О проблемах системы безопасности, устраненных в ОС iOS 8

В этом документе описаны проблемы системы безопасности, устраненные в ОС iOS 8.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах в системе безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Безопасность продуктов Apple.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

ОС iOS 8

  • 802.1X

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5 поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Злоумышленник может получить учетные данные сети Wi-Fi.

    Описание. Злоумышленник мог выдать себя за точку доступа Wi-Fi, использовать протокол аутентификации LEAP, взломать хэш-коды MS-CHAPv1 и использовать полученные учетные данные для идентификации в определенной точке доступа, даже если она поддерживала более устойчивые механизмы аутентификации. Проблема устранена путем отключения протокола аутентификации LEAP по умолчанию.

    Идентификатор CVE

    CVE-2014-4364: Питер Робинс (Pieter Robyns), Брем Бонн (Bram Bonne), Питер Ко (Peter Quax) и Вим Ламот (Wim Lamotte) из Хассельтского университета

  • Учетные записи

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5 поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Вредоносная программа может получить доступ к данным идентификатора Apple ID.

    Описание. В логике управления доступом к учетным записям возникала проблема. Программа в песочнице могла получать информацию об активной в данный момент учетной записи iCloud, в том числе имя учетной записи. Проблема устранена путем ограничения доступа к некоторым типам учетных записей со стороны неавторизованных программ.

    Идентификатор CVE

    CVE-2014-4423: Адам Вивер (Adam Weaver)

  • Универсальный доступ

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5 поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Устройство может не блокировать экран во время использования AssistiveTouch.

    Описание. При обработке событий в AssistiveTouch возникала логическая ошибка, делавшая блокировку экрана невозможной. Проблема устранена путем улучшения обработки таймера блокировки.

    Идентификатор CVE

    CVE-2014-4368: Хендрик Беттерманн (Hendrik Bettermann)

  • Инфраструктура управления учетными записями

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5 поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Злоумышленник с доступом к устройству с ОС iOS может получить доступ к конфиденциальной информации пользователя в журналах.

    Описание. Конфиденциальная информация пользователя заносилась в журналы. Проблема устранена путем ограничения объема протоколируемых сведений.

    Идентификатор CVE

    CVE-2014-4357: Хели Милликоски (Heli Myllykoski) из компании OP-Pohjola Group

  • Адресная книга

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5 поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Лицо с физическим доступом к устройству с ОС iOS может получить доступ к данным адресной книги.

    Описание. Адресная книга была зашифрована ключом, защищенным только с помощью аппаратного идентификатора UID. Проблема устранена путем шифрования адресной книги ключом, защищенным с помощью аппаратного идентификатора UID и пароля пользователя.

    Идентификатор CVE

    CVE-2014-4352: Джонатан Здзиарски (Jonathan Zdziarski)

  • Установка программ

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5 поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Злоумышленник может локально расширить свои права и установить непроверенные программы.

    Описание. В установке программ возникало условие состязания. Злоумышленник с возможностью доступа к папке /tmp мог установить непроверенную программу. Проблема устранена путем помещения установочных файлов в другую папку.

    Идентификатор CVE

    CVE-2014-4386: пользователь evad3rs

  • Установка программ

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5 поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Злоумышленник может локально расширить свои права и установить непроверенные программы.

    Описание. При установке программ возникала проблема дискретизации путей. Злоумышленник мог локально перенаправить проверку подписи кода не на устанавливаемый пакет, а на другой, и запустить установку непроверенной программы. Проблема устранена путем обнаружения и предотвращения дискретизации путей при определении подписи кода для проверки.

    Идентификатор CVE

    CVE-2014-4384: пользователь evad3rs

  • Ресурсы

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5 поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Злоумышленник, находящийся в привилегированном участке сети, может создать видимость обновления устройства с ОС iOS, когда на самом деле оно не обновлялась.

    Описание. При обработке ответов о доступных обновлениях возникала проблема проверки. При последующих запросах обновлений для проверки If-Modified-Since использовались подмененные даты из заголовков ответа Last-Modified, относящиеся к будущему времени. Проблема устранена путем проверки заголовка Last-Modified.

    Идентификатор CVE

    CVE-2014-4383: Рауль Силес (Raul Siles) из компании DinoSec

  • Bluetooth

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5 поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. После обновления ОС iOS происходит неожиданное включение интерфейса Bluetooth по умолчанию.

    Описание. После обновления ОС iOS автоматически происходило включение интерфейса Bluetooth. Проблема решена путем включения Bluetooth только для основных или промежуточных версий обновлений.

    Идентификатор CVE

    CVE-2014-4354: Манит Сингх (Maneet Singh), Шон Блуштайн (Sean Bluestein)

  • Политика доверия к сертификатам

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5 поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Обновление политики доверия к сертификатам.

    Описание. Политика доверия к сертификатам была обновлена. Полный список сертификатов см. в статье https://support.apple.com/ru-ru/HT204132.

  • CoreGraphics

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5 поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Открытие вредоносного файла PDF может привести к неожиданному завершению работы программы или выполнению произвольного кода.

    Описание. При обработке файлов PDF возникала проблема целочисленного переполнения. Проблема устранена путем улучшенной проверки границ памяти.

    Идентификатор CVE

    CVE-2014-4377: Фелипе Андрес Мансано (Felipe Andres Manzano) из компании Binamuse VRT в рамках программы iSIGHT Partners GVP

  • CoreGraphics

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5 поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Открытие вредоносного файла PDF может привести к неожиданному завершению работы программы или утечке информации.

    Описание. При обработке файлов PDF возникала проблема чтения памяти за пределами границ данных. Проблема устранена путем улучшенной проверки границ памяти.

    Идентификатор CVE

    CVE-2014-4378: Фелипе Андрес Мансано (Felipe Andres Manzano) из компании Binamuse VRT в рамках программы iSIGHT Partners GVP

  • Детекторы данных

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5 поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. При нажатии ссылки FaceTime в программе Mail мог без предупреждения осуществляться аудиовызов FaceTime.

    Описание. Программа Mail выполняла запуск URL-адресов facetime-audio:// без получения подтверждения пользователя. Проблема устранена путем добавления запроса на подтверждение.

    Идентификатор CVE

    CVE-2013-6835: Гийом Росс (Guillaume Ross)

  • Платформа

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5 поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. С помощью программы, использующей NSXMLParser, можно вызвать утечку информации.

    Описание. При обработке XML в NSXMLParser возникала проблема с элементом внешней системы XML. Проблема устранена путем блокировки загрузки внешних записей в исходные источники.

    Идентификатор CVE

    CVE-2014-4374: Джордж Гэл (George Gal) из компании VSR (http://www.vsecurity.com/)

  • Экран «Домой» и экран блокировки

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5 поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Программа в фоновом режиме может определять, какая программа находится на переднем плане.

    Описание. Частный API-интерфейс для определения программы на переднем плане не контролировал доступ на достаточном уровне. Проблема устранена путем дополнительного контроля доступа.

    Идентификатор CVE

    CVE-2014-4361: Андреас Куртц (Andreas Kurtz) из компании NESO Security Labs и Маркус Тросбах (Markus Troßbach) из Университета Хайльбронна

  • iMessage

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5 поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. После удаления родительского сообщения iMessage или MMS могут оставаться вложения.

    Описание. В способе удаления вложений возникало условие состязания. Проблема устранена путем выполнения дополнительной проверки удаления вложения.

    Идентификатор CVE

    CVE-2014-4353: Сильвиу Шио (Silviu Schiau)

  • IOAcceleratorFamily

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5 поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Любая программа может вызвать неожиданное завершение работы системы.

    Описание. При обработке аргументов API IOAcceleratorFamily возникала проблема разыменования нулевого указателя. Проблема устранена путем улучшенной проверки аргументов API IOAcceleratorFamily.

    Идентификатор CVE

    CVE-2014-4369: Катрин (Catherine), известная как пользователь winocm, и пользователь Cererdlong из подразделения Alibaba Mobile Security Team

  • IOAcceleratorFamily

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5 поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Может происходить неожиданная перезагрузка устройства.

    Описание. В драйвере IntelAccelerator возникала проблема разыменования нулевого указателя. Проблема устранена путем улучшенной обработки ошибок.

    Идентификатор CVE

    CVE-2014-4373: пользователь cunzhang из подразделения Adlab компании Venustech

  • IOHIDFamily

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5 поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Вредоносная программа может считывать указатели ядра, которые могут использоваться для обхода технологии случайного расположения в адресном пространстве ядра.

    Описание. При обработке функции IOHIDFamily возникала проблема чтения за границами отведенной области памяти. Проблема устранена путем улучшенной проверки границ памяти.

    Идентификатор CVE

    CVE-2014-4379: Иэн Бир (Ian Beer) из подразделения Google Project Zero

  • IOHIDFamily

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5 поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Вредоносная программа может выполнять произвольный код с системными привилегиями.

    Описание. При обработке свойств раскладки клавиатуры в IOHIDFamily возникала проблема переполнения буфера динамической памяти. Проблема устранена путем улучшенной проверки границ памяти.

    Идентификатор CVE

    CVE-2014-4404: Иэн Бир (Ian Beer) из подразделения Google Project Zero

  • IOHIDFamily

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5 поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Вредоносная программа может выполнять произвольный код с системными привилегиями.

    Описание. При обработке свойств раскладки клавиатуры в IOHIDFamily возникала проблема разыменования нулевого указателя. Проблема устранена путем улучшенной проверки сопоставления клавиш в IOHIDFamily.

    Идентификатор CVE

    CVE-2014-4405: Иэн Бир (Ian Beer) из подразделения Google Project Zero

  • IOHIDFamily

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5 поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Вредоносная программа может выполнять произвольный код с привилегиями ядра.

    Описание. В расширении ядра IOHIDFamily возникала проблема записи за границами отведенной области памяти. Проблема устранена путем улучшенной проверки границ памяти.

    Идентификатор CVE

    CVE-2014-4380: пользователь cunzhang из подразделения Adlab компании Venustech

  • IOKit

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5 поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Вредоносная программа может считывать неинициализированные данные из памяти ядра.

    Описание. При обработке функций IOKit возникала проблема доступа к неинициализированной области памяти. Проблема устранена путем улучшенной процедуры инициализации памяти.

    Идентификатор CVE

    CVE-2014-4407: пользователь @PanguTeam

  • IOKit

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5 поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Вредоносная программа может выполнять произвольный код с системными привилегиями.

    Описание. При обработке некоторых полей метаданных объектов IODataQueue возникала проблема проверки. Проблема устранена путем улучшенной проверки метаданных.

    Идентификатор CVE

    CVE-2014-4418: Иэн Бир (Ian Beer) из подразделения Google Project Zero

  • IOKit

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5 поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Вредоносная программа может выполнять произвольный код с системными привилегиями.

    Описание. При обработке некоторых полей метаданных объектов IODataQueue возникала проблема проверки. Проблема устранена путем улучшенной проверки метаданных.

    Идентификатор CVE

    CVE-2014-4388: @PanguTeam

  • IOKit

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5 поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Вредоносная программа может выполнять произвольный код с системными привилегиями.

    Описание. При обработке функций IOKit возникала проблема целочисленного переполнения. Проблема устранена путем улучшенной проверки аргументов IOKit API-интерфейса.

    Идентификатор CVE

    CVE-2014-4389: Иэн Бир (Ian Beer) из подразделения Google Project Zero

  • Ядро

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5 поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Локальный пользователь может выявлять схему распределения памяти в ядре.

    Описание. В интерфейсе сетевой статистики существовал ряд проблем, связанных с доступом к неинициализированной области памяти, которые приводили к раскрытию содержимого памяти ядра. Проблема устранена путем дополнительной инициализации памяти.

    Идентификатор CVE

    CVE-2014-4371: Фермин Дж. Серна (Fermin J. Serna) из подразделения Google Security Team

    CVE-2014-4419: Фермин Дж. Серна (Fermin J. Serna) из подразделения Google Security Team

    CVE-2014-4420: Фермин Дж. Серна (Fermin J. Serna) из подразделения Google Security Team

    CVE-2014-4421: Фермин Дж. Серна (Fermin J. Serna) из подразделения Google Security Team

  • Ядро

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5 поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Злоумышленник, находящийся в привилегированном участке сети, может вызывать отказ в обслуживании.

    Описание. При обработке пакетов IPv6 возникало условие состязания. Проблема устранена путем улучшенной проверки состояния блокировки.

    Идентификатор CVE

    CVE-2011-2391: Марк Хеус (Marc Heuse)

  • Ядро

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5 поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Локальный пользователь может вызывать внезапное завершение работы системы или выполнять произвольный код в ядре.

    Описание. При обработке портов Mach возникала проблема двойного освобождения памяти. Проблема устранена путем улучшенной проверки портов Mach.

    Идентификатор CVE

    CVE-2014-4375: анонимный исследователь

  • Ядро

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5 поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Локальный пользователь может вызывать внезапное завершение работы системы или выполнять произвольный код в ядре.

    Описание. В rt_setgate существовала проблема чтения за границами отведенной области памяти. Это могло привести к раскрытию или повреждению данных в памяти. Проблема устранена путем улучшенной проверки границ памяти.

    Идентификатор CVE

    CVE-2014-4408

  • Ядро

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5 поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Некоторые меры безопасности ядра можно обойти.

    Описание. Генератор случайных чисел, ранее используемый для соблюдения мер безопасности ядра в процессе запуска, не обеспечивал безопасность шифрования. Некоторые выходные данные можно было вывести из пространства пользователя, что позволяло обойти меры безопасности. Проблема устранена путем использования алгоритма безопасного шифрования.

    Идентификатор CVE

    CVE-2014-4422: Тарьей Мандт (Tarjei Mandt) из компании Azimuth Security

  • Libnotify

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5 поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Вредоносная программа может выполнять произвольный код с привилегиями корневого пользователя.

    Описание. В Libnotify возникала проблема записи за границами отведенной области памяти. Проблема устранена путем улучшенной проверки границ памяти.

    Идентификатор CVE

    CVE-2014-4381: Иэн Бир (Ian Beer) из подразделения Google Project Zero

  • Lockdown

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5 поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Некоторыми манипуляциями можно вызвать отображение домашнего экрана на устройстве при включенной блокировке активации.

    Описание. Возникала проблема со снятием блокировки, которая приводила к отображению домашнего экрана на устройстве даже в состоянии блокировки активации. Проблема устранена путем изменения информации, которую проверяет устройство при запросе на снятие блокировки.

    Идентификатор CVE

    CVE-2014-1360

  • Mail

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5 поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Даже если сервер использует команду LOGINDISABLED в протоколе IMAP, учетные данные входа могут быть отправлены в обычном текстовом файле.

    Описание. Программа Mail отправляла команду LOGIN на серверы, даже если они использовали команду LOGINDISABLED в протоколе IMAP. Эта проблема в основном возникает при подключении к серверам, настроенным на прием незашифрованных соединений с включенной командой LOGINDISABLED. Проблема устранена путем соблюдения команды LOGINDISABLED в протоколе IMAP.

    Идентификатор CVE

    CVE-2014-4366: Марк Криспин (Mark Crispin)

  • Mail

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5 поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Лицо с физическим доступом к устройству с ОС iOS может просматривать данные вложений в сообщениях электронной почты.

    Описание. При использовании модуля защиты данных в программе Mail возникала логическая ошибка. Проблема устранена путем выбора правильного класса модуля защиты данных для вложений электронной почты.

    Идентификатор CVE

    CVE-2014-1348: Андреас Куртц (Andreas Kurtz) из компании NESO Security Labs

  • Профили

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5 поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. После обновления ОС iOS происходит неожиданное включение функции «Голосовой набор».

    Описание. После обновления ОС iOS автоматически происходило включение функции «Голосовой набор». Эта проблема устранена путем усовершенствования управления состоянием.

    Идентификатор CVE

    CVE-2014-4367: Свен Хайнеманн (Sven Heinemann)

  • Safari

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5 поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. При использовании функции автозаполнения учетные данные пользователя могут быть переданы на посторонний сайт.

    Описание. Браузер Safari может автоматически заполнять имена пользователей и пароли во вложенном фрейме другого домена, а не в основном фрейме. Проблема устранена путем усовершенствования отслеживания источников.

    Идентификатор CVE

    CVE-2013-5227: Никлас Мальмгрен (Niklas Malmgren) из компании Klarna AB

  • Safari

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5 поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Злоумышленник, находящийся в привилегированном участке сети, может перехватывать учетные данные пользователя.

    Описание. Сохраненные пароли автоматически вводились на сайтах http, недоверенных сайтах https и во фреймах iframe. Проблема устранена путем ограничения автозаполнения паролей: только в главных фреймах сайтов https с действительными цепочками сертификатов.

    Идентификатор CVE

    CVE-2014-4363: Дэвид Сильвер (David Silver), Суман Джана (Suman Jana) и Дэн Бонэ (Dan Boneh) из Стэнфордского университета в сотрудничестве с Эриком Ченом (Eric Chen) и Коллином Джексоном (Collin Jackson) из Университета Карнеги-Меллон

  • Safari

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5 поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Злоумышленник, находящийся в привилегированном участке сети, может подменять URL-адреса в Safari.

    Описание. В браузере Safari на устройствах под управлением MDM-решений имела место несогласованность пользовательского интерфейса. Проблема устранена путем улучшения проверок согласованности пользовательского интерфейса.

    Идентификатор CVE

    CVE-2014-8841: Энжело Прадо (Angelo Prado), Salesforce Product Security

  • Профили песочницы

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5 поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Программы сторонних разработчиков могут получать доступ к информации об идентификаторе Apple ID.

    Описание. В песочнице программы сторонних разработчиков возникала проблема утечки информации. Проблема устранена путем улучшения профиля песочницы сторонних разработчиков.

    Идентификатор CVE

    CVE-2014-4362: Андреас Куртц (Andreas Kurtz) из компании NESO Security Labs и Маркус Тросбах (Markus Troßbach) из Университета Хайльбронна

  • Настройки

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5 поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. На экране блокировки может отображаться окно предварительного просмотра текстовых сообщений, даже если эта функция отключена.

    Описание. В процедуре предварительного просмотра уведомлений текстовых сообщений на экране блокировки возникала ошибка. В результате содержимое полученных сообщений появлялось на экране блокировки, даже когда в меню «Настройки» функция предварительного просмотра была отключена. Проблема устранена путем улучшенного соблюдения данного параметра настройки.

    Идентификатор CVE

    CVE-2014-4356: Маттиа Ширинзи (Mattia Schirinzi) из Сан-Пьетро-Вернотико (Бриндизи), Италия

  • Системный журнал

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5 поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Локальный пользователь может изменять разрешения для произвольных файлов.

    Описание. Служба syslogd переходила по символическим ссылкам, изменяя права доступа для файлов. Проблема устранена путем улучшенной обработки символических ссылок.

    Идентификатор CVE

    CVE-2014-4372: Телэй Ван (Tielei Wang) и Йонгджин Джанг (YeongJin Jang) из Центра информационной безопасности технологического института штата Джорджия (GTISC)

  • Погода

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5 поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Информация о местонахождении отправлялась незашифрованной.

    Описание. В API-интерфейсе для определения погоды в определенной местности возникала проблема утечки информации. Проблема устранена путем изменения API-интерфейсов.

  • WebKit

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5 поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Вредоносный веб-сайт может отслеживать пользователей даже в режиме частного доступа.

    Описание. Веб-программа могла сохранять кэш приложения HTML5 при просмотре в обычном режиме, а затем считывать эти данные при просмотре в режиме частного доступа. Проблема решена путем блокировки доступа к кэшу приложения в режиме частного доступа.

    Идентификатор CVE

    CVE-2014-4409: Ёсуке Хасегава (Yosuke Hasegawa) из компании NetAgent Co., Led.

  • WebKit

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5 поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода.

    Описание. В библиотеке WebKit возникало несколько ошибок, приводящих к повреждению данных в памяти. Проблемы устранены путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2013-6663: Атте Кеттунен (Atte Kettunen) из подразделения программирования систем безопасности Университета Оулу (OUSPG)

    CVE-2014-1384: компания Apple

    CVE-2014-1385: компания Apple

    CVE-2014-1387: подразделение Google Chrome Security Team

    CVE-2014-1388: компания Apple

    CVE-2014-1389: компания Apple

    CVE-2014-4410: Эрик Зайдель (Eric Seidel) из компании Google

    CVE-2014-4411: подразделение Google Chrome Security Team

    CVE-2014-4412: компания Apple

    CVE-2014-4413: компания Apple

    CVE-2014-4414: компания Apple

    CVE-2014-4415: компания Apple

  • Wi-Fi

    Доступно для: iPhone 4s и более поздних моделей, iPod touch (5 поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Устройство может быть пассивно отслежено по MAC-адресу в сети Wi-Fi.

    Описание. Возникала утечка информации вследствие того, что для сканирования на предмет наличия сетей Wi-Fi использовался стабильный MAC-адрес. Проблема устранена путем хеширования MAC-адреса для пассивного сканирования сетей Wi-Fi.

Примечание

ОС iOS 8 содержит изменения некоторых возможностей диагностики. Дополнительные сведения см. в статье https://support.apple.com/ru-ru/HT203034.

Теперь устройства с ОС iOS 8 больше не предоставляют доступ ранее доверенным компьютерам. Инструкции см. в статье https://support.apple.com/ru-ru/HT202778.

Служба FaceTime доступна не во всех странах и регионах.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного характера и не рекламируются компанией. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Помните, что использование любых сведений или продуктов, размещенных в Интернете, сопровождается риском. За дополнительной информацией обращайтесь к поставщику. Другие названия компаний или продуктов могут быть товарными знаками соответствующих владельцев.

Дата публикации: