Сведения о проблемах системы безопасности, устраняемых обновлением ОС iOS 8.1.1

В этом документе описаны проблемы системы безопасности, устраненные в ОС iOS 8.1.1.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах в системе безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на веб-сайте Безопасность продуктов Apple.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

ОС iOS 8.1.1

  • CFNetwork

    Доступно для iPhone 4s и более новых моделей, iPod touch (5-го поколения) и более новых моделей, iPad 2 и более новых моделей

    Воздействие. Кэш веб-сайта может очищаться не полностью после выхода из режима «Частный доступ».

    Описание. Существовала проблема, связанная с нарушением конфиденциальности: данные о просмотренных страницах оставались в кэше после выхода из режима «Частный доступ». Эта проблема устранена путем изменения поведения кэширования.

    Идентификатор CVE

    CVE-2014-4460

  • dyld

    Доступно для iPhone 4s и более новых моделей, iPod touch (5-го поколения) и более новых моделей, iPad 2 и более новых моделей

    Воздействие. Локальный пользователь может запустить на выполнение неподписанный код.

    Описание. При обработке исполняемых файлов Mach-O с перекрывающимися сегментами возникала проблема управления состоянием. Эта проблема устранена путем усовершенствования проверки размера сегментов.

    Идентификатор CVE

    CVE-2014-4455: @PanguTeam

  • Ядро

    Доступно для iPhone 4s и более новых моделей, iPod touch (5-го поколения) и более новых моделей, iPad 2 и более новых моделей

    Воздействие. Вредоносная программа может выполнять произвольный код с системными привилегиями.

    Описание. При обработке определенных полей метаданных в объектах IOSharedDataQueue возникала проблема проверки. Эта проблема устранена путем перемещения метаданных.

    Идентификатор CVE

    CVE-2014-4461: @PanguTeam

  • Экран блокировки

    Доступно для iPhone 4s и более новых моделей, iPod touch (5-го поколения) и более новых моделей, iPad 2 и более новых моделей

    Воздействие. Злоумышленник, завладевший устройством, может превысить максимальное количество неудачных попыток ввода пароля.

    Описание. В некоторых случаях ограничение на количество неудачных попыток ввода пароля не применялось. Эта проблема устранена путем добавления дополнительного ограничения для максимального количества попыток.

    Идентификатор CVE

    CVE-2014-4451: Стюарт Райан (Stuart Ryan) из Технологического университета Сиднея

  • Экран блокировки

    Доступно для iPhone 4s и более новых моделей, iPod touch (5-го поколения) и более новых моделей, iPad 2 и более новых моделей

    Воздействие. Человек, имеющий физический доступ к телефону, может просматривать фотографии, хранящиеся в медиатеке фотографий.

    Описание. Используя вариант «Оставить сообщение» в FaceTime, можно было просматривать и отправлять фотографии с устройства. Эта проблема устранена путем усовершенствования управления состоянием.

    Идентификатор CVE

    CVE-2014-4463

  • Профили Sandbox

    Доступно для iPhone 4s и более новых моделей, iPod touch (5-го поколения) и более новых моделей, iPad 2 и более новых моделей

    Воздействие. Вредоносная программа может запустить на выполнение на доверенном устройстве произвольный двоичный код.

    Описание. В функции отладки для ОС iOS существовала проблема с разрешениями, из-за которой на доверенных устройствах могли запускаться неотлаженные программы. Эта проблема устранена путем изменения изолированной среды на отладочном сервере.

    Идентификатор CVE

    CVE-2014-4457: @PanguTeam

  • Spotlight

    Доступно для iPhone 4s и более новых моделей, iPod touch (5-го поколения) и более новых моделей, iPad 2 и более новых моделей

    Воздействие. В процессе первоначального соединения Spotlight или Safari с серверами, для которых включена функция «Предложения Spotlight», могут собираться ненужные сведения.

    Описание. При первоначальном соединении Spotlight или Safari с серверами, для которых включена функция «Предложения Spotlight», собирались сведения о приблизительном местонахождении пользователя, прежде чем он вводил запрос. Эта проблема устранена путем отключения сбора этих сведений при первоначальном соединении, так чтобы определялось приблизительное местонахождение пользователя только после отправки запроса.

    Идентификатор CVE

    CVE-2014-4453: Ашкан Солтани (Ashkan Soltani)

  • WebKit

    Доступно для iPhone 4s и более новых моделей, iPod touch (5-го поколения) и более новых моделей, iPad 2 и более новых моделей

    Воздействие. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода.

    Описание. В библиотеке WebKit возникало несколько ошибок, приводящих к повреждению данных в памяти. Проблемы устранены путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2014-4452

    CVE-2014-4462

Технология FaceTime доступна не во всех странах и регионах.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного характера и не рекламируются компанией. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Помните, что использование любых сведений или продуктов, размещенных в Интернете, сопровождается риском. За дополнительной информацией обращайтесь к поставщику. Другие названия компаний или продуктов могут быть товарными знаками соответствующих владельцев.

Дата публикации: