Despre conținutul de securitate din iOS 8

Acest document descrie conținutul de securitate din iOS 8.

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate înainte de a face o investigație completă și de a pune la dispoziție corecțiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul web Securitatea produselor Apple.

Pentru informații despre cheia PGP pentru securitatea produselor Apple, consultă Utilizarea cheii PGP pentru securitatea produselor Apple.

Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilități pentru mai multe informații.

Pentru a afla mai multe despre alte actualizări de securitate, consultă Actualizările de securitate Apple.

iOS 8

  • 802.1X

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un atacator poate obține acreditările WiFi

    Descriere: este posibil ca un atacator să fi imitat un punct de acces WiFi, să fi oferit autentificarea cu LEAP, să fi spart hashul MS-CHAPv1 și să fi utilizat acreditările obținute pentru a se autentifica la punctul de acces scontat, chiar dacă punctul de acces respectiv accepta metode de autentificare mai puternice. Această problemă a fost rezolvată prin dezactivarea LEAP în mod implicit.

    CVE-ID

    CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax și Wim Lamotte de la Universiteit Hasselt

  • Conturi

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: se poate ca o aplicație rău intenționată să aibă posibilitatea de a identifica ID-ul Apple al utilizatorului

    Descriere: a existat o problemă la logica de acces pentru conturi. O aplicație care rulează în sandbox poate obține informații despre contul iCloud activ în prezent, inclusiv numele contului. Această problemă a fost rezolvată prin restricționarea accesului la anumite tipuri de conturi din partea aplicațiilor neautorizate.

    CVE-ID

    CVE-2014-4423: Adam Weaver

  • Accesibilitate

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: este posibil ca dispozitivul să nu blocheze ecranul când se utilizează AssistiveTouch

    Descriere: în modul de tratare a evenimentelor de la AssistiveTouch a existat o problemă, care a avut ca rezultat neblocarea ecranului. Această problemă a fost rezolvată prin tratarea îmbunătățită a temporizatorului de blocare.

    CVE-ID

    CVE-2014-4368: Hendrik Bettermann

  • Cadrul conturilor

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: este posibil ca un atacator cu acces la un dispozitiv iOS să acceseze din jurnale informații sensibile ale utilizatorului

    Descriere: au fost jurnalizate informații sensibile ale utilizatorului. Această problemă a fost rezolvată prin jurnalizarea unor informații mai puține.

    CVE-ID

    CVE-2014-4357: Heli Myllykoski de la OP-Pohjola Group

  • Agenda de adrese

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: este posibil ca o persoană cu acces fizic la un dispozitiv iOS să citească agenda de adrese

    Descriere: agenda de adrese a fost criptată cu o cheie protejată numai prin identificarea utilizatorului hardware. Această problemă a fost rezolvată prin criparea agendei de adrese cu o cheie protejată prin identificarea utilizatorului hardware și codul de acces al utilizatorului.

    CVE-ID

    CVE-2014-4352: Jonathan Zdziarski

  • Instalarea aplicațiilor

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: se poate ca un atacator local să aibă posibilitatea să își mărească privilegiile și să instaleze aplicații neverificate

    Descriere: la instalarea aplicației a existat o condiție de rulare. Este posibil ca un atacator cu capabilitatea de a scrie în /tmp să fi avut posibilitatea să instaleze o aplicație neverificată. Această problemă a fost rezolvată prin trecerea fișierelor de instalare în alt director.

    CVE-ID

    CVE-2014-4386: evad3rs

  • Instalarea aplicațiilor

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: se poate ca un atacator local să aibă posibilitatea să își mărească privilegiile și să instaleze aplicații neverificate

    Descriere: la instalarea aplicației a existat o problemă de traversare a căii. Este posibil ca un atacator local să fi redirecționat validarea semnăturii codului într-un pachet diferit de cel în curs de instalare și să fi cauzat instalarea unei aplicații neverificate. Această problemă a fost rezolvată prin detectarea și prevenirea traversării căii la determinarea semnăturii codului de verificat.

    CVE-ID

    CVE-2014-4384: evad3rs

  • Active

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: se poate ca un atacator cu poziție privilegiată în rețea să aibă posibilitatea să determine ca un dispozitiv iOS să considere că este actualizat chiar dacă nu este

    Descriere: a existat o problemă de validare în tratarea răspunsurilor la verificarea actualizărilor. Datele falsificate din răspunsul privind cea mai recentă modificare (Last-Modified), setată la date calendaristice din viitor, au fost utilizate pentru verificările If-Modified-Since din solicitările ulterioare de actualizare. Această problemă a fost rezolvată prin validarea antetului pentru Last-Modified.

    CVE-ID

    CVE-2014-4383: Raul Siles de la DinoSec

  • Bluetooth

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: caracteristica Bluetooth este în mod neașteptat activată implicit după ce se face upgrade pentru iOS

    Descriere: caracteristica Bluetooth a fost activată în mod automat după ce s-a făcut upgrade pentru iOS. Această problemă a fost rezolvată prin activarea caracteristicii Bluetooth numai pentru actualizări majore sau minore.

    CVE-ID

    CVE-2014-4354: Maneet Singh, Sean Bluestein

  • Politica de încredere în certificate

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: actualizare a politicii de încredere în certificate

    Descriere: politica privind încrederea în certificate a fost actualizată. Lista completă de certificate poate fi vizualizată la adresa http://support.apple.com/ro-ro/HT5012.

  • CoreGraphics

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: deschiderea unui fișier PDF creat cu rea intenție poate duce la închiderea neașteptată a aplicației sau la executarea unui cod aleatoriu

    Descriere: la tratarea fișierelor PDF a existat o depășire a întregului. Această problemă a fost rezolvată prin îmbunătățirea verificării limitelor.

    CVE-ID

    CVE-2014-4377: Felipe Andres Manzano de la Binamuse VRT lucrând cu programul iSIGHT Partners GVP

  • CoreGraphics

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: deschiderea unui fișier PDF creat cu rea intenție poate duce la închiderea neașteptată a aplicației sau la dezvăluirea de informații

    Descriere: la tratarea fișierelor PDF a existat o citire a memoriei în afara limitelor. Această problemă a fost rezolvată prin îmbunătățirea verificării limitelor.

    CVE-ID

    CVE-2014-4378: Felipe Andres Manzano de la Binamuse VRT lucrând cu programul iSIGHT Partners GVP

  • Detectori de date

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: prin atingerea unei legături FaceTime din Mail s-ar declanșa un apel audio FaceTime, fără a întreba

    Descriere: Mail nu a consultat utilizatorul înainte de lansarea adreselor URL facetime-audio://. Problema a fost rezolvată prin adăugarea unui dialog de confirmare.

    CVE-ID

    CVE-2013-6835: Guillaume Ross

  • Foundation

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: este posibil ca o aplicație care utilizează NSXMLParser să fie utilizată greșit pentru a dezvălui informații

    Descriere: A existat o problemă la XML External Entity în tratarea XML de către NSXMLParser. Această problemă a fost rezolvată prin neîncărcarea entităților externe peste origini.

    CVE-ID

    CVE-2014-4374: George Gal de la VSR (http://www.vsecurity.com/)

  • Ecranul de pornire și de blocare

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație de fundal poate determina aplicația aflată cea mai în față

    Descriere: interfața API privată pentru stabilirea aplicației aflate cel mai în față nu a avut suficient control al accesului. Această problemă a fost rezolvată printr-un control suplimentar al accesului.

    CVE-ID

    CVE-2014-4361: Andreas Kurtz de la NESO Security Labs și Markus Troßbach de la Heilbronn University

  • iMessage

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: atașările pot persista după ștergerea mesajului iMessage părinte sau a MMS-ului

    Descriere: a existat o condiție de rulare în modul în care au fost șterse atașările. Această problemă a fost rezolvată prin efectuarea de verificări suplimentare privind ștergerea unei atașări.

    CVE-ID

    CVE-2014-4353: Silviu Schiau

  • IOAcceleratorFamily

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație poate cauza o închidere neașteptată a sistemului

    Descriere: a existat o referință la un indicator nul în tratarea argumentelor interfeței API IOAcceleratorFamily. Această problemă a fost rezolvată prin validarea îmbunătățită a argumentelor interfeței API IOAcceleratorFamily.

    CVE-ID

    CVE-2014-4369: Sarah aka winocm și Cererdlong de la echipa Alibaba Mobile Security

    Intrare actualizată pe 3 februarie 2020
  • IOAcceleratorFamily

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: este posibil ca dispozitivul să repornească în mod neașteptat

    Descriere: o referință la un indicator NULL a fost prezentă în driverul IntelAccelerator. Problema a fost rezolvată prin tratarea îmbunătățită a erorilor.

    CVE-ID

    CVE-2014-4373: cunzhang de la Adlab of Venustech

  • IOHIDFamily

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: se poate ca o aplicație rău intenționată să aibă posibilitatea să citească indicatorii kernel, ceea ce se poate utiliza pentru a ignora aranjarea aleatorie a spațiului de adresă pentru kernel

    Descriere: a existat o problemă de citire în afara limitelor la tratarea unei funcții IOHIDFamily. Această problemă a fost rezolvată prin îmbunătățirea verificării limitelor.

    CVE-ID

    CVE-2014-4379: Ian Beer de la Google Project Zero

  • IOHIDFamily

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație rău intenționată ar putea executa un cod arbitrar cu privilegii de sistem

    Descriere: a existat o depășire a zonei tampon a structurii de date la tratarea de către IOHIDFamily a proprietăților de mapare a cheilor. Această problemă a fost rezolvată prin îmbunătățirea verificării limitelor.

    CVE-ID

    CVE-2014-4404: Ian Beer de la Google Project Zero

  • IOHIDFamily

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație rău intenționată ar putea executa un cod arbitrar cu privilegii de sistem

    Descriere: a existat o referință la un indicator nul la tratarea de către IOHIDFamily a proprietăților de mapare a cheilor. Această problemă a fost rezolvată prin validarea îmbunătățită a proprietăților de mapare a cheilor pentru IOHIDFamily.

    CVE-ID

    CVE-2014-4405: Ian Beer de la Google Project Zero

  • IOHIDFamily

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar având privilegii de kernel

    Descriere: a existat o problemă de scriere în afara limitelor la extensia kernel pentru IOHIDFamily. Această problemă a fost rezolvată prin îmbunătățirea verificării limitelor.

    CVE-ID

    CVE-2014-4380: cunzhang de la Adlab of Venustech

  • IOKit

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: se poate ca o aplicație rău intenționată să aibă posibilitatea să citească date neinițializate din memoria de kernel

    Descriere: a existat o problemă de accesare a memoriei neinițializate la tratarea funcțiilor IOKit. Această problemă a fost rezolvată prin îmbunătățirea inițializării memoriei

    CVE-ID

    CVE-2014-4407: @PanguTeam

  • IOKit

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație rău intenționată ar putea executa un cod arbitrar cu privilegii de sistem

    Descriere: a existat o problemă de validare la tratarea anumitor câmpuri de metadate ale obiectelor IODataQueue. Această problemă a fost rezolvată prin validarea îmbunătățită a metadatelor.

    CVE-ID

    CVE-2014-4418: Ian Beer de la Google Project Zero

  • IOKit

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație rău intenționată ar putea executa un cod arbitrar cu privilegii de sistem

    Descriere: a existat o problemă de validare la tratarea anumitor câmpuri de metadate ale obiectelor IODataQueue. Această problemă a fost rezolvată prin validarea îmbunătățită a metadatelor.

    CVE-ID

    CVE-2014-4388: @PanguTeam

  • IOKit

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație rău intenționată ar putea executa un cod arbitrar cu privilegii de sistem

    Descriere: la tratarea funcțiilor IOKit a existat o depășire a întregului. Această problemă a fost rezolvată prin validarea îmbunătățită a argumentelor interfeței API IOKit.

    CVE-ID

    CVE-2014-4389: Ian Beer de la Google Project Zero

  • Kernel

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: se poate ca un utilizator local să aibă posibilitatea să determine aspectul memoriei kernel

    Descriere: au existat mai multe probleme ale memoriei neinițializate în interfața statisticii de rețea, ceea ce a condus la dezvăluirea conținutului memoriei kernel. Această problemă a fost rezolvată prin inițializarea suplimentară a memoriei

    CVE-ID

    CVE-2014-4371: Fermin J. Serna de la Echipa de securitate Google

    CVE-2014-4419: Fermin J. Serna de la Echipa de securitate Google

    CVE-2014-4420: Fermin J. Serna de la Echipa de securitate Google

    CVE-2014-4421: Fermin J. Serna de la Echipa de securitate Google

  • Kernel

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: este posibil ca o persoană cu o poziție privilegiată în rețea să cauzeze o refuzare a serviciului

    Descriere: la tratarea pachetelor IPv6 a existat o problemă a condiției de rulare. Această problemă a fost rezolvată prin îmbunătățirea verificării stării de blocare.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Kernel

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: se poate ca un utilizator local să aibă posibilitatea să provoace închiderea neașteptată a sistemului sau executarea unui cod aleatoriu în kernel

    Descriere: a existat o problemă de tipul „double free” la tratarea porturilor Mach. Această problemă a fost rezolvată prin validarea îmbunătățită a porturilor Mach.

    CVE-ID

    CVE-2014-4375: un cercetător anonim

  • Kernel

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: se poate ca un utilizator local să aibă posibilitatea să provoace închiderea neașteptată a sistemului sau executarea unui cod aleatoriu în kernel

    Descriere: în rt_setgate a existat o problemă de citire în afara limitelor. Acest fapt poate conduce la dezvăluirea sau coruperea memoriei. Această problemă a fost rezolvată prin îmbunătățirea verificării limitelor.

    CVE-ID

    CVE-2014-4408

  • Kernel

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: pot fi ignorate unele măsuri de întărire pentru kernel

    Descriere: generatorul de numere aleatorii pentru măsurile de întărire pentru kernel, utilizat anterior în procesul de inițializare, nu a fost securizat criptografic. O parte din rezultate au putut fi deduse din spațiul de utilizator, permițând ignorarea măsurilor de întărire. Această problemă a fost rezolvată prin utilizarea unui algoritm de securizare criptografică.

    CVE-ID

    CVE-2014-4422: Tarjei Mandt de la Azimuth Security

  • Libnotify

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar cu privilegii de rădăcină

    Descriere: a existat o problemă de scriere în afara limitelor în Libnotify. Această problemă a fost rezolvată prin îmbunătățirea verificării limitelor.

    CVE-ID

    CVE-2014-4381: Ian Beer de la Google Project Zero

  • Blocare

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un dispozitiv poate fi manipulat pentru a prezenta incorect ecranul principal când dispozitivul este blocat la activare

    Descriere: a existat o problemă cu comportamentul la deblocare, ceea ce a cauzat ca un dispozitiv să treacă la ecranul principal chiar dacă este încă în starea de blocat la activare. Această problemă a fost rezolvată prin modificarea informațiilor pe care le verifică un dispozitiv în timpul unei solicitări de deblocare.

    CVE-ID

    CVE-2014-1360

  • Mail

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: acreditările de autentificare pot fi trimise în text simplu chiar dacă serverul a anunțat capabilitatea IMAP LOGINDISABLED

    Descriere: Mail a trimis comanda LOGIN către servere, chiar dacă acestea au anunțat capabilitatea IMAP LOGINDISABLED. Această problemă este o problemă mai ales atunci când se face conectarea la servere care sunt configurate pentru a accepta conexiuni necriptate și care anunță LOGINDISABLED. Această problemă a fost rezolvată prin respectarea capabilității IMAP LOGINDISABLED.

    CVE-ID

    CVE-2014-4366: Mark Crispin

  • Mail

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: este posibil ca o persoană cu acces fizic la un dispozitiv iOS să citească atașările de e-mail

    Descriere: a existat o problemă logică în utilizarea de către Mail a Data Protection pentru fișierele atașate la e-mailuri. Această problemă a fost rezolvată prin setarea corectă a clasei Data Protection pentru fișierele atașate la e-mailuri.

    CVE-ID

    CVE-2014-1348: Andreas Kurtz de la NESO Security Labs

  • Profiluri

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: Voice Dial s-a activat pe neașteptate după ce s-a făcut upgrade la iOS

    Descriere: caracteristica Voice Dial a fost activată în mod automat după ce s-a făcut upgrade pentru iOS. Această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

    CVE-ID

    CVE-2014-4367: Sven Heinemann

  • Safari

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: acreditările utilizatorului pot fi divulgate unui site nedorit prin auto-completare

    Descriere: este posibil ca Safari să fi auto-completat nume de utilizator și parole într-un subcadru din alt domeniu decât cel al cadrului principal. Pentru rezolvarea acestei probleme, s-au îmbunătățit metodele de identificare a sursei.

    CVE-ID

    CVE-2013-5227: Niklas Malmgren de la Klarna AB

  • Safari

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un atacator cu o poziție favorabilă în rețea poate intercepta datele de autentificare ale utilizatorilor

    Descriere: parolele salvate au fost completate automat pentru site-uri http, pentru site-uri https cu încredere afectată și în documente iframe. Această problemă a fost rezolvată prin restricționarea completării automate a parolelor la cadrul principal al site-urilor https cu lanțuri de certificate valide.

    CVE-ID

    CVE-2014-4363: David Silver, Suman Jana, i Dan Boneh de la Stanford University, în colaborare cu Eric Chen și Collin Jackson de la universitatea Carnegie Mellon

  • Safari

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un atacator dintr-o poziție privilegiată în rețea poate falsifica URL-uri în Safari

    Descriere: a existat o problemă de inconsecvență a interfeței cu utilizatorul în Safari pe dispozitivele compatibile cu MDM. Această problemă a fost rezolvată prin îmbunătățirea verificărilor pentru interfața cu utilizatorul.

    CVE-ID

    CVE-2014-8841: Angelo Prado (Salesforce Product Security)

  • Profiluri de sandbox

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: informațiile ID Apple sunt accesibile de către aplicații de la terți

    Descriere: a existat o problemă de dezvăluire a informațiilor la sandboxul unei aplicații de la terți. Această problemă a fost rezolvată prin îmbunătățirea profilului sandbox de la terți.

    CVE-ID

    CVE-2014-4362: Andreas Kurtz de la NESO Security Labs și Markus Troßbach de la Heilbronn University

  • Configurări

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: examinările de mesaje de tip text pot să apară în ecranul de blocare chiar și atunci când această caracteristică este dezactivată

    Descriere: a existat o problemă la examinarea notificărilor prin mesaje de tip text în ecranul de blocare. Ca rezultat, conținutul mesajelor primite ar fi afișat în ecranul de blocare chiar dacă examinările au fost dezactivate din Setări. Această problemă a fost rezolvată prin respectarea îmbunătățită a acestei setări.

    CVE-ID

    CVE-2014-4356: Mattia Schirinzi de la San Pietro Vernotico (BR), Italia

  • syslog

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: se poate ca un utilizator local să aibă posibilitatea modifica permisiuni pentru fișiere arbitrare

    Descriere: syslogd a urmat linkuri simbolice în timpul modificării permisiunilor pentru fișiere. Această problemă a fost rezolvată prin tratarea îmbunătățită a linkurilor simbolice.

    CVE-ID

    CVE-2014-4372: Tielei Wang și YeongJin Jang de la Georgia Tech Information Security Center (GTISC)

  • Vremea

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: informațiile privind locația au fost trimise fără criptare

    Descriere: a existat o problemă de dezvăluire a informațiilor la o interfață API utilizată pentru a determina vremea locală. Această problemă a fost rezolvată prin schimbarea interfețelor API.

  • WebKit

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: se poate ca un site web rău intenționat să aibă posibilitatea să urmărească utilizatorii chiar dacă este activată navigarea confidențială

    Descriere: este posibil ca o aplicație web să stocheze date cache de aplicație HTML 5 în timpul navigării normale, apoi să citească date în timpul navigării confidențiale. Această problemă a fost rezolvată prin dezactivarea accesului la memoria cache a aplicației în modul de navigare confidențial.

    CVE-ID

    CVE-2014-4409: Yosuke Hasegawa (NetAgent Co., Led.)

  • WebKit

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: accesarea unui site rău intenționat poate duce la închiderea neașteptată a aplicației sau la executarea unui cod aleatoriu

    Descriere: în WebKit erau mai multe probleme de corupere a memoriei. Pentru rezolvarea acestor probleme s-a implementat o mai bună gestionare a memoriei.

    CVE-ID

    CVE-2013-6663: Atte Kettunen de la OUSPG

    CVE-2014-1384: Apple

    CVE-2014-1385: Apple

    CVE-2014-1387: Echipa de securitate Google Chrome

    CVE-2014-1388: Apple

    CVE-2014-1389: Apple

    CVE-2014-4410: Eric Seidel de la Google

    CVE-2014-4411: Echipa de securitate Google Chrome

    CVE-2014-4412: Apple

    CVE-2014-4413: Apple

    CVE-2014-4414: Apple

    CVE-2014-4415: Apple

  • Wi-Fi

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: se poate ca un dispozitiv să fie urmărit în mod pasiv după adresa sa MAC WiFi

    Descriere: a existat o dezvăluire a informațiilor deoarece era utilizată o adresă MAC stabilă pentru a scana în căutarea de rețele WiFi. Această problemă a fost rezolvată prin stabilirea aleatorie a adresei MAC pentru scanări WiFi pasive.

Notă:

iOS 8 conține modificări la unele capabilități de diagnosticare. Pentru detalii, consultă http://support.apple.com/ro-ro/HT6331

Acum iOS 8 permite dispozitivelor să nu aibă încredere în orice computer care anterior era de încredere. Instrucțiuni pot fi găsite la http://support.apple.com/ro-ro/HT5868

Serviciul FaceTime nu este disponibil în toate țările sau regiunile.

Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.

Data publicării: