Despre conţinutul de securitate din iOS 8.1

Acest document descrie conţinutul de securitate din iOS 8.1

Pentru protecţia clienţilor noştri, Apple nu divulgă, nu discută şi nu confirmă problemele de securitate înainte de a face o investigaţie completă şi de a pune la dispoziţie corecţiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul Web Securitatea produselor Apple.

Pentru informaţii despre cheia PGP pentru securitatea produselor Apple, consultă Utilizarea cheii PGP pentru securitatea produselor Apple.

Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilităţi pentru mai multe informaţii.

Pentru a afla mai multe despre alte actualizări de securitate, consultă Actualizările de securitate Apple.

iOS 8.1

  • Bluetooth

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: un dispozitiv de intrare Bluetooth poate ocoli asocierea

    Descriere: au fost permise conexiuni necriptate de la accesorii HID Bluetooth cu consum redus de energie. Dacă un dispozitiv iOS s-a asociat cu un astfel de accesoriu, un atacator poate falsifica accesoriul legitim pentru a stabili o conexiune. Această problemă a fost rezolvată prin refuzarea conexiunilor HID necriptate.

    CVE-ID

    CVE-2014-4428: Mike Ryan de la iSEC Partners

  • House Arrest

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: fişierele transferate pe dispozitiv pot fi scrise cu protecţie criptografică insuficientă

    Descriere: fişierele pot fi transferate în directorul Documente al unei aplicaţii şi criptate cu o cheie protejată numai de UID-ul hardware-ului. Această problemă a fost rezolvată prin criptarea fişierelor transferate cu o cheie protejată de UID-ul hardware-ului şi codul de acces al utilizatorului.

    CVE-ID

    CVE-2014-4448: Jonathan Zdziarski şi Kevin DeLong

  • Acces la date iCloud

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: un atacator cu poziţie privilegiată în reţea poate forţa clienţi cu acces la date iCloud să furnizeze informaţii sensibile

    Descriere: a existat o vulnerabilitate în validarea certificatelor TLS la clienţi cu acces la date iCloud. Această problemă a fost rezolvată printr-o validare îmbunătăţită a certificatelor.

    CVE-ID

    CVE-2014-4449: Carl Mehner de la USAA

  • Tastaturi

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: QuickType a putut învăţa acreditările utilizatorilor

    Descriere: QuickType a putut învăţa acreditările utilizatorilor la comutarea între elemente. Această problemă a fost rezolvată prin neînvăţarea de către QuickType din câmpurile pentru care completarea automată este dezactivată şi reaplicarea criteriilor la comutarea între elementele de intrare DOM în WebKit-ul moştenit.

    CVE-ID

    CVE-2014-4450

  • Transport securizat

    Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare

    Impact: un atacator poate decripta date protejate de protocolul SSL

    Descriere: există atacuri cunoscute asupra confidenţialităţii protocolului SSL 3.0 atunci când o suită de cifrare utilizează un cifru de blocare în modul CBC. Un atacator poate forţa utilizarea protocolului SSL 3.0 chiar şi atunci când serverul acceptă o versiune de protocol TLS mai bună prin blocarea încercărilor de conectare cu protocolul TLS 1.0 sau o versiune ulterioară. Această problemă a fost rezolvată prin dezactivarea suitelor de cifrare CBC atunci când încercările de conectare prin protocolul TLS nu reuşesc.

    CVE-ID

    CVE-2014-3566: Bodo Moeller, Thai Duong şi Krzysztof Kotowicz de la Google Security Team

Informaţiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu îşi asumă nicio responsabilitate în ceea ce priveşte selectarea, funcţionarea sau utilizarea site-urilor web sau produselor de la terţi. Apple nu face niciun fel de declaraţii privind acurateţea sau fiabilitatea site-urilor web terţe. La utilizarea Internetului, riscurile sunt inerente. Contactează distribuitorul pentru informaţii suplimentare. Alte nume de companii şi produse pot fi mărci comerciale ale proprietarilor respectivi.

Data publicării: