Pentru protecţia clienţilor noştri, Apple nu divulgă, nu discută şi nu confirmă problemele de securitate înainte de a face o investigaţie completă şi de a pune la dispoziţie corecţiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul Web Securitatea produselor Apple.
Pentru informaţii despre cheia PGP pentru securitatea produselor Apple, consultă Utilizarea cheii PGP pentru securitatea produselor Apple.
Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilităţi pentru mai multe informaţii.
Pentru a afla mai multe despre alte actualizări de securitate, consultă Actualizările de securitate Apple.
iOS 8.1
-
Bluetooth
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: un dispozitiv de intrare Bluetooth poate ocoli asocierea
Descriere: au fost permise conexiuni necriptate de la accesorii HID Bluetooth cu consum redus de energie. Dacă un dispozitiv iOS s-a asociat cu un astfel de accesoriu, un atacator poate falsifica accesoriul legitim pentru a stabili o conexiune. Această problemă a fost rezolvată prin refuzarea conexiunilor HID necriptate.
CVE-ID
CVE-2014-4428: Mike Ryan de la iSEC Partners
-
House Arrest
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: fişierele transferate pe dispozitiv pot fi scrise cu protecţie criptografică insuficientă
Descriere: fişierele pot fi transferate în directorul Documente al unei aplicaţii şi criptate cu o cheie protejată numai de UID-ul hardware-ului. Această problemă a fost rezolvată prin criptarea fişierelor transferate cu o cheie protejată de UID-ul hardware-ului şi codul de acces al utilizatorului.
CVE-ID
CVE-2014-4448: Jonathan Zdziarski şi Kevin DeLong
-
Acces la date iCloud
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: un atacator cu poziţie privilegiată în reţea poate forţa clienţi cu acces la date iCloud să furnizeze informaţii sensibile
Descriere: a existat o vulnerabilitate în validarea certificatelor TLS la clienţi cu acces la date iCloud. Această problemă a fost rezolvată printr-o validare îmbunătăţită a certificatelor.
CVE-ID
CVE-2014-4449: Carl Mehner de la USAA
-
Tastaturi
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: QuickType a putut învăţa acreditările utilizatorilor
Descriere: QuickType a putut învăţa acreditările utilizatorilor la comutarea între elemente. Această problemă a fost rezolvată prin neînvăţarea de către QuickType din câmpurile pentru care completarea automată este dezactivată şi reaplicarea criteriilor la comutarea între elementele de intrare DOM în WebKit-ul moştenit.
CVE-ID
CVE-2014-4450
-
Transport securizat
Disponibilitate pentru: iPhone 4s şi modele ulterioare, iPod touch (a 5-a generaţie) şi modele ulterioare, iPad 2 şi modele ulterioare
Impact: un atacator poate decripta date protejate de protocolul SSL
Descriere: există atacuri cunoscute asupra confidenţialităţii protocolului SSL 3.0 atunci când o suită de cifrare utilizează un cifru de blocare în modul CBC. Un atacator poate forţa utilizarea protocolului SSL 3.0 chiar şi atunci când serverul acceptă o versiune de protocol TLS mai bună prin blocarea încercărilor de conectare cu protocolul TLS 1.0 sau o versiune ulterioară. Această problemă a fost rezolvată prin dezactivarea suitelor de cifrare CBC atunci când încercările de conectare prin protocolul TLS nu reuşesc.
CVE-ID
CVE-2014-3566: Bodo Moeller, Thai Duong şi Krzysztof Kotowicz de la Google Security Team