В целях защиты клиентов компания Apple не разглашает информацию о проблемах в системе безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Безопасность продуктов Apple.
Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Как использовать PGP-ключ защиты продуктов Apple.
Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.
Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.
ОС iOS 8.1
-
Bluetooth
Подвержены уязвимости: iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей
Воздействие. Злонамеренное устройство ввода Bluetooth может подключаться без создания пары.
Описание. Были разрешены незашифрованные соединения с HID-аксессуарами Bluetooth с низким энергопотреблением. Если устройство с ОС iOS объединялось в пару с таким аксессуаром, злоумышленник мог подменить разрешенный аксессуар и установить соединение. Проблема устранена путем запрета незашифрованных соединений с HID-аксессуарами.
Идентификатор CVE
CVE-2014-4428: Майк Райан (Mike Ryan) из компании iSEC Partners
-
Домашний арест
Подвержены уязвимости: iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей
Воздействие. Передаваемые на устройство файлы могут иметь недостаточную криптографическую защиту.
Описание. Файлы передавались в каталог «Документы» программы и шифровались ключом, защищенным только с помощью аппаратного идентификатора UID. Проблема устранена путем шифрования передаваемых файлов ключом, защищенным с помощью аппаратного идентификатора UID и пароля пользователя.
Идентификатор CVE
CVE-2014-4448: Джонатан Здзиарски (Jonathan Zdziarski) и Кевин Делонг (Kevin DeLong)
-
Доступ к данным в iCloud
Подвержены уязвимости: iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей
Воздействие. Злоумышленник, находящийся в привилегированном участке сети, может вызвать утечку конфиденциальной информации в клиентах доступа к данным в iCloud.
Описание. В клиентах доступа к данным в iCloud существовала уязвимость при проверке сертификата TLS. Проблема устранена путем улучшенной проверки сертификатов.
Идентификатор CVE
CVE-2014-4449: Карл Мехнер (Carl Mehner) из компании USAA
-
Клавиатуры
Подвержены уязвимости: iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей
Воздействие. Функция QuickType может запоминать учетные данные пользователей.
Описание. Функция QuickType могла запоминать учетные данные пользователей при переключении между элементами. Проблема устранена путем отключения запоминания функцией QuickType введенных данных в полях, для которых отключено автозаполнение, и повторного применения критериев при переключении между элементами ввода DOM в устаревшей версии библиотеки WebKit.
Идентификатор CVE
CVE-2014-4450
-
Secure Transport
Подвержены уязвимости: iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей
Воздействие. Злоумышленник может расшифровать данные, защищенные SSL.
Описание. Был возможен ряд атак на конфиденциальность SSL 3.0, при которых комплект шифров использует блочный шифр в режиме CBC. Путем блокировки TLS 1.0 и увеличения числа попыток соединения злоумышленник мог вызвать принудительное использование SSL 3.0 даже для серверов, поддерживающих лучшую версию (TLS). Эта проблема устранена путем отключения комплектов шифров CBC в случае неудачи попыток установления соединения TLS.
Идентификатор CVE
CVE-2014-3566: Бодо Мюллер (Bodo Moeller), Тай Донг (Thai Duong) и Кшиштоф Котович (Krzysztof Kotowicz) из подразделения Google Security Team