Despre conţinutul de securitate din iOS 8

Acest document descrie conţinutul de securitate din iOS 8.

Pentru protecţia clienţilor noştri, Apple nu divulgă, nu discută şi nu confirmă problemele de securitate înainte de a face o investigaţie completă şi de a pune la dispoziţie corecţiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul web Securitatea produselor Apple.

Pentru informaţii despre cheia PGP pentru securitatea produselor Apple, consultă Utilizarea cheii PGP pentru securitatea produselor Apple.

Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilităţi pentru mai multe informaţii.

Pentru a afla mai multe despre alte actualizări de securitate, consultă Actualizările de securitate Apple.

iOS 8

  • 802.1X

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: un atacator poate obţine acreditările WiFi

    Descriere: este posibil ca un atacator să fi imitat un punct de acces WiFi, să fi oferit autentificarea cu LEAP, să fi spart hashul MS-CHAPv1 şi să fi utilizat acreditările obţinute pentru a se autentifica la punctul de acces scontat, chiar dacă punctul de acces respectiv accepta metode de autentificare mai puternice. Această problemă a fost rezolvată prin dezactivarea LEAP în mod implicit.

    CVE-ID

    CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax şi Wim Lamotte de la Universiteit Hasselt

  • Conturi

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: se poate ca o aplicaţie rău intenţionată să aibă posibilitatea de a identifica ID-ul Apple al utilizatorului

    Descriere: a existat o problemă la logica de acces pentru conturi. O aplicaţie care rulează în sandbox poate obţine informaţii despre contul iCloud activ în prezent, inclusiv numele contului. Această problemă a fost rezolvată prin restricţionarea accesului la anumite tipuri de conturi din partea aplicaţiilor neautorizate.

    CVE-ID

    CVE-2014-4423: Adam Weaver

  • Accesibilitate

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: este posibil ca dispozitivul să nu blocheze ecranul când se utilizează AssistiveTouch

    Descriere: în modul de tratare a evenimentelor de la AssistiveTouch a existat o problemă, care a avut ca rezultat neblocarea ecranului. Această problemă a fost rezolvată prin tratarea îmbunătăţită a temporizatorului de blocare.

    CVE-ID

    CVE-2014-4368: Hendrik Bettermann

  • Cadrul conturilor

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: este posibil ca un atacator cu acces la un dispozitiv iOS să acceseze din jurnale informaţii sensibile ale utilizatorului

    Descriere: au fost jurnalizate informaţii sensibile ale utilizatorului. Această problemă a fost rezolvată prin jurnalizarea unor informaţii mai puţine.

    CVE-ID

    CVE-2014-4357: Heli Myllykoski de la OP-Pohjola Group

  • Agenda de adrese

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: este posibil ca o persoană cu acces fizic la un dispozitiv iOS să citească agenda de adrese

    Descriere: agenda de adrese a fost criptată cu o cheie protejată numai prin identificarea utilizatorului hardware. Această problemă a fost rezolvată prin criptarea agendei de adrese cu o cheie protejată prin identificarea utilizatorului hardware şi codul de acces al utilizatorului.

    CVE-ID

    CVE-2014-4352: Jonathan Zdziarski

  • Instalarea aplicaţiilor

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: se poate ca un atacator local să aibă posibilitatea să îşi mărească privilegiile şi să instaleze aplicaţii neverificate

    Descriere: la instalarea aplicaţiei a existat o condiţie de rulare. Este posibil ca un atacator cu capabilitatea de a scrie în /tmp să fi avut posibilitatea să instaleze o aplicaţie neverificată. Această problemă a fost rezolvată prin trecerea fişierelor de instalare în alt director.

    CVE-ID

    CVE-2014-4386: evad3rs

  • Instalarea aplicaţiilor

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: se poate ca un atacator local să aibă posibilitatea să îşi mărească privilegiile şi să instaleze aplicaţii neverificate

    Descriere: la instalarea aplicaţiei a existat o problemă de traversare a căii. Este posibil ca un atacator local să fi redirecţionat validarea semnăturii codului într-un pachet diferit de cel în curs de instalare şi să fi cauzat instalarea unei aplicaţii neverificate. Această problemă a fost rezolvată prin detectarea şi prevenirea traversării căii la determinarea semnăturii codului de verificat.

    CVE-ID

    CVE-2014-4384: evad3rs

  • Bunuri

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: se poate ca un atacator cu poziţie privilegiată în reţea să aibă posibilitatea să determine ca un dispozitiv iOS să considere că este actualizat chiar dacă nu este

    Descriere: a existat o problemă de validare în tratarea răspunsurilor la verificarea actualizărilor. Datele falsificate din răspunsul privind cea mai recentă modificare (Last-Modified), setată la date calendaristice din viitor, au fost utilizate pentru verificările If-Modified-Since din solicitările ulterioare de actualizare. Această problemă a fost rezolvată prin validarea antetului pentru Last-Modified.

    CVE-ID

    CVE-2014-4383: Raul Siles de la DinoSec

  • Bluetooth

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: caracteristica Bluetooth este în mod neaşteptat activată implicit după ce se face upgrade pentru iOS

    Descriere: caracteristica Bluetooth a fost activată în mod automat după ce s-a făcut upgrade pentru iOS. Această problemă a fost rezolvată prin activarea caracteristicii Bluetooth numai pentru actualizări majore sau minore.

    CVE-ID

    CVE-2014-4354: Maneet Singh, Sean Bluestein

  • Politica de încredere în certificate

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: actualizare a politicii de încredere în certificate

    Descriere: Politica de încredere în certificate a fost actualizată. Lista completă de certificate poate fi vizualizată la adresa http://support.apple.com/kb/HT5012?viewlocale=ro_RO.

  • CoreGraphics

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: deschiderea unui fişier PDF creat cu rea intenţie poate duce la închiderea neaşteptată a aplicaţiei sau la executarea unui cod aleatoriu

    Descriere: la tratarea fişierelor PDF a existat o depăşire a întregului. Această problemă a fost rezolvată printr-o verificare îmbunătățită a limitelor.

    CVE-ID

    CVE-2014-4377: Felipe Andres Manzano de la Binamuse VRT lucrând cu programul iSIGHT Partners GVP

  • CoreGraphics

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: deschiderea unui fişier PDF creat cu rea intenţie poate duce la închiderea neaşteptată a aplicaţiei sau la dezvăluirea de informaţii

    Descriere: la tratarea fişierelor PDF a existat o citire a memoriei în afara limitelor. Această problemă a fost rezolvată printr-o verificare îmbunătățită a limitelor.

    CVE-ID

    CVE-2014-4378: Felipe Andres Manzano de la Binamuse VRT lucrând cu programul iSIGHT Partners GVP

  • Detectori de date

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: prin atingerea unei legături FaceTime din Mail s-ar declanşa un apel audio FaceTime, fără a întreba

    Descriere: Mail nu a consultat utilizatorul înainte de lansarea adreselor URL facetime-audio://. Problema a fost rezolvată prin adăugarea unui dialog de confirmare.

    CVE-ID

    CVE-2013-6835: Guillaume Ross

  • Foundation

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: Este posibil ca o aplicație care utilizează NSXMLParser să fie utilizată greșit pentru a dezvălui informații

    Descriere: A existat o problemă la XML External Entity în tratarea XML de către NSXMLParser. Această problemă a fost rezolvată prin neîncărcarea entităților externe peste origini.

    CVE-ID

    CVE-2014-4374: George Gal de la VSR (http://www.vsecurity.com/)

  • Ecranul de acasă şi de blocare

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: o aplicaţie de fundal poate determina aplicaţia aflată cea mai în faţă

    Descriere: interfaţa API privată pentru stabilirea aplicaţiei aflate cel mai în faţă nu a avut suficient control al accesului. Această problemă a fost rezolvată printr-un control suplimentar al accesului.

    CVE-ID

    CVE-2014-4361: Andreas Kurtz de la NESO Security Labs şi Markus Troßbach de la Heilbronn University

  • iMessage

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: ataşările pot persista după ştergerea mesajului iMessage părinte sau a MMS-ului

    Descriere: a existat o condiţie de rulare în modul în care au fost şterse ataşările. Această problemă a fost rezolvată prin efectuarea de verificări suplimentare privind ştergerea unei ataşări.

    CVE-ID

    CVE-2014-4353: Silviu Schiau

  • IOAcceleratorFamily

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: o aplicaţie poate cauza o închidere neaşteptată a sistemului

    Descriere: a existat o referinţă la un indicator nul în tratarea argumentelor interfeţei API IOAcceleratorFamily. Această problemă a fost rezolvată prin validarea îmbunătăţită a argumentelor interfeţei API IOAcceleratorFamily.

    CVE-ID

    CVE-2014-4369: Catherine aka winocm şi Cererdlong de la echipa Alibaba Mobile Security

  • IOAcceleratorFamily

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: este posibil ca dispozitivul să repornească în mod neaşteptat

    Descriere: o referinţă la un indicator NULL a fost prezentă în driverul IntelAccelerator. Problema a fost rezolvată prin tratarea îmbunătăţită a erorilor.

    CVE-ID

    CVE-2014-4373: cunzhang de la Adlab of Venustech

  • IOHIDFamily

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: se poate ca o aplicaţie rău intenţionată să aibă posibilitatea să citească indicatorii kernel, ceea ce se poate utiliza pentru a ignora aranjarea aleatorie a spaţiului de adresă pentru kernel

    Descriere: a existat o problemă de citire în afara limitelor la tratarea unei funcţii IOHIDFamily. Această problemă a fost rezolvată printr-o verificare îmbunătățită a limitelor.

    CVE-ID

    CVE-2014-4379: Ian Beer de la Google Project Zero

  • IOHIDFamily

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: se poate ca o aplicaţie rău intenţionată să aibă posibilitatea să execute cod arbitrar cu privilegii de sistem

    Descriere: a existat o depăşire a zonei tampon a structurii de date la tratarea de către IOHIDFamily a proprietăţilor de mapare a cheilor. Această problemă a fost rezolvată printr-o verificare îmbunătățită a limitelor.

    CVE-ID

    CVE-2014-4404: Ian Beer de la Google Project Zero

  • IOHIDFamily

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: se poate ca o aplicaţie rău intenţionată să aibă posibilitatea să execute cod arbitrar cu privilegii de sistem

    Descriere: a existat o referinţă la un indicator nul la tratarea de către IOHIDFamily a proprietăţilor de mapare a cheilor. Această problemă a fost rezolvată prin validarea îmbunătăţită a proprietăţilor de mapare a cheilor pentru IOHIDFamily.

    CVE-ID

    CVE-2014-4405: Ian Beer de la Google Project Zero

  • IOHIDFamily

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: se poate ca o aplicaţie rău intenţionată să aibă posibilitatea să execute cod arbitrar cu privilegii de kernel

    Descriere: a existat o problemă de scriere în afara limitelor la extensia kernel pentru IOHIDFamily. Această problemă a fost rezolvată printr-o verificare îmbunătățită a limitelor.

    CVE-ID

    CVE-2014-4380: cunzhang de la Adlab of Venustech

  • IOKit

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: se poate ca o aplicaţie rău intenţionată să aibă posibilitatea să citească date neiniţializate din memoria de kernel

    Descriere: a existat o problemă de accesare a memoriei neiniţializate la tratarea funcţiilor IOKit. Această problemă a fost rezolvată prin îmbunătăţirea iniţializării memoriei

    CVE-ID

    CVE-2014-4407: @PanguTeam

  • IOKit

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: se poate ca o aplicaţie rău intenţionată să aibă posibilitatea să execute cod arbitrar cu privilegii de sistem

    Descriere: a existat o problemă de validare la tratarea anumitor câmpuri de metadate ale obiectelor IODataQueue. Această problemă a fost rezolvată prin validarea îmbunătățită a metadatelor.

    CVE-ID

    CVE-2014-4418: Ian Beer de la Google Project Zero

  • IOKit

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: se poate ca o aplicaţie rău intenţionată să aibă posibilitatea să execute cod arbitrar cu privilegii de sistem

    Descriere: a existat o problemă de validare la tratarea anumitor câmpuri de metadate ale obiectelor IODataQueue. Această problemă a fost rezolvată prin validarea îmbunătățită a metadatelor.

    CVE-ID

    CVE-2014-4388: @PanguTeam

  • IOKit

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: se poate ca o aplicaţie rău intenţionată să aibă posibilitatea să execute cod arbitrar cu privilegii de sistem

    Descriere: la tratarea funcţiilor IOKit a existat o depăşire a întregului. Această problemă a fost rezolvată prin validarea îmbunătăţită a argumentelor interfeţei API IOKit.

    CVE-ID

    CVE-2014-4389: Ian Beer de la Google Project Zero

  • Nucleu

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: se poate ca un utilizator local să aibă posibilitatea să determine aspectul memoriei kernel

    Descriere: au existat mai multe probleme ale memoriei neiniţializate în interfaţa statisticii de reţea, ceea ce a condus la dezvăluirea conţinutului memoriei kernel. Această problemă a fost rezolvată prin iniţializarea suplimentară a memoriei

    CVE-ID

    CVE-2014-4371: Fermin J. Serna de la Echipa de securitate Google

    CVE-2014-4419: Fermin J. Serna de la Echipa de securitate Google

    CVE-2014-4420: Fermin J. Serna de la Echipa de securitate Google

    CVE-2014-4421: Fermin J. Serna de la Echipa de securitate Google

  • Nucleu

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: este posibil ca o persoană cu o poziţie privilegiată în reţea să cauzeze o refuzare a serviciului

    Descriere: la tratarea pachetelor IPv6 a existat o problemă a condiţiei de rulare. Această problemă a fost rezolvată prin îmbunătăţirea verificării stării de blocare.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Nucleu

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: se poate ca un utilizator local să aibă posibilitatea să provoace închiderea neaşteptată a sistemului sau executarea unui cod aleatoriu în nucleu

    Descriere: a existat o problemă de tipul „double free” la tratarea porturilor Mach. Această problemă a fost rezolvată prin validarea îmbunătăţită a porturilor Mach.

    CVE-ID

    CVE-2014-4375: un cercetător anonim

  • Nucleu

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: se poate ca un utilizator local să aibă posibilitatea să provoace închiderea neaşteptată a sistemului sau executarea unui cod aleatoriu în nucleu

    Descriere: în rt_setgate a existat o problemă de citire în afara limitelor. Acest fapt poate conduce la dezvăluirea sau coruperea memoriei. Această problemă a fost rezolvată printr-o verificare îmbunătățită a limitelor.

    CVE-ID

    CVE-2014-4408

  • Nucleu

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: pot fi ignorate unele măsuri de întărire pentru kernel

    Descriere: generatorul de numere aleatorii pentru măsurile de întărire pentru kernel, utilizat anterior în procesul de iniţializare, nu a fost securizat criptografic. O parte din rezultate au putut fi deduse din spaţiul de utilizator, permiţând ignorarea măsurilor de întărire. Această problemă a fost rezolvată prin utilizarea unui algoritm de securizare criptografică.

    CVE-ID

    CVE-2014-4422: Tarjei Mandt de la Azimuth Security

  • Libnotify

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: se poate ca o aplicaţie rău intenţionată să aibă posibilitatea să execute cod arbitrar cu privilegii de rădăcină

    Descriere: a existat o problemă de scriere în afara limitelor în Libnotify. Această problemă a fost rezolvată printr-o verificare îmbunătățită a limitelor.

    CVE-ID

    CVE-2014-4381: Ian Beer de la Google Project Zero

  • Blocare

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: un dispozitiv poate fi manipulat pentru a prezenta incorect ecranul principal când dispozitivul este blocat la activare

    Descriere: a existat o problemă cu comportamentul la deblocare, ceea ce a cauzat ca un dispozitiv să treacă la ecranul principal chiar dacă este încă în starea de blocat la activare. Această problemă a fost rezolvată prin modificarea informaţiilor pe care le verifică un dispozitiv în timpul unei solicitări de deblocare.

    CVE-ID

    CVE-2014-1360

  • Mail

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: acreditările de autentificare pot fi trimise în text simplu chiar dacă serverul a anunţat capabilitatea IMAP LOGINDISABLED

    Descriere: Mail a trimis comanda LOGIN către servere, chiar dacă acestea au anunţat capabilitatea IMAP LOGINDISABLED. Această problemă este o problemă mai ales atunci când se face conectarea la servere care sunt configurate pentru a accepta conexiuni necriptate şi care anunţă LOGINDISABLED. Această problemă a fost rezolvată prin respectarea capabilităţii IMAP LOGINDISABLED.

    CVE-ID

    CVE-2014-4366: Mark Crispin

  • Mail

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: este posibil ca o persoană cu acces fizic la un dispozitiv iOS să citească ataşările de e-mail

    Descriere: a existat o problemă logică în utilizarea de către Mail a Data Protection pentru fișierele atașate la e-mailuri. Această problemă a fost rezolvată prin setarea corectă a clasei Data Protection pentru fișierele atașate la e-mailuri.

    CVE-ID

    CVE-2014-1348: Andreas Kurtz de la NESO Security Labs

  • Profiluri

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: Voice Dial s-a activat pe neaşteptate după ce s-a făcut upgrade la iOS

    Descriere: caracteristica Voice Dial a fost activată în mod automat după ce s-a făcut upgrade pentru iOS. Această problemă a fost rezolvată prin îmbunătăţirea gestionării stării.

    CVE-ID

    CVE-2014-4367: Sven Heinemann

  • Safari

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: acreditările utilizatorului pot fi divulgate unui site nedorit prin auto-completare

    Descriere: este posibil ca Safari să fi auto-completat nume de utilizator şi parole într-un subcadru din alt domeniu decât cel al cadrului principal. Pentru rezolvarea acestei probleme, s-au îmbunătăţit metodele de identificare a sursei.

    CVE-ID

    CVE-2013-5227: Niklas Malmgren de la Klarna AB

  • Safari

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: un atacator cu o poziţie favorabilă în reţea poate intercepta datele de autentificare ale utilizatorilor

    Descriere: parolele salvate au fost completate automat pentru site-uri http, pentru site-uri https cu încredere afectată şi în documente iframe. Această problemă a fost rezolvată prin restricţionarea completării automate a parolelor la cadrul principal al site-urilor https cu lanţuri de certificate valide.

    CVE-ID

    CVE-2014-4363: David Silver, Suman Jana, i Dan Boneh de la Stanford University colaborând cu Eric Chen şi Collin Jackson de la universitatea Carnegie Mellon

  • Safari

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: un atacator dintr-o poziţie privilegiată în reţea poate falsifica URL-uri în Safari

    Descriere: a existat o problemă de inconsecvenţă a interfeţei cu utilizatorul în Safari pe dispozitivele compatibile cu MDM. Această problemă a fost rezolvată prin îmbunătăţirea verificărilor pentru interfaţa cu utilizatorul.

    CVE-ID

    CVE-2014-8841: Angelo Prado (Salesforce Product Security)

  • Profiluri de sandbox

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: informaţiile ID Apple sunt accesibile de către aplicaţii de la terţi

    Descriere: A existat o problemă de dezvăluire a informațiilor la sandboxul unei aplicații de la terți. Această problemă a fost rezolvată prin îmbunătăţirea profilului sandbox de la terţi.

    CVE-ID

    CVE-2014-4362: Andreas Kurtz de la NESO Security Labs şi Markus Troßbach de la Heilbronn University

  • Configurări

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: examinările de mesaje de tip text pot să apară în ecranul de blocare chiar şi atunci când această caracteristică este dezactivată

    Descriere: a existat o problemă la examinarea notificărilor prin mesaje de tip text în ecranul de blocare. Ca rezultat, conţinutul mesajelor primite ar fi afişat în ecranul de blocare chiar dacă examinările au fost dezactivate din Setări. Această problemă a fost rezolvată prin respectarea îmbunătăţită a acestei setări.

    CVE-ID

    CVE-2014-4356: Mattia Schirinzi de la San Pietro Vernotico (BR), Italia

  • syslog

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: se poate ca un utilizator local să aibă posibilitatea modifica permisiuni pentru fişiere arbitrare

    Descriere: syslogd a urmat linkuri simbolice în timpul modificării permisiunilor pentru fişiere. Această problemă a fost rezolvată prin tratarea îmbunătăţită a linkurilor simbolice.

    CVE-ID

    CVE-2014-4372: Tielei Wang şi YeongJin Jang de la Georgia Tech Information Security Center (GTISC)

  • Vremea

    Disponibilitate pentru: iPhone 4s şi modele mai recente, iPod touch (a 5-a generaţie) şi modele mai recente, iPad 2 şi modele mai recente

    Impact: informaţiile privind locaţia au fost trimise fără criptare

    Descriere: a existat o problemă de dezvăluire a informaţiilor la o interfaţă API utilizată pentru a determina vremea locală. Această problemă a fost rezolvată prin schimbarea interfeţelor API.

  • WebKit

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: se poate ca un site web rău intenţionat să aibă posibilitatea să urmărească utilizatorii chiar dacă este activată navigarea confidenţială

    Descriere: este posibil ca o aplicaţie web să stocheze date cache de aplicaţie HTML 5 în timpul navigării normale, apoi să citească date în timpul navigării confidenţiale. Această problemă a fost rezolvată prin dezactivarea accesului la memoria cache a aplicaţiei în modul de navigare confidenţial.

    CVE-ID

    CVE-2014-4409: Yosuke Hasegawa (NetAgent Co., Led.)

  • WebKit

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: accesarea unui site rău intenţionat poate duce la închiderea neaşteptată a aplicaţiei sau la executarea unui cod arbitrar

    Descriere: în WebKit erau mai multe probleme de corupere a memoriei. Pentru rezolvarea acestor probleme, s-a implementat o mai bună gestionare a memoriei.

    CVE-ID

    CVE-2013-6663: Atte Kettunen de la OUSPG

    CVE-2014-1384: Apple

    CVE-2014-1385: Apple

    CVE-2014-1387: Echipa de securitate Google Chrome

    CVE-2014-1388: Apple

    CVE-2014-1389: Apple

    CVE-2014-4410: Eric Seidel de la Google

    CVE-2014-4411: Echipa de securitate Google Chrome

    CVE-2014-4412: Apple

    CVE-2014-4413: Apple

    CVE-2014-4414: Apple

    CVE-2014-4415: Apple

  • WiFi

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: se poate ca un dispozitiv să fie urmărit în mod pasiv de propria adresă MAC WiFi

    Descriere: a existat o dezvăluire a informaţiilor deoarece era utilizată o adresă MAC stabilă pentru a scana în căutarea de reţele WiFi. Această problemă a fost rezolvată prin stabilirea aleatorie a adresei MAC pentru scanări WiFi pasive.

Notă:

iOS 8 conţine modificări la unele capabilităţi de diagnosticare. Pentru detalii, consultă http://support.apple.com/kb/HT6331?viewlocale=ro_RO

Acum iOS 8 permite dispozitivelor să nu aibă încredere în orice computer care anterior era de încredere. Instrucţiuni pot fi găsite la http://support.apple.com/kb/HT5868?viewlocale=ro_RO

Serviciul FaceTime nu este disponibil în toate țările sau regiunile.

Informaţiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu îşi asumă nicio responsabilitate în ceea ce priveşte selectarea, funcţionarea sau utilizarea site-urilor web sau produselor de la terţi. Apple nu face niciun fel de declaraţii privind acurateţea sau fiabilitatea site-urilor web terţe. La utilizarea Internetului, riscurile sunt inerente. Contactează distribuitorul pentru informaţii suplimentare. Alte nume de companii şi produse pot fi mărci comerciale ale proprietarilor respectivi.

Data publicării: