Сведения о проблемах системы безопасности, устраненных в ОС iOS 8

В этом документе описываются проблемы системы безопасности, устраненные в ОС iOS 8.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Безопасность продуктов Apple.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Если возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

iOS 8

  • 802.1X

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Злоумышленник может получить учетные данные сети Wi-Fi.

    Описание. Злоумышленник мог выдать себя за точку доступа Wi-Fi, использовать протокол аутентификации LEAP, взломать хэш-коды MS-CHAPv1 и использовать полученные учетные данные для идентификации в определенной точке доступа, даже если она поддерживала более устойчивые механизмы аутентификации. Проблема устранена путем отключения протокола аутентификации LEAP по умолчанию.

    Идентификатор CVE

    CVE-2014-4364: Питер Робинс (Pieter Robyns), Брем Бонн (Bram Bonne), Питер Ко (Peter Quax) и Вим Ламот (Wim Lamotte) из Хассельтского университета

  • Учетные записи

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Вредоносная программа может получить доступ к данным идентификатора Apple ID.

    Описание. В логике управления доступом к учетным записям возникала проблема. Программа в изолированной среде могла получать информацию об активной в данный момент учетной записи iCloud, в том числе имя учетной записи. Проблема устранена путем ограничения доступа к некоторым типам учетных записей со стороны неавторизованных программ.

    Идентификатор CVE

    CVE-2014-4423: Адам Вивер (Adam Weaver)

  • Универсальный доступ

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Устройство может не блокировать экран во время использования AssistiveTouch.

    Описание. При обработке событий в AssistiveTouch возникала логическая ошибка, делавшая блокировку экрана невозможной. Проблема устранена путем улучшенной обработки таймера блокировки.

    Идентификатор CVE

    CVE-2014-4368: Хендрик Беттерманн (Hendrik Bettermann)

  • Инфраструктура управления учетными записями

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Злоумышленник с доступом к устройству iOS может получить доступ к конфиденциальным данным пользователя в журналах.

    Описание. Конфиденциальные данные пользователя заносились в журналы. Проблема устранена путем ограничения объема данных для занесения в журналы.

    Идентификатор CVE

    CVE-2014-4357: Хели Милликоски (Heli Myllykoski) из компании OP-Pohjola Group

  • Адресная книга

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Лицо с физическим доступом к устройству iOS может получить доступ к данным адресной книги.

    Описание. Для шифрования адресной книги использовался ключ, защищенный только с помощью аппаратного идентификатора UID. Проблема устранена путем шифрования адресной книги ключом, защищенным с помощью аппаратного идентификатора UID и код-пароля пользователя.

    Идентификатор CVE

    CVE-2014-4352: Джонатан Здзиарски (Jonathan Zdziarski)

  • Установка программ

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Злоумышленник может локально эскалировать свои права и установить непроверенные программы.

    Описание. В установке программ возникало условие состязания. Злоумышленник с возможностью доступа к папке /tmp мог установить непроверенную программу. Проблема устранена путем помещения установочных файлов в другую папку.

    Идентификатор CVE

    CVE-2014-4386: пользователь evad3rs

  • Установка программ

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Злоумышленник может локально эскалировать свои права и установить непроверенные программы.

    Описание. При установке программ возникала проблема дискретизации путей. Злоумышленник мог локально перенаправить проверку подписи кода не на устанавливаемый пакет, а на другой, и запустить установку непроверенной программы. Проблема устранена путем обнаружения и предотвращения дискретизации путей при определении подписи кода для проверки.

    Идентификатор CVE

    CVE-2014-4384: пользователь evad3rs

  • Ресурсы

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Злоумышленник, находящийся в привилегированном участке сети, может создать видимость обновления устройства iOS, когда на самом деле оно не обновлялось.

    Описание. При обработке ответов о доступных обновлениях возникала проблема проверки. При последующих запросах обновлений для проверки If-Modified-Since использовались подмененные даты из заголовков ответа Last-Modified, относящиеся к будущему времени. Проблема устранена путем проверки заголовка Last-Modified.

    Идентификатор CVE

    CVE-2014-4383: Рауль Силес (Raul Siles) из компании DinoSec

  • Bluetooth

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. После обновления ОС iOS происходит неожиданное включение интерфейса Bluetooth по умолчанию.

    Описание. После обновления ОС iOS автоматически происходило включение интерфейса Bluetooth. Проблема устранена путем включения Bluetooth только для основных или промежуточных версий обновлений.

    Идентификатор CVE

    CVE-2014-4354: Манит Сингх (Maneet Singh), Шон Блуштайн (Sean Bluestein)

  • Политика доверия к сертификатам

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Обновление политики доверия к сертификатам.

    Описание. Политика доверия к сертификатам была обновлена. Полный список сертификатов см. в статье https://support.apple.com/ru-ru/HT5012.

  • CoreGraphics

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Открытие вредоносного файла PDF может привести к неожиданному завершению работы приложения или к выполнению произвольного кода.

    Описание. При обработке файлов PDF возникала проблема целочисленного переполнения. Проблема устранена путем улучшенной проверки границ памяти.

    Идентификатор CVE

    CVE-2014-4377: Фелипе Андрес Мансано (Felipe Andres Manzano) из компании Binamuse VRT в рамках программы iSIGHT Partners GVP

  • CoreGraphics

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Открытие вредоносного файла PDF может привести к неожиданному завершению работы программы или утечке информации.

    Описание. При обработке файлов PDF возникала проблема чтения памяти за пределами границ данных. Проблема устранена путем улучшенной проверки границ памяти.

    Идентификатор CVE

    CVE-2014-4378: Фелипе Андрес Мансано (Felipe Andres Manzano) из компании Binamuse VRT в рамках программы iSIGHT Partners GVP

  • Детекторы данных

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. При нажатии ссылки FaceTime в программе «Почта» мог без предупреждения осуществляться аудиовызов FaceTime.

    Описание. Программа «Почта» выполняла запуск URL-адресов facetime-audio:// без получения подтверждения пользователя. Проблема устранена путем добавления запроса на подтверждение.

    Идентификатор CVE

    CVE-2013-6835: Гийом Росс (Guillaume Ross)

  • Платформа

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. С помощью программы, использующей NSXMLParser, можно вызвать утечку информации.

    Описание. При обработке XML в NSXMLParser возникала проблема с сущностью внешней системы XML. Проблема устранена блокировкой загрузки внешних сущностей в исходные источники.

    Идентификатор CVE

    CVE-2014-4374: Джордж Гэл (George Gal) из компании VSR (http://www.vsecurity.com/)

  • Экран «Домой» и экран блокировки

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Программа в фоновом режиме может определять, какая программа находится на переднем плане.

    Описание. Частный интерфейс API для определения программы на переднем плане не контролировал доступ на достаточном уровне. Проблема устранена путем дополнительного контроля доступа.

    Идентификатор CVE

    CVE-2014-4361: Андреас Куртц (Andreas Kurtz) из компании NESO Security Labs и Маркус Тросбах (Markus Troßbach) из Университета Хайльбронна

  • iMessage

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. После удаления родительского сообщения iMessage или MMS могут оставаться вложения.

    Описание. В способе удаления вложений возникало условие состязания. Проблема устранена путем выполнения дополнительной проверки удаления вложения.

    Идентификатор CVE

    CVE-2014-4353: Сильвиу Шио (Silviu Schiau)

  • IOAcceleratorFamily

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Любая программа может вызвать неожиданное завершение работы системы.

    Описание. При обработке аргументов интерфейса API IOAcceleratorFamily возникала проблема разыменования нулевого указателя. Проблема устранена путем улучшенной проверки аргументов интерфейса API IOAcceleratorFamily.

    Идентификатор CVE

    CVE-2014-4369: Сара (Sarah), известная как пользователь winocm, и пользователь Cererdlong из подразделения Alibaba Mobile Security Team

    Запись изменена 3 февраля 2020 г.
  • IOAcceleratorFamily

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Может происходить неожиданный перезапуск устройства.

    Описание. В драйвере IntelAccelerator возникала проблема разыменования нулевого указателя. Проблема устранена путем улучшенной обработки ошибок.

    Идентификатор CVE

    CVE-2014-4373: пользователь cunzhang из подразделения Adlab компании Venustech

  • IOHIDFamily

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Вредоносная программа может считывать указатели ядра, которые могут использоваться для обхода технологии случайного расположения в адресном пространстве ядра.

    Описание. При обработке функции IOHIDFamily возникала проблема чтения за границами отведенной области памяти. Проблема устранена путем улучшенной проверки границ памяти.

    Идентификатор CVE

    CVE-2014-4379: Иэн Бир (Ian Beer) из подразделения Google Project Zero

  • IOHIDFamily

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Вредоносное приложение может выполнять произвольный код с системными правами.

    Описание. При обработке свойств раскладки клавиатуры в IOHIDFamily возникала проблема переполнения буфера динамической памяти. Проблема устранена путем улучшенной проверки границ памяти.

    Идентификатор CVE

    CVE-2014-4404: Иэн Бир (Ian Beer) из подразделения Google Project Zero

  • IOHIDFamily

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Вредоносное приложение может выполнять произвольный код с системными правами.

    Описание. При обработке свойств раскладки клавиатуры в IOHIDFamily возникала проблема разыменования нулевого указателя. Проблема устранена путем улучшенной проверки раскладки клавиатуры в IOHIDFamily.

    Идентификатор CVE

    CVE-2014-4405: Иэн Бир (Ian Beer) из подразделения Google Project Zero

  • IOHIDFamily

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Вредоносное приложение может выполнять произвольный код с привилегиями ядра.

    Описание. В расширении ядра IOHIDFamily возникала проблема записи за границами отведенной области памяти. Проблема устранена путем улучшенной проверки границ памяти.

    Идентификатор CVE

    CVE-2014-4380: пользователь cunzhang из подразделения Adlab компании Venustech

  • IOKit

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Вредоносная программа может считывать неинициализированные данные из памяти ядра.

    Описание. При обработке функций IOKit возникала проблема доступа к неинициализированной области памяти. Проблема устранена путем улучшенной инициализации памяти.

    Идентификатор CVE

    CVE-2014-4407: пользователь @PanguTeam

  • IOKit

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Вредоносное приложение может выполнять произвольный код с системными правами.

    Описание. При обработке некоторых полей метаданных объектов IODataQueue возникала проблема проверки. Проблема устранена путем улучшенной проверки метаданных.

    Идентификатор CVE

    CVE-2014-4418: Иэн Бир (Ian Beer) из подразделения Google Project Zero

  • IOKit

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Вредоносное приложение может выполнять произвольный код с системными правами.

    Описание. При обработке некоторых полей метаданных объектов IODataQueue возникала проблема проверки. Проблема устранена путем улучшенной проверки метаданных.

    Идентификатор CVE

    CVE-2014-4388: @PanguTeam

  • IOKit

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Вредоносное приложение может выполнять произвольный код с системными правами.

    Описание. При обработке функций IOKit существовала проблема целочисленного переполнения. Проблема устранена путем улучшенной проверки аргументов интерфейса API IOKit.

    Идентификатор CVE

    CVE-2014-4389: Иэн Бир (Ian Beer) из подразделения Google Project Zero

  • Ядро

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Локальный пользователь может определять схему распределения памяти в ядре.

    Описание. В интерфейсе сетевой статистики существовал ряд проблем, связанных с доступом к неинициализированной области памяти, которые приводили к раскрытию содержимого памяти ядра. Проблема устранена путем дополнительной инициализации памяти.

    Идентификатор CVE

    CVE-2014-4371: Фермин Дж. Серна (Fermin J. Serna) из подразделения Google Security Team

    CVE-2014-4419: Фермин Дж. Серна (Fermin J. Serna) из подразделения Google Security Team

    CVE-2014-4420: Фермин Дж. Серна (Fermin J. Serna) из подразделения Google Security Team

    CVE-2014-4421: Фермин Дж. Серна (Fermin J. Serna) из подразделения Google Security Team

  • Ядро

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Злоумышленник, находящийся в привилегированном участке сети, может вызывать отказ в обслуживании.

    Описание. При обработке пакетов IPv6 возникало условие состязания. Проблема устранена путем улучшенной проверки состояния блокировки.

    Идентификатор CVE

    CVE-2011-2391: Марк Хеус (Marc Heuse)

  • Ядро

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Локальный пользователь может вызвать внезапное завершение работы системы или выполнить произвольный код в ядре.

    Описание. При обработке портов Mach возникала проблема двойного высвобождения памяти. Проблема устранена путем улучшенной проверки портов Mach.

    Идентификатор CVE

    CVE-2014-4375: анонимный исследователь

  • Ядро

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Локальный пользователь может вызвать внезапное завершение работы системы или выполнить произвольный код в ядре.

    Описание. В rt_setgate существовала проблема чтения за границами отведенной области памяти. Это могло привести к раскрытию или повреждению данных в памяти. Проблема устранена путем улучшенной проверки границ памяти.

    Идентификатор CVE

    CVE-2014-4408

  • Ядро

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Некоторые меры безопасности ядра можно обойти.

    Описание. Генератор случайных чисел, ранее используемый для соблюдения мер безопасности ядра в процессе загрузки, не обеспечивал безопасность шифрования. Некоторые выходные данные можно было вывести из пространства пользователя, что позволяло обойти меры безопасности. Проблема устранена путем использования надежного алгоритма шифрования.

    Идентификатор CVE

    CVE-2014-4422: Тарьей Мандт (Tarjei Mandt) из компании Azimuth Security

  • Libnotify

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Вредоносная программа может выполнять произвольный код с правами корневого пользователя.

    Описание. В Libnotify возникала проблема записи за границами отведенной области памяти. Проблема устранена путем улучшенной проверки границ памяти.

    Идентификатор CVE

    CVE-2014-4381: Иэн Бир (Ian Beer) из подразделения Google Project Zero

  • Lockdown

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Некоторыми действиями можно вызвать отображение экрана «Домой» на устройстве при включенной блокировке активации.

    Описание. Возникала проблема со снятием блокировки, которая приводила к отображению экрана «Домой» на устройстве даже в состоянии блокировки активации. Проблема устранена путем изменения информации, которую проверяет устройство при запросе на снятие блокировки.

    Идентификатор CVE

    CVE-2014-1360

  • Почта

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Даже если сервер использует команду LOGINDISABLED в протоколе IMAP, учетные данные для входа могут быть отправлены в обычном текстовом файле.

    Описание. Программа «Почта» отправляла команду LOGIN на серверы, даже если они использовали команду LOGINDISABLED в протоколе IMAP. Эта проблема в основном возникает при подключении к серверам, настроенным на прием незашифрованных соединений с включенной командой LOGINDISABLED. Проблема устранена путем соблюдения команды LOGINDISABLED в протоколе IMAP.

    Идентификатор CVE

    CVE-2014-4366: Марк Криспин (Mark Crispin)

  • Почта

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Лицо с физическим доступом к устройству iOS может просматривать вложения электронной почты.

    Описание. При использовании модуля защиты данных в программе «Почта» для вложений возникала логическая ошибка. Проблема устранена путем выбора правильного класса модуля защиты данных для вложений электронной почты.

    Идентификатор CVE

    CVE-2014-1348: Андреас Куртц (Andreas Kurtz) из компании NESO Security Labs

  • Профили

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. После обновления ОС iOS происходит неожиданное включение функции «Голосовой набор».

    Описание. После обновления ОС iOS автоматически происходило включение функции «Голосовой набор». Эта проблема устранена путем улучшенного управления состояниями.

    Идентификатор CVE

    CVE-2014-4367: Свен Хайнеманн (Sven Heinemann)

  • Safari

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. При использовании функции автозаполнения учетные данные пользователя могут быть переданы на посторонний сайт.

    Описание. Браузер Safari может автоматически заполнять имена пользователей и пароли во вложенном фрейме другого домена, а не в основном фрейме. Проблема устранена путем улучшенного отслеживания источников.

    Идентификатор CVE

    CVE-2013-5227: Никлас Мальмгрен (Niklas Malmgren) из компании Klarna AB

  • Safari

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Злоумышленник, находящийся в привилегированном участке сети, может перехватывать учетные данные пользователя.

    Описание. Сохраненные пароли автоматически вводились на сайтах http, недоверенных сайтах https и во фреймах iframe. Проблема устранена путем ограничения автозаполнения паролей: только в главных фреймах сайтов https с действительными цепочками сертификатов.

    Идентификатор CVE

    CVE-2014-4363: Дэвид Сильвер (David Silver), Суман Джана (Suman Jana) и Дэн Бонэ (Dan Boneh) из Стэнфордского университета в сотрудничестве с Эриком Ченом (Eric Chen) и Коллином Джексоном (Collin Jackson) из Университета Карнеги-Меллон

  • Safari

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Злоумышленник, находящийся в привилегированном участке сети, может подменять URL-адреса в Safari.

    Описание. В браузере Safari на устройствах под управлением MDM-решений имела место несогласованность пользовательского интерфейса. Проблема устранена путем улучшения проверок согласованности пользовательского интерфейса.

    Идентификатор CVE

    CVE-2014-8841: Энжело Прадо (Angelo Prado) из подразделения Salesforce Product Security

  • Профили Sandbox

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Программы сторонних разработчиков могут получать доступ к информации об идентификаторе Apple ID.

    Описание. В изолированной среде программы сторонних разработчиков возникала проблема утечки информации. Проблема устранена путем улучшения профиля сторонней изолированной среды.

    Идентификатор CVE

    CVE-2014-4362: Андреас Куртц (Andreas Kurtz) из компании NESO Security Labs и Маркус Тросбах (Markus Troßbach) из Университета Хайльбронна

  • Настройки

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. На экране блокировки может отображаться окно предварительного просмотра текстовых сообщений, даже если эта функция отключена.

    Описание. В процедуре предварительного просмотра уведомлений текстовых сообщений на экране блокировки возникала ошибка. В результате содержимое полученных сообщений появлялось на экране блокировки, даже когда в меню «Настройки» функция предварительного просмотра была отключена. Проблема устранена путем улучшенного соблюдения данного параметра настройки.

    Идентификатор CVE

    CVE-2014-4356: Маттиа Ширинзи (Mattia Schirinzi) из Сан-Пьетро-Вернотико (Бриндизи), Италия

  • syslog

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Локальный пользователь может изменять разрешения для произвольных файлов.

    Описание. Служба syslogd переходила по символическим ссылкам, изменяя права доступа для файлов. Проблема устранена путем улучшенной обработки символических ссылок.

    Идентификатор CVE

    CVE-2014-4372: Телэй Ван (Tielei Wang) и Йонгджин Джанг (YeongJin Jang) из Центра информационной безопасности технологического института штата Джорджия (GTISC)

  • Погода

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Информация о местоположении отправлялась незашифрованной.

    Описание. В интерфейсе API для определения местной погоды возникала проблема утечки информации. Проблема устранена путем изменения интерфейсов API.

  • WebKit

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Вредоносный веб-сайт может отслеживать пользователей даже при включенном режиме «Частный доступ».

    Описание. Веб-программа могла сохранять кэш программы HTML5 при просмотре в обычном режиме, а затем считывать эти данные при просмотре в режиме «Частный доступ». Проблема устранена путем блокировки доступа к кэшу программы в режиме «Частный доступ».

    Идентификатор CVE

    CVE-2014-4409: Ёсуке Хасегава (Yosuke Hasegawa) из компании NetAgent Co., Led.

  • WebKit

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода.

    Описание. В библиотеке WebKit возникало несколько ошибок, приводящих к повреждению данных в памяти. Проблемы устранены путем улучшенной обработки обращений к памяти.

    Идентификатор CVE

    CVE-2013-6663: Атте Кеттунен (Atte Kettunen) из подразделения программирования систем безопасности Университета Оулу (OUSPG)

    CVE-2014-1384: компания Apple

    CVE-2014-1385: компания Apple

    CVE-2014-1387: подразделение Google Chrome Security Team

    CVE-2014-1388: компания Apple

    CVE-2014-1389: компания Apple

    CVE-2014-4410: Эрик Зайдель (Eric Seidel) из компании Google

    CVE-2014-4411: подразделение Google Chrome Security Team

    CVE-2014-4412: компания Apple

    CVE-2014-4413: компания Apple

    CVE-2014-4414: компания Apple

    CVE-2014-4415: компания Apple

  • Wi-Fi

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Устройство может быть пассивно отслежено по MAC-адресу Wi-Fi-адаптера.

    Описание. Возникала утечка информации вследствие того, что для сканирования на предмет наличия сетей Wi-Fi использовался стабильный MAC-адрес. Проблема устранена путем рандомизации MAC-адреса для пассивного сканирования сетей Wi-Fi.

Примечание.

ОС iOS 8 содержит изменения некоторых возможностей диагностики. Дополнительные сведения см. в статье https://support.apple.com/ru-ru/HT6331.

Теперь устройства с ОС iOS 8 больше не предоставляют доступ ранее доверенным компьютерам. Инструкции см. в статье https://support.apple.com/ru-ru/HT5868.

Функция FaceTime доступна не во всех странах и регионах.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: