor informații la conectarea inițială și trimiterea locației aproximative a utilizatorului numai ca parte a interogărilor.
CVE-ID
CVE-2014-4453: Ashkan Soltani
WebKit
Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare
Impact: accesarea unui site rău intenționat poate duce la închiderea neașteptată a aplicației sau la executarea unui cod arbitrar
Descriere: în WebKit erau mai multe probleme de corupere a memoriei. Pentru rezolvarea acestor probleme, s-a implementat o mai bună gestionare a memoriei.
CVE-ID
CVE-2014-4452
CVE-2014-4462
Serviciul FaceTime nu este disponibil în toate țările sau regiunile.
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.