Pentru protecţia clienţilor noştri, Apple nu divulgă, nu discută şi nu confirmă problemele de securitate înainte de a face o investigaţie completă şi de a pune la dispoziţie corecţiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul web Securitatea produselor Apple.
Pentru informaţii despre cheia PGP pentru securitatea produselor Apple, consultă Utilizarea cheii PGP pentru securitatea produselor Apple.
Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilităţi pentru mai multe informaţii.
Pentru a afla mai multe despre alte actualizări de securitate, consultă Actualizările de securitate Apple.
iOS 8
802.1X
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: un atacator poate obţine acreditările WiFi
Descriere: este posibil ca un atacator să fi imitat un punct de acces WiFi, să fi oferit autentificarea cu LEAP, să fi spart hashul MS-CHAPv1 şi să fi utilizat acreditările obţinute pentru a se autentifica la punctul de acces scontat, chiar dacă punctul de acces respectiv accepta metode de autentificare mai puternice. Această problemă a fost rezolvată prin dezactivarea LEAP în mod implicit.
CVE-ID
CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax şi Wim Lamotte de la Universiteit Hasselt
Conturi
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: se poate ca o aplicaţie rău intenţionată să aibă posibilitatea de a identifica ID-ul Apple al utilizatorului
Descriere: a existat o problemă la logica de acces pentru conturi. O aplicaţie care rulează în sandbox poate obţine informaţii despre contul iCloud activ în prezent, inclusiv numele contului. Această problemă a fost rezolvată prin restricţionarea accesului la anumite tipuri de conturi din partea aplicaţiilor neautorizate.
CVE-ID
CVE-2014-4423: Adam Weaver
Accesibilitate
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: este posibil ca dispozitivul să nu blocheze ecranul când se utilizează AssistiveTouch
Descriere: în modul de tratare a evenimentelor de la AssistiveTouch a existat o problemă, care a avut ca rezultat neblocarea ecranului. Această problemă a fost rezolvată prin tratarea îmbunătăţită a temporizatorului de blocare.
CVE-ID
CVE-2014-4368: Hendrik Bettermann
Cadrul conturilor
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: este posibil ca un atacator cu acces la un dispozitiv iOS să acceseze din jurnale informaţii sensibile ale utilizatorului
Descriere: au fost jurnalizate informaţii sensibile ale utilizatorului. Această problemă a fost rezolvată prin jurnalizarea unor informaţii mai puţine.
CVE-ID
CVE-2014-4357: Heli Myllykoski de la OP-Pohjola Group
Agenda de adrese
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: este posibil ca o persoană cu acces fizic la un dispozitiv iOS să citească agenda de adrese
Descriere: agenda de adrese a fost criptată cu o cheie protejată numai prin identificarea utilizatorului hardware. Această problemă a fost rezolvată prin criptarea agendei de adrese cu o cheie protejată prin identificarea utilizatorului hardware şi codul de acces al utilizatorului.
CVE-ID
CVE-2014-4352: Jonathan Zdziarski
Instalarea aplicaţiilor
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: se poate ca un atacator local să aibă posibilitatea să îşi mărească privilegiile şi să instaleze aplicaţii neverificate
Descriere: la instalarea aplicaţiei a existat o condiţie de rulare. Este posibil ca un atacator cu capabilitatea de a scrie în /tmp să fi avut posibilitatea să instaleze o aplicaţie neverificată. Această problemă a fost rezolvată prin trecerea fişierelor de instalare în alt director.
CVE-ID
CVE-2014-4386: evad3rs
Instalarea aplicaţiilor
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: se poate ca un atacator local să aibă posibilitatea să îşi mărească privilegiile şi să instaleze aplicaţii neverificate
Descriere: la instalarea aplicaţiei a existat o problemă de traversare a căii. Este posibil ca un atacator local să fi redirecţionat validarea semnăturii codului într-un pachet diferit de cel în curs de instalare şi să fi cauzat instalarea unei aplicaţii neverificate. Această problemă a fost rezolvată prin detectarea şi prevenirea traversării căii la determinarea semnăturii codului de verificat.
CVE-ID
CVE-2014-4384: evad3rs
Bunuri
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: se poate ca un atacator cu poziţie privilegiată în reţea să aibă posibilitatea să determine ca un dispozitiv iOS să considere că este actualizat chiar dacă nu este
Descriere: a existat o problemă de validare în tratarea răspunsurilor la verificarea actualizărilor. Datele falsificate din răspunsul privind cea mai recentă modificare (Last-Modified), setată la date calendaristice din viitor, au fost utilizate pentru verificările If-Modified-Since din solicitările ulterioare de actualizare. Această problemă a fost rezolvată prin validarea antetului pentru Last-Modified.
CVE-ID
CVE-2014-4383: Raul Siles de la DinoSec
Bluetooth
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: caracteristica Bluetooth este în mod neaşteptat activată implicit după ce se face upgrade pentru iOS
Descriere: caracteristica Bluetooth a fost activată în mod automat după ce s-a făcut upgrade pentru iOS. Această problemă a fost rezolvată prin activarea caracteristicii Bluetooth numai pentru actualizări majore sau minore.
CVE-ID
CVE-2014-4354: Maneet Singh, Sean Bluestein
Politica de încredere în certificate
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: actualizare a politicii de încredere în certificate
Descriere: Politica de încredere în certificate a fost actualizată. Lista completă de certificate poate fi vizualizată la adresa http://support.apple.com/kb/HT5012?viewlocale=ro_RO.
CoreGraphics
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: deschiderea unui fişier PDF creat cu rea intenţie poate duce la închiderea neaşteptată a aplicaţiei sau la executarea unui cod aleatoriu
Descriere: la tratarea fişierelor PDF a existat o depăşire a întregului. Această problemă a fost rezolvată printr-o verificare îmbunătățită a limitelor.
CVE-ID
CVE-2014-4377: Felipe Andres Manzano de la Binamuse VRT lucrând cu programul iSIGHT Partners GVP
CoreGraphics
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: deschiderea unui fişier PDF creat cu rea intenţie poate duce la închiderea neaşteptată a aplicaţiei sau la dezvăluirea de informaţii
Descriere: la tratarea fişierelor PDF a existat o citire a memoriei în afara limitelor. Această problemă a fost rezolvată printr-o verificare îmbunătățită a limitelor.
CVE-ID
CVE-2014-4378: Felipe Andres Manzano de la Binamuse VRT lucrând cu programul iSIGHT Partners GVP
Detectori de date
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: prin atingerea unei legături FaceTime din Mail s-ar declanşa un apel audio FaceTime, fără a întreba
Descriere: Mail nu a consultat utilizatorul înainte de lansarea adreselor URL facetime-audio://. Problema a fost rezolvată prin adăugarea unui dialog de confirmare.
CVE-ID
CVE-2013-6835: Guillaume Ross
Foundation
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: Este posibil ca o aplicație care utilizează NSXMLParser să fie utilizată greșit pentru a dezvălui informații
Descriere: A existat o problemă la XML External Entity în tratarea XML de către NSXMLParser. Această problemă a fost rezolvată prin neîncărcarea entităților externe peste origini.
CVE-ID
CVE-2014-4374: George Gal de la VSR (http://www.vsecurity.com/)
Ecranul de acasă şi de blocare
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: o aplicaţie de fundal poate determina aplicaţia aflată cea mai în faţă
Descriere: interfaţa API privată pentru stabilirea aplicaţiei aflate cel mai în faţă nu a avut suficient control al accesului. Această problemă a fost rezolvată printr-un control suplimentar al accesului.
CVE-ID
CVE-2014-4361: Andreas Kurtz de la NESO Security Labs şi Markus Troßbach de la Heilbronn University
iMessage
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: ataşările pot persista după ştergerea mesajului iMessage părinte sau a MMS-ului
Descriere: a existat o condiţie de rulare în modul în care au fost şterse ataşările. Această problemă a fost rezolvată prin efectuarea de verificări suplimentare privind ştergerea unei ataşări.
CVE-ID
CVE-2014-4353: Silviu Schiau
IOAcceleratorFamily
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: o aplicaţie poate cauza o închidere neaşteptată a sistemului
Descriere: a existat o referinţă la un indicator nul în tratarea argumentelor interfeţei API IOAcceleratorFamily. Această problemă a fost rezolvată prin validarea îmbunătăţită a argumentelor interfeţei API IOAcceleratorFamily.
CVE-ID
CVE-2014-4369: Catherine aka winocm şi Cererdlong de la echipa Alibaba Mobile Security
IOAcceleratorFamily
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: este posibil ca dispozitivul să repornească în mod neaşteptat
Descriere: o referinţă la un indicator NULL a fost prezentă în driverul IntelAccelerator. Problema a fost rezolvată prin tratarea îmbunătăţită a erorilor.
CVE-ID
CVE-2014-4373: cunzhang de la Adlab of Venustech
IOHIDFamily
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: se poate ca o aplicaţie rău intenţionată să aibă posibilitatea să citească indicatorii kernel, ceea ce se poate utiliza pentru a ignora aranjarea aleatorie a spaţiului de adresă pentru kernel
Descriere: a existat o problemă de citire în afara limitelor la tratarea unei funcţii IOHIDFamily. Această problemă a fost rezolvată printr-o verificare îmbunătățită a limitelor.
CVE-ID
CVE-2014-4379: Ian Beer de la Google Project Zero
IOHIDFamily
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: se poate ca o aplicaţie rău intenţionată să aibă posibilitatea să execute cod arbitrar cu privilegii de sistem
Descriere: a existat o depăşire a zonei tampon a structurii de date la tratarea de către IOHIDFamily a proprietăţilor de mapare a cheilor. Această problemă a fost rezolvată printr-o verificare îmbunătățită a limitelor.
CVE-ID
CVE-2014-4404: Ian Beer de la Google Project Zero
IOHIDFamily
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: se poate ca o aplicaţie rău intenţionată să aibă posibilitatea să execute cod arbitrar cu privilegii de sistem
Descriere: a existat o referinţă la un indicator nul la tratarea de către IOHIDFamily a proprietăţilor de mapare a cheilor. Această problemă a fost rezolvată prin validarea îmbunătăţită a proprietăţilor de mapare a cheilor pentru IOHIDFamily.
CVE-ID
CVE-2014-4405: Ian Beer de la Google Project Zero
IOHIDFamily
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: se poate ca o aplicaţie rău intenţionată să aibă posibilitatea să execute cod arbitrar cu privilegii de kernel
Descriere: a existat o problemă de scriere în afara limitelor la extensia kernel pentru IOHIDFamily. Această problemă a fost rezolvată printr-o verificare îmbunătățită a limitelor.
CVE-ID
CVE-2014-4380: cunzhang de la Adlab of Venustech
IOKit
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: se poate ca o aplicaţie rău intenţionată să aibă posibilitatea să citească date neiniţializate din memoria de kernel
Descriere: a existat o problemă de accesare a memoriei neiniţializate la tratarea funcţiilor IOKit. Această problemă a fost rezolvată prin îmbunătăţirea iniţializării memoriei
CVE-ID
CVE-2014-4407: @PanguTeam
IOKit
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: se poate ca o aplicaţie rău intenţionată să aibă posibilitatea să execute cod arbitrar cu privilegii de sistem
Descriere: a existat o problemă de validare la tratarea anumitor câmpuri de metadate ale obiectelor IODataQueue. Această problemă a fost rezolvată prin validarea îmbunătățită a metadatelor.
CVE-ID
CVE-2014-4418: Ian Beer de la Google Project Zero
IOKit
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: se poate ca o aplicaţie rău intenţionată să aibă posibilitatea să execute cod arbitrar cu privilegii de sistem
Descriere: a existat o problemă de validare la tratarea anumitor câmpuri de metadate ale obiectelor IODataQueue. Această problemă a fost rezolvată prin validarea îmbunătățită a metadatelor.
CVE-ID
CVE-2014-4388: @PanguTeam
IOKit
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: se poate ca o aplicaţie rău intenţionată să aibă posibilitatea să execute cod arbitrar cu privilegii de sistem
Descriere: la tratarea funcţiilor IOKit a existat o depăşire a întregului. Această problemă a fost rezolvată prin validarea îmbunătăţită a argumentelor interfeţei API IOKit.
CVE-ID
CVE-2014-4389: Ian Beer de la Google Project Zero
Nucleu
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: se poate ca un utilizator local să aibă posibilitatea să determine aspectul memoriei kernel
Descriere: au existat mai multe probleme ale memoriei neiniţializate în interfaţa statisticii de reţea, ceea ce a condus la dezvăluirea conţinutului memoriei kernel. Această problemă a fost rezolvată prin iniţializarea suplimentară a memoriei
CVE-ID
CVE-2014-4371: Fermin J. Serna de la Echipa de securitate Google
CVE-2014-4419: Fermin J. Serna de la Echipa de securitate Google
CVE-2014-4420: Fermin J. Serna de la Echipa de securitate Google
CVE-2014-4421: Fermin J. Serna de la Echipa de securitate Google
Nucleu
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: este posibil ca o persoană cu o poziţie privilegiată în reţea să cauzeze o refuzare a serviciului
Descriere: la tratarea pachetelor IPv6 a existat o problemă a condiţiei de rulare. Această problemă a fost rezolvată prin îmbunătăţirea verificării stării de blocare.
CVE-ID
CVE-2011-2391: Marc Heuse
Nucleu
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: se poate ca un utilizator local să aibă posibilitatea să provoace închiderea neaşteptată a sistemului sau executarea unui cod aleatoriu în nucleu
Descriere: a existat o problemă de tipul „double free” la tratarea porturilor Mach. Această problemă a fost rezolvată prin validarea îmbunătăţită a porturilor Mach.
CVE-ID
CVE-2014-4375: un cercetător anonim
Nucleu
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: se poate ca un utilizator local să aibă posibilitatea să provoace închiderea neaşteptată a sistemului sau executarea unui cod aleatoriu în nucleu
Descriere: în rt_setgate a existat o problemă de citire în afara limitelor. Acest fapt poate conduce la dezvăluirea sau coruperea memoriei. Această problemă a fost rezolvată printr-o verificare îmbunătățită a limitelor.
CVE-ID
CVE-2014-4408
Nucleu
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: pot fi ignorate unele măsuri de întărire pentru kernel
Descriere: generatorul de numere aleatorii pentru măsurile de întărire pentru kernel, utilizat anterior în procesul de iniţializare, nu a fost securizat criptografic. O parte din rezultate au putut fi deduse din spaţiul de utilizator, permiţând ignorarea măsurilor de întărire. Această problemă a fost rezolvată prin utilizarea unui algoritm de securizare criptografică.
CVE-ID
CVE-2014-4422: Tarjei Mandt de la Azimuth Security
Libnotify
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: se poate ca o aplicaţie rău intenţionată să aibă posibilitatea să execute cod arbitrar cu privilegii de rădăcină
Descriere: a existat o problemă de scriere în afara limitelor în Libnotify. Această problemă a fost rezolvată printr-o verificare îmbunătățită a limitelor.
CVE-ID
CVE-2014-4381: Ian Beer de la Google Project Zero
Blocare
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: un dispozitiv poate fi manipulat pentru a prezenta incorect ecranul principal când dispozitivul este blocat la activare
Descriere: a existat o problemă cu comportamentul la deblocare, ceea ce a cauzat ca un dispozitiv să treacă la ecranul principal chiar dacă este încă în starea de blocat la activare. Această problemă a fost rezolvată prin modificarea informaţiilor pe care le verifică un dispozitiv în timpul unei solicitări de deblocare.
CVE-ID
CVE-2014-1360
Mail
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: acreditările de autentificare pot fi trimise în text simplu chiar dacă serverul a anunţat capabilitatea IMAP LOGINDISABLED
Descriere: Mail a trimis comanda LOGIN către servere, chiar dacă acestea au anunţat capabilitatea IMAP LOGINDISABLED. Această problemă este o problemă mai ales atunci când se face conectarea la servere care sunt configurate pentru a accepta conexiuni necriptate şi care anunţă LOGINDISABLED. Această problemă a fost rezolvată prin respectarea capabilităţii IMAP LOGINDISABLED.
CVE-ID
CVE-2014-4366: Mark Crispin
Mail
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: este posibil ca o persoană cu acces fizic la un dispozitiv iOS să citească ataşările de e-mail
Descriere: a existat o problemă logică în utilizarea de către Mail a Data Protection pentru fișierele atașate la e-mailuri. Această problemă a fost rezolvată prin setarea corectă a clasei Data Protection pentru fișierele atașate la e-mailuri.
CVE-ID
CVE-2014-1348: Andreas Kurtz de la NESO Security Labs
Profiluri
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: Voice Dial s-a activat pe neaşteptate după ce s-a făcut upgrade la iOS
Descriere: caracteristica Voice Dial a fost activată în mod automat după ce s-a făcut upgrade pentru iOS. Această problemă a fost rezolvată prin îmbunătăţirea gestionării stării.
CVE-ID
CVE-2014-4367: Sven Heinemann
Safari
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: acreditările utilizatorului pot fi divulgate unui site nedorit prin auto-completare
Descriere: este posibil ca Safari să fi auto-completat nume de utilizator şi parole într-un subcadru din alt domeniu decât cel al cadrului principal. Pentru rezolvarea acestei probleme, s-au îmbunătăţit metodele de identificare a sursei.
CVE-ID
CVE-2013-5227: Niklas Malmgren de la Klarna AB
Safari
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: un atacator cu o poziţie favorabilă în reţea poate intercepta datele de autentificare ale utilizatorilor
Descriere: parolele salvate au fost completate automat pentru site-uri http, pentru site-uri https cu încredere afectată şi în documente iframe. Această problemă a fost rezolvată prin restricţionarea completării automate a parolelor la cadrul principal al site-urilor https cu lanţuri de certificate valide.
CVE-ID
CVE-2014-4363: David Silver, Suman Jana, i Dan Boneh de la Stanford University colaborând cu Eric Chen şi Collin Jackson de la universitatea Carnegie Mellon
Safari
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: un atacator dintr-o poziţie privilegiată în reţea poate falsifica URL-uri în Safari
Descriere: a existat o problemă de inconsecvenţă a interfeţei cu utilizatorul în Safari pe dispozitivele compatibile cu MDM. Această problemă a fost rezolvată prin îmbunătăţirea verificărilor pentru interfaţa cu utilizatorul.
CVE-ID
CVE-2014-8841: Angelo Prado (Salesforce Product Security)
Profiluri de sandbox
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: informaţiile ID Apple sunt accesibile de către aplicaţii de la terţi
Descriere: A existat o problemă de dezvăluire a informațiilor la sandboxul unei aplicații de la terți. Această problemă a fost rezolvată prin îmbunătăţirea profilului sandbox de la terţi.
CVE-ID
CVE-2014-4362: Andreas Kurtz de la NESO Security Labs şi Markus Troßbach de la Heilbronn University
Configurări
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: examinările de mesaje de tip text pot să apară în ecranul de blocare chiar şi atunci când această caracteristică este dezactivată
Descriere: a existat o problemă la examinarea notificărilor prin mesaje de tip text în ecranul de blocare. Ca rezultat, conţinutul mesajelor primite ar fi afişat în ecranul de blocare chiar dacă examinările au fost dezactivate din Setări. Această problemă a fost rezolvată prin respectarea îmbunătăţită a acestei setări.
CVE-ID
CVE-2014-4356: Mattia Schirinzi de la San Pietro Vernotico (BR), Italia
syslog
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: se poate ca un utilizator local să aibă posibilitatea modifica permisiuni pentru fişiere arbitrare
Descriere: syslogd a urmat linkuri simbolice în timpul modificării permisiunilor pentru fişiere. Această problemă a fost rezolvată prin tratarea îmbunătăţită a linkurilor simbolice.
CVE-ID
CVE-2014-4372: Tielei Wang şi YeongJin Jang de la Georgia Tech Information Security Center (GTISC)
Vremea
Disponibilitate pentru: iPhone 4s şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente
Impact: informaţiile privind locaţia au fost trimise fără criptare
Descriere: a existat o problemă de dezvăluire a informaţiilor la o interfaţă API utilizată pentru a determina vremea locală. Această problemă a fost rezolvată prin schimbarea interfeţelor API.
WebKit
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: se poate ca un site web rău intenţionat să aibă posibilitatea să urmărească utilizatorii chiar dacă este activată navigarea confidenţială
Descriere: este posibil ca o aplicaţie web să stocheze date cache de aplicaţie HTML 5 în timpul navigării normale, apoi să citească date în timpul navigării confidenţiale. Această problemă a fost rezolvată prin dezactivarea accesului la memoria cache a aplicaţiei în modul de navigare confidenţial.
CVE-ID
CVE-2014-4409: Yosuke Hasegawa (NetAgent Co., Led.)
WebKit
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: accesarea unui site rău intenţionat poate duce la închiderea neaşteptată a aplicaţiei sau la executarea unui cod arbitrar
Descriere: în WebKit erau mai multe probleme de corupere a memoriei. Pentru rezolvarea acestor probleme, s-a implementat o mai bună gestionare a memoriei.
CVE-ID
CVE-2013-6663: Atte Kettunen de la OUSPG
CVE-2014-1384: Apple
CVE-2014-1385: Apple
CVE-2014-1387: Echipa de securitate Google Chrome
CVE-2014-1388: Apple
CVE-2014-1389: Apple
CVE-2014-4410: Eric Seidel de la Google
CVE-2014-4411: Echipa de securitate Google Chrome
CVE-2014-4412: Apple
CVE-2014-4413: Apple
CVE-2014-4414: Apple
CVE-2014-4415: Apple
WiFi
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: se poate ca un dispozitiv să fie urmărit în mod pasiv de propria adresă MAC WiFi
Descriere: a existat o dezvăluire a informaţiilor deoarece era utilizată o adresă MAC stabilă pentru a scana în căutarea de reţele WiFi. Această problemă a fost rezolvată prin stabilirea aleatorie a adresei MAC pentru scanări WiFi pasive.
Notă:
iOS 8 conţine modificări la unele capabilităţi de diagnosticare. Pentru detalii, consultă http://support.apple.com/kb/HT6331?viewlocale=ro_RO
Acum iOS 8 permite dispozitivelor să nu aibă încredere în orice computer care anterior era de încredere. Instrucţiuni pot fi găsite la http://support.apple.com/kb/HT5868?viewlocale=ro_RO
Serviciul FaceTime nu este disponibil în toate țările sau regiunile.