Сведения о проблемах системы безопасности, устраняемых обновлением ОС iOS 8.1
В этом документе описаны проблемы системы безопасности, устраненные в ОС iOS 8.1
В целях защиты клиентов компания Apple не разглашает информацию о проблемах в системе безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Безопасность продуктов Apple.
Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Как использовать PGP-ключ защиты продуктов Apple.
Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.
Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.
ОС iOS 8.1
Bluetooth
Подвержены уязвимости: iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей
Воздействие. Злонамеренное устройство ввода Bluetooth может подключаться без создания пары.
Описание. Были разрешены незашифрованные соединения с HID-аксессуарами Bluetooth с низким энергопотреблением. Если устройство с ОС iOS объединялось в пару с таким аксессуаром, злоумышленник мог подменить разрешенный аксессуар и установить соединение. Проблема устранена путем запрета незашифрованных соединений с HID-аксессуарами.
Идентификатор CVE
CVE-2014-4428: Майк Райан (Mike Ryan) из компании iSEC Partners
Домашний арест
Подвержены уязвимости: iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей
Воздействие. Передаваемые на устройство файлы могут иметь недостаточную криптографическую защиту.
Описание. Файлы передавались в каталог «Документы» программы и шифровались ключом, защищенным только с помощью аппаратного идентификатора UID. Проблема устранена путем шифрования передаваемых файлов ключом, защищенным с помощью аппаратного идентификатора UID и пароля пользователя.
Идентификатор CVE
CVE-2014-4448: Джонатан Здзиарски (Jonathan Zdziarski) и Кевин Делонг (Kevin DeLong)
Доступ к данным в iCloud
Подвержены уязвимости: iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей
Воздействие. Злоумышленник, находящийся в привилегированном участке сети, может вызвать утечку конфиденциальной информации в клиентах доступа к данным в iCloud.
Описание. В клиентах доступа к данным в iCloud существовала уязвимость при проверке сертификата TLS. Проблема устранена путем улучшенной проверки сертификатов.
Идентификатор CVE
CVE-2014-4449: Карл Мехнер (Carl Mehner) из компании USAA
Клавиатуры
Подвержены уязвимости: iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей
Воздействие. Функция QuickType может запоминать учетные данные пользователей.
Описание. Функция QuickType могла запоминать учетные данные пользователей при переключении между элементами. Проблема устранена путем отключения запоминания функцией QuickType введенных данных в полях, для которых отключено автозаполнение, и повторного применения критериев при переключении между элементами ввода DOM в устаревшей версии библиотеки WebKit.
Идентификатор CVE
CVE-2014-4450
Secure Transport
Подвержены уязвимости: iPhone 4s и более поздних моделей, iPod touch (5-го поколения) и более поздних моделей, iPad 2 и более поздних моделей
Воздействие. Злоумышленник может расшифровать данные, защищенные SSL.
Описание. Был возможен ряд атак на конфиденциальность SSL 3.0, при которых комплект шифров использует блочный шифр в режиме CBC. Путем блокировки TLS 1.0 и увеличения числа попыток соединения злоумышленник мог вызвать принудительное использование SSL 3.0 даже для серверов, поддерживающих лучшую версию (TLS). Эта проблема устранена путем отключения комплектов шифров CBC в случае неудачи попыток установления соединения TLS.
Идентификатор CVE
CVE-2014-3566: Бодо Мюллер (Bodo Moeller), Тай Донг (Thai Duong) и Кшиштоф Котович (Krzysztof Kotowicz) из подразделения Google Security Team
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.