Obsah zabezpečenia v systéme iOS 8

V tomto dokumente sa popisuje obsah zabezpečenia v systéme iOS 8.

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.

Ďalšie informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.

Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.

iOS 8

  • 802.1X

    Dostupné pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Útočník môže získať prihlasovacie údaje Wi-Fi siete

    Popis: Útočník mohol predstierať identitu prístupového bodu Wi-Fi, ponúkať overenie protokolom LEAP, prelomiť hodnotu hash MS-CHAPv1 a pomocou odvodených prihlasovacích údajov sa overiť na príslušnom prístupovom bode, a to aj v prípade, že daný prístupový bod podporoval metódy overenia so silnejším zabezpečením. Tento problém bol vyriešený nastavením protokolu LEAP tak, aby bol predvolene zakázaný.

    CVE-ID

    CVE-2014-4364 : Pieter Robyns, Bram Bonne, Peter Quax a Wim Lamotte z univerzity v Hasselte

  • Accounts

    Dostupné pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia so škodlivým kódom môže byť schopná identifikovať účet Apple ID používateľa

    Popis: V logike riadenia prístupu k účtom dochádzalo k problému. Aplikácia v izolovanom priestore mohla získať informácie o aktívnom účte služby iCloud vrátane názvu účtu. Tento problém bol vyriešený zakázaním prístupu neoprávnených aplikácií k určitým typom účtov.

    CVE-ID

    CVE-2014-4423 : Adam Weaver

  • Accessibility

    Dostupné pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Pri používaní funkcie AssistiveTouch sa obrazovka zariadenia nemusí uzamknúť

    Popis: V logike spracovania udalostí funkcie AssistiveTouch dochádzalo k problému, v dôsledku ktorého sa neuzamykala obrazovka. Tento problém bol vyriešený vylepšením spracovávania časovača uzamknutia.

    CVE-ID

    CVE-2014-4368 : Hendrik Bettermann

  • Accounts Framework

    Dostupné pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Útočník s prístupom k zariadeniu so systémom iOS môže získať prístup k citlivým informáciám o používateľovi z denníkov

    Popis: Do denníkov sa zapisovali citlivé informácie o používateľovi. Tento problém bol vyriešený zapisovaním menšieho objemu údajov do denníkov.

    CVE-ID

    CVE-2014-4357 : Heli Myllykoski z tímu OP-Pohjola Group

  • Address Book

    Dostupné pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Osoba s fyzickým prístupom k zariadeniu so systémom iOS môže čítať adresár

    Popis: Adresár bol šifrovaný pomocou kľúča, ktorý bol chránený len hardvérovým identifikátorom UID. Tento problém bol vyriešený šifrovaním adresára pomocou kľúča, ktorý je chránený hardvérovým identifikátorom UID a heslom používateľa.

    CVE-ID

    CVE-2014-4352 : Jonathan Zdziarski

  • App Installation

    Dostupné pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Lokálny útočník môže zvýšiť úroveň oprávnení a inštalovať neoverené aplikácie

    Popis: V systéme inštalácie aplikácií dochádzalo k problému s postupnosťou vykonania procesov. Útočník, ktorý mohol zapisovať do adresára /tmp, mohol nainštalovať neoverenú aplikáciu. Tento problém bol vyriešený ukladaním dočasných inštalačných súborov do iného adresára.

    CVE-ID

    CVE-2014-4386 : evad3rs

  • App Installation

    Dostupné pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Lokálny útočník môže zvýšiť úroveň oprávnení a inštalovať neoverené aplikácie

    Popis: V systéme inštalácie aplikácií dochádzalo k problému so zmenou cesty. Lokálny útočník mohol presmerovať overenie podpisu kódu na balík odlišujúci sa od inštalovaného balíka, v dôsledku čoho bolo možné nainštalovať neoverenú aplikáciu. Tento problém bol vyriešený zisťovaním zmeny cesty a jej zakázaním pri určovaní podpisu kódu na overenie.

    CVE-ID

    CVE-2014-4384 : evad3rs

  • Assets

    Dostupné pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Útočník s oprávneniami v sieti môže spôsobiť, že zariadenie so systémom iOS sa považuje za aktualizované aj v prípade, ak neobsahuje najnovší softvér

    Popis: Pri spracovávaní odpovedí pri kontrole aktualizácií dochádzalo k problému s overením. Pre kontroly If-Modified-Since v ďalších požiadavkách na aktualizáciu sa používali pozmenené dátumy z hlavičiek odpovedí Last-Modified nastavené na dátumy v budúcnosti. Tento problém bol vyriešený overovaním hlavičky Last-Modified.

    CVE-ID

    CVE-2014-4383 : Raul Siles z tímu DinoSec

  • Bluetooth

    Dostupné pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Po upgradovaní systému iOS je neočakávane zapnuté rozhranie Bluetooth

    Popis: Po upgradovaní systému iOS je automaticky zapnuté rozhranie Bluetooth. Tento problém bol vyriešený zapínaním rozhrania Bluetooth len pri aktualizovaní hlavnej alebo vedľajšej verzie.

    CVE-ID

    CVE-2014-4354 : Maneet Singh, Sean Bluestein

  • Certificate Trust Policy

    Dostupné pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aktualizácia zásad dôveryhodnosti certifikátov

    Popis: Zásady dôveryhodnosti certifikátov sa aktualizovali. Úplný zoznam certifikátov nájdete v článku iOS 8: Zoznam dôveryhodných koreňových certifikátov

  • CoreGraphics

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Otvorenie súboru PDF so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní súborov PDF dochádzalo k pretečeniu rozsahu celých čísel. Tento problém bol vyriešený vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2014-4377 : Felipe Andres Manzano z tímu Binamuse VRT v spolupráci s programom iSIGHT Partners GVP Program

  • CoreGraphics

    Dostupné pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Otvorenie PDF súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo sprístupneniu informácií

    Popis: Pri spracovávaní PDF súborov dochádzalo k čítaniu dát v zakázaných oblastiach pamäte. Tento problém bol vyriešený vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2014-4378 : Felipe Andres Manzano z tímu Binamuse VRT v spolupráci s programom iSIGHT Partners GVP Program

  • Data Detectors

    Dostupné pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Klepnutím na odkaz FaceTime v aplikácii Mail sa aktivoval audiohovor FaceTime bez zobrazenia výzvy

    Popis: Pred spustením URL adries facetime-audio:// nezobrazovala aplikácia Mail výzvu používateľovi. Tento problém bol vyriešený pridaním výzvy na potvrdenie.

    CVE-ID

    CVE-2013-6835 : Guillaume Ross

  • Foundation

    Dostupné pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikáciu používajúcu NSXMLParser možno zneužiť na sprístupnenie informácií

    Popis: Pri spracovávaní kódu XML komponentom NSXMLParser dochádzalo k problému s externou entitou XML. Tento problém bol vyriešený nenačítaním externých entít naprieč rôznymi zdrojmi.

    CVE-ID

    CVE-2014-4374 : George Gal z tímu VSR (http://www.vsecurity.com/)

  • Home & Lock Screen

    Dostupné pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia na pozadí môže určiť, ktorá aplikácia je aktívna

    Popis: Súkromné rozhranie API na určenie aktívnej aplikácie nemalo dostatočné riadenie prístupu. Tento problém bol vyriešený dodatočným riadením prístupu.

    CVE-ID

    CVE-2014-4361 : Andreas Kurtz z tímu NESO Security Labs a Markus Troßbach z univerzity v Heilbronne

  • iMessage

    Dostupné pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Prílohy môžu zostávať v systéme aj po vymazaní nadradenej správy iMessage alebo MMS

    Popis: V systéme vymazávania príloh dochádzalo k problému s postupnosťou vykonania procesov. Tento problém bol vyriešený vykonávaním ďalších kontrol, ktorých cieľom je určiť, či bola príloha vymazaná.

    CVE-ID

    CVE-2014-4353 : Silviu Schiau

  • IOAcceleratorFamily

    Dostupné pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší Dopad: Aplikácia môže spôsobiť neočakávané ukončenie systému Popis: Pri spracovávaní argumentov funkcie IOAcceleratorFamily rozhrania API dochádzalo k dereferencii smerníka s hodnotou NULL. Tento problém bol vyriešený vylepšením overovania argumentov funkcie IOAcceleratorFamily rozhrania API. CVE-IDCVE-2014-4369 : Sarah (winocm) a Cererdlong z tímu Alibaba Mobile Security Team

    Impact: An application may cause an unexpected system termination

    Description: A null pointer dereference existed in the handling of IOAcceleratorFamily API arguments. This issue was addressed through improved validation of IOAcceleratorFamily API arguments.

    CVE-ID

    CVE-2014-4369 : Sarah aka winocm and Cererdlong of Alibaba Mobile Security Team

    • Entry updated February 3, 2020

  • IOAcceleratorFamily

    Dostupné pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Zariadenie sa môže neočakávane reštartovať

    Popis: V ovládači IntelAccelerator dochádzalo k dereferencii smerníka s hodnotou NULL. Tento problém bol vyriešený vylepšením spracovávania chýb.

    CVE-ID

    CVE-2014-4373 : cunzhang z tímu Adlab spoločnosti Venustech

  • IOHIDFamily

    Dostupné pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia so škodlivým kódom môže čítať smerníky jadra, pomocou ktorých možno obísť náhodné usporiadanie rozloženia priestoru adries jadra

    Popis: Pri spracovávaní funkcie IOHIDFamily dochádzalo k problému s čítaním dát v zakázaných oblastiach. Tento problém bol vyriešený vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2014-4379 : Ian Beer z tímu Google Project Zero

  • IOHIDFamily

    Dostupné pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

    Popis: Pri spracovávaní vlastností priradenia kľúčov funkcie IOHIDFamily dochádzalo k pretečeniu medzipamäte haldy. Tento problém bol vyriešený vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2014-4404 : Ian Beer z tímu Google Project Zero

  • IOHIDFamily

    Dostupné pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

    Popis: Pri spracovávaní vlastností priradenia kľúčov funkcie IOHIDFamily dochádzalo k dereferencii smerníka s hodnotou NULL. Tento problém bol vyriešený vylepšením overovania vlastností priradenia kľúčov funkcie IOHIDFamily.

    CVE-ID

    CVE-2014-4405 : Ian Beer z tímu Google Project Zero

  • IOHIDFamily

    Dostupné pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra

    Popis: V rozšírení jadra IOHIDFamily dochádzalo k problému so zápisom dát do zakázaných oblastí. Tento problém bol vyriešený vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2014-4380 : cunzhang z tímu Adlab spoločnosti Venustech

  • IOKit

    Dostupné pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia so škodlivým kódom môže čítať neinicializované dáta z pamäte jadra

    Popis: Pri spracovávaní funkcií IOKit dochádzalo k problému s prístupom k neinicializovanej pamäti. Tento problém bol vyriešený vylepšením inicializácie pamäte

    CVE-ID

    CVE-2014-4407 : @PanguTeam

  • IOKit

    Dostupné pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

    Popis: Pri spracovávaní určitých polí metadát objektov IODataQueue dochádzalo k problému s overením. Tento problém bol vyriešený vylepšením overovania metadát.

    CVE-ID

    CVE-2014-4418 : Ian Beer z tímu Google Project Zero

  • IOKit

    Dostupné pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

    Popis: Pri spracovávaní určitých polí metadát objektov IODataQueue dochádzalo k problému s overením. Tento problém bol vyriešený vylepšením overovania metadát.

    CVE-ID

    CVE-2014-4388 : @PanguTeam

  • IOKit

    Dostupné pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

    Popis: Pri spracovávaní funkcií IOKit dochádzalo k pretečeniu celočíselných hodnôt. Tento problém bol vyriešený vylepšením overovania argumentov funkcií IOKit rozhrania API.

    CVE-ID

    CVE-2014-4389 : Ian Beer z tímu Google Project Zero

  • Kernel

    Dostupné pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Lokálny používateľ môže určiť rozloženie pamäte jadra

    Popis: V rozhraní štatistiky siete dochádzalo k viacerým problémom s neinicializovanou pamäťou, ktoré viedli k sprístupneniu obsahu pamäte jadra. Tieto problémy boli vyriešené dodatočnou inicializáciou pamäte.

    CVE-ID

    CVE-2014-4371 : Fermin J. Serna z tímu Google Security Team

    CVE-2014-4419 : Fermin J. Serna z tímu Google Security Team

    CVE-2014-4420 : Fermin J. Serna z tímu Google Security Team

    CVE-2014-4421 : Fermin J. Serna z tímu Google Security Team

  • Kernel

    Dostupné pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Osoba s oprávneniami v sieti môže spôsobiť odmietnutie služby

    Popis: Pri spracovávaní IPv6 paketov dochádzalo k problému s postupnosťou vykonania procesov. Tento problém bol vyriešený vylepšením kontroly stavu uzamknutia.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Kernel

    Dostupné pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Lokálny používateľ môže spôsobiť neočakávané ukončenie systému alebo spustenie ľubovoľného kódu v jadre

    Popis: Pri spracovávaní portov Mach dochádzalo k problému s dvojitým uvoľnením. Tento problém bol vyriešený vylepšením overovania portov Mach.

    CVE-ID

    CVE-2014-4375 : Anonymný výskumník

  • Kernel

    Dostupné pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Lokálny používateľ môže spôsobiť neočakávané ukončenie systému alebo spustenie ľubovoľného kódu v jadre

    Popis: Vo funkcii rt_setgate dochádzalo k problému s čítaním dát v zakázaných oblastiach. To mohlo viesť k sprístupneniu obsahu alebo poškodeniu pamäte. Tento problém bol vyriešený vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2014-4408

  • Kernel

    Dostupné pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Niektoré opatrenia na zvýšenie úrovne zabezpečenia jadra možno obísť

    Popis: Generátor náhodných čísel používaný v rámci opatrení na zvýšenie úrovne zabezpečenia jadra na začiatku procesu spúšťania systému nebol kryptograficky zabezpečený. Časť jeho výstupu bolo možné vydedukovať z priestoru používateľa, čo umožňovalo obísť opatrenia na zvýšenie úrovne zabezpečenia. Tento problém bol vyriešený použitím kryptograficky zabezpečeného algoritmu.

    CVE-ID

    CVE-2014-4422 : Tarjei Mandt z tímu Azimuth Security

  • Libnotify

    Dostupné pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami používateľa root

    Popis: V knižnici Libnotify dochádzalo k problému so zápisom dát do zakázaných oblastí. Tento problém bol vyriešený vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2014-4381 : Ian Beer z tímu Google Project Zero

  • Lockdown

    Dostupné pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Zariadenie možno zmanipulovať tak, aby sa zobrazovala plocha, aj keď je v zariadení uzamknutá aktivácia

    Popis: Pri spracovávaní odomykania dochádzalo k problému, v dôsledku ktorého sa na zariadení zobrazovala plocha, aj keď sa zariadenie malo stále nachádzať v stave uzamknutia aktivácie. Tento problém bol vyriešený zmenou informácií, ktoré zariadenie overuje počas žiadosti o odomknutie.

    CVE-ID

    CVE-2014-1360

  • Mail

    Dostupné pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Prihlasovacie údaje sa môžu odosielať ako obyčajný text aj v prípade, ak server používa funkciu LOGINDISABLED protokolu IMAP

    Popis: Aplikácia Mail odosielala na servery príkaz LOGIN, aj keď servery používali funkciu LOGINDISABLED protokolu IMAP. Takéto správanie je problematické najmä pri pripájaní k serverom nakonfigurovaným tak, aby akceptovali nešifrované pripojenia a používali funkciu LOGINDISABLED. Tento problém bol vyriešený zohľadňovaním funkcie LOGINDISABLED protokolu IMAP.

    CVE-ID

    CVE-2014-4366 : Mark Crispin

  • Mail

    Dostupné pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Osoba s fyzickým prístupom k zariadeniu so systémom iOS môže potenciálne čítať e-mailové prílohy

    Popis: V spôsobe ochrany dát e-mailových príloh v aplikácii Mail dochádzalo k logickému problému. Tento problém bol vyriešený správnym nastavením triedy ochrany dát pre e-mailové prílohy.

    CVE-ID

    CVE-2014-1348 : Andreas Kurtz z tímu NESO Security Labs

  • Profiles

    Dostupné pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Po upgradovaní systému iOS je neočakávane zapnuté hlasové vytáčanie

    Popis: Po upgradovaní systému iOS je automaticky zapnuté hlasové vytáčanie. Tento problém bol vyriešený vylepšením správy stavu.

    CVE-ID

    CVE-2014-4367 : Sven Heinemann

  • Safari

    Dostupné pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Funkcia automatického dopĺňania môže nezamýšľanej lokalite sprístupniť prihlasovacie údaje používateľa

    Popis: Prehliadač Safari môže automaticky vypĺňať mená používateľov a heslá do podrámca z inej domény, než z akej pochádza hlavný rámec. Tento problém bol vyriešený vylepšením sledovania pôvodu.

    CVE-ID

    CVE-2013-5227 : Niklas Malmgren z tímu Klarna AB

  • Safari

    Dostupné pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Útočník s oprávneniami v sieti môže zachytávať prihlasovacie údaje používateľov

    Popis: Uložené heslá sa automaticky vypĺňali na lokalitách http, na lokalitách https s porušenou dôveryhodnosťou a v rámcoch iframe. Tento problém bol vyriešený obmedzením automatického vypĺňania hesiel na hlavný rámec lokalít https s platnými certifikačnými reťazami.

    CVE-ID

    CVE-2014-4363 : David Silver, Suman Jana a Dan Boneh zo Stanfordovej univerzity v spolupráci s Ericom Chenom a Collinom Jacksonom z univerzity Carnegie Mellon University

  • Safari

    Dostupné pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Útočník s oprávneniami v sieti môže falšovať URL adresy v prehliadači Safari

    Popis: V prehliadači Safari v zariadeniach so zapnutou správou MDM dochádzalo k nekonzistentnosti používateľského rozhrania. Tento problém bol vyriešený vylepšením kontrol konzistentnosti používateľského rozhrania.

    CVE-ID

    CVE-2014-8841 : Angelo Prado z tímu Salesforce Product Security

  • Sandbox Profiles

    Dostupné pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Aplikácie od iných výrobcov mali prístup k informáciám účtov Apple ID

    Popis: V izolovanom priestore pre aplikácie od iných výrobcov dochádzalo k problému s únikom informácií. Tento problém bol vyriešený vylepšením profilu izolovaného priestoru pre aplikácie od iných výrobcov.

    CVE-ID

    CVE-2014-4362 : Andreas Kurtz z tímu NESO Security Labs a Markus Troßbach z univerzity v Heilbronne

  • Settings

    Dostupné pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Náhľady textových správ sa môžu zobrazovať na zamknutej obrazovke, aj keď je táto funkcia vypnutá

    Popis: Pri zobrazovaní náhľadu hlásení textových správ na zamknutej obrazovke dochádzalo k problému. V dôsledku tohto problému sa na zamknutej obrazovke zobrazoval obsah prijatých správ, aj keď boli náhľady vypnuté v nastaveniach. Tento problém bol vyriešený vylepšením zohľadňovania tohto nastavenia.

    CVE-ID

    CVE-2014-4356 : Mattia Schirinzi z mesta San Pietro Vernotico (BR) v Taliansku

  • syslog

    Dostupné pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Lokálny používateľ môže meniť povolenia ľubovoľných súborov

    Popis: Funkcia syslogd nasledovala symbolické odkazy pri zmene povolení súborov. Tento problém bol vyriešený vylepšením spracovávania symbolických odkazov.

    CVE-ID

    CVE-2014-4372 : Tielei Wang a YeongJin Jang z tímu Georgia Tech Information Security Center (GTISC)

  • Weather

    Dostupné pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Informácie o polohe sa odosielali nezašifrované

    Popis: V rozhraní API používanom na určenie miestneho počasia dochádzalo k problému s únikom informácií. Tento problém bol vyriešený zmenou rozhraní API.

  • WebKit

    Dostupné pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Webová stránka so škodlivým kódom môže sledovať používateľov, aj keď je zapnuté anonymné prezeranie

    Popis: Webová aplikácia mohla počas normálneho prezerania ukladať dáta do vyrovnávacej pamäte aplikácií HTML 5 a potom tieto dáta čítať počas anonymného prezerania. Tento problém bol vyriešený zakázaním prístupu k vyrovnávacej pamäti aplikácií v režime anonymného prezerania.

    CVE-ID

    CVE-2014-4409 : Yosuke Hasegawa (NetAgent Co., Led.)

  • WebKit

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo spusteniu ľubovoľného kódu

    Popis: V komponente WebKit dochádzalo k viacerým problémom s narušením pamäte. Tieto problémy boli vyriešené vylepšením spracovania pamäte.

    CVE-ID

    CVE-2013-6663 : Atte Kettunen z tímu OUSPG

    CVE-2014-1384 : Apple

    CVE-2014-1385 : Apple

    CVE-2014-1387 : Google Chrome Security Team

    CVE-2014-1388 : Apple

    CVE-2014-1389 : Apple

    CVE-2014-4410 : Eric Seidel z tímu Google

    CVE-2014-4411 : Google Chrome Security Team

    CVE-2014-4412 : Apple

    CVE-2014-4413 : Apple

    CVE-2014-4414 : Apple

    CVE-2014-4415 : Apple

  • Wi-Fi

    Dostupné pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Zariadenie možno pasívne sledovať podľa jeho MAC adresy vo Wi-Fi sieti

    Popis: Na vyhľadávanie Wi-Fi sietí sa používala statická MAC adresa, čo viedlo k sprístupneniu informácií. Tento problém bol vyriešený používaním náhodnej MAC adresy pri pasívnom vyhľadávaní Wi-Fi sietí.

Poznámka:

Systém iOS 8 obsahuje zmeny niektorých diagnostických funkcií. Podrobnosti nájdete v článku iOS: Diagnostické funkcie

Systém iOS 8 teraz zariadeniam povoľuje zrušenie dôveryhodnosti všetkých počítačov, ktoré boli nastavené ako dôveryhodné. Pokyny nájdete v článku Upozornenie Dôverovať tomuto počítaču na iPhone, iPade alebo iPode touch

Služba FaceTime nie je k dispozícii vo všetkých krajinách alebo oblastiach.

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.

Dátum zverejnenia: