Сведения о проблемах системы безопасности, устраняемых обновлением ОС iOS 8.1

В этом документе описаны проблемы системы безопасности, устраненные в ОС iOS 8.1

В целях защиты клиентов компания Apple не разглашает информацию о проблемах в системе безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Безопасность продуктов Apple.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Как использовать PGP-ключ защиты продуктов Apple.

Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

ОС iOS 8.1

  • Bluetooth

    Подвержены уязвимости: iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Злонамеренное устройство ввода Bluetooth может подключаться без создания пары.

    Описание. Были разрешены незашифрованные соединения с HID-аксессуарами Bluetooth с низким энергопотреблением. Если устройство с ОС iOS объединялось в пару с таким аксессуаром, злоумышленник мог подменить разрешенный аксессуар и установить соединение. Проблема устранена путем запрета незашифрованных соединений с HID-аксессуарами.

    Идентификатор CVE

    CVE-2014-4428: Майк Райан (Mike Ryan) из компании iSEC Partners

  • Домашний арест

    Подвержены уязвимости: iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Передаваемые на устройство файлы могут иметь недостаточную криптографическую защиту.

    Описание. Файлы передавались в каталог «Документы» программы и шифровались ключом, защищенным только с помощью аппаратного идентификатора UID. Проблема устранена путем шифрования передаваемых файлов ключом, защищенным с помощью аппаратного идентификатора UID и пароля пользователя.

    Идентификатор CVE

    CVE-2014-4448: Джонатан Здзиарски (Jonathan Zdziarski) и Кевин Делонг (Kevin DeLong)

  • Доступ к данным в iCloud

    Подвержены уязвимости: iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Злоумышленник, находящийся в привилегированном участке сети, может вызвать утечку конфиденциальной информации в клиентах доступа к данным в iCloud.

    Описание. В клиентах доступа к данным в iCloud существовала уязвимость при проверке сертификата TLS. Проблема устранена путем улучшенной проверки сертификатов.

    Идентификатор CVE

    CVE-2014-4449: Карл Мехнер (Carl Mehner) из компании USAA

  • Клавиатуры

    Подвержены уязвимости: iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Функция QuickType может запоминать учетные данные пользователей.

    Описание. Функция QuickType могла запоминать учетные данные пользователей при переключении между элементами. Проблема устранена путем отключения запоминания функцией QuickType введенных данных в полях, для которых отключено автозаполнение, и повторного применения критериев при переключении между элементами ввода DOM в устаревшей версии библиотеки WebKit.

    Идентификатор CVE

    CVE-2014-4450

  • Secure Transport

    Подвержены уязвимости: iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей

    Воздействие. Злоумышленник может расшифровать данные, защищенные SSL.

    Описание. Был возможен ряд атак на конфиденциальность SSL 3.0, при которых комплект шифров использует блочный шифр в режиме CBC. Путем блокировки TLS 1.0 и увеличения числа попыток соединения злоумышленник мог вызвать принудительное использование SSL 3.0 даже для серверов, поддерживающих лучшую версию (TLS). Эта проблема устранена путем отключения комплектов шифров CBC в случае неудачи попыток установления соединения TLS.

    Идентификатор CVE

    CVE-2014-3566: Бодо Мюллер (Bodo Moeller), Тай Донг (Thai Duong) и Кшиштоф Котович (Krzysztof Kotowicz) из подразделения Google Security Team

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного характера и не рекламируются компанией. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Помните, что использование любых сведений или продуктов, размещенных в Интернете, сопровождается риском. За дополнительной информацией обращайтесь к поставщику. Другие названия компаний или продуктов могут быть товарными знаками соответствующих владельцев.

Дата публикации: