Obsah zabezpečenia v systéme iOS 8

V tomto dokumente sa popisuje obsah zabezpečenia v systéme iOS 8.

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.

Ďalšie informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.

Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.

iOS 8

  • 802.1X

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Útočník môže získať prihlasovacie údaje Wi-Fi siete

    Popis: Útočník mohol predstierať identitu prístupového bodu Wi-Fi, ponúkať overenie protokolom LEAP, prelomiť hodnotu hash MS-CHAPv1 a pomocou odvodených prihlasovacích údajov sa overiť na príslušnom prístupovom bode, a to aj v prípade, ak daný prístupový bod podporoval metódy overenia so silnejším zabezpečením. Tento problém bol vyriešený nastavením protokolu LEAP tak, aby bol predvolene zakázaný.

    CVE-ID

    CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax a Wim Lamotte z univerzity v Hasselte

  • Účty

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Aplikácia so škodlivým kódom môže byť schopná identifikovať účet Apple ID používateľa

    Popis: V logike riadenia prístupu k účtom dochádzalo k problému. Aplikácia v izolovanom priestore mohla získať informácie o aktívnom účte služby iCloud vrátane názvu účtu. Tento problém bol vyriešený zakázaním prístupu neoprávnených aplikácií k určitým typom účtov.

    CVE-ID

    CVE-2014-4423: Adam Weaver

  • Prístupnosť

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Pri používaní funkcie AssistiveTouch sa obrazovka zariadenia nemusí uzamknúť

    Popis: V logike spracovania udalostí funkcie AssistiveTouch dochádzalo k problému, v dôsledku ktorého sa neuzamykala obrazovka. Tento problém bol vyriešený vylepšením spracovávania časovača uzamknutia.

    CVE-ID

    CVE-2014-4368: Hendrik Bettermann

  • Zostava účtov

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Útočník s prístupom k zariadeniu so systémom iOS môže získať prístup k citlivým informáciám o používateľovi z denníkov

    Popis: Do denníkov sa zapisovali citlivé informácie o používateľovi. Tento problém bol vyriešený zapisovaním menšieho objemu údajov do denníkov.

    CVE-ID

    CVE-2014-4357: Heli Myllykoski zo skupiny OP-Pohjola Group

  • Adresár

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Osoba s fyzickým prístupom k zariadeniu so systémom iOS môže čítať adresár

    Popis: Adresár bol šifrovaný pomocou kľúča, ktorý bol chránený len hardvérovým identifikátorom UID. Tento problém bol vyriešený šifrovaním adresára pomocou kľúča, ktorý je chránený hardvérovým identifikátorom UID a heslom používateľa.

    CVE-ID

    CVE-2014-4352: Jonathan Zdziarski

  • Inštalácia aplikácií

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Lokálny útočník môže zvýšiť úroveň oprávnení a inštalovať neoverené aplikácie

    Popis: V systéme inštalácie aplikácií dochádzalo k problému s postupnosťou vykonania procesov. Útočník, ktorý mohol zapisovať do adresára /tmp, mohol nainštalovať neoverenú aplikáciu. Tento problém bol vyriešený ukladaním dočasných inštalačných súborov do iného adresára.

    CVE-ID

    CVE-2014-4386: evad3rs

  • Inštalácia aplikácií

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Lokálny útočník môže zvýšiť úroveň oprávnení a inštalovať neoverené aplikácie

    Popis: V systéme inštalácie aplikácií dochádzalo k problému so zmenou cesty. Lokálny útočník mohol presmerovať overenie podpisu kódu na balík odlišujúci sa od inštalovaného balíka, v dôsledku čoho bolo možné nainštalovať neoverenú aplikáciu. Tento problém bol vyriešený zisťovaním zmeny cesty a jej zakázaním pri určovaní podpisu kódu na overenie.

    CVE-ID

    CVE-2014-4384: evad3rs

  • Materiály

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Útočník s oprávneniami v sieti môže spôsobiť, že zariadenie so systémom iOS sa považuje za aktualizované aj v prípade, ak neobsahuje najnovší softvér

    Popis: Pri spracovávaní odpovedí pri kontrole aktualizácií dochádzalo k problému s overením. Pre kontroly If-Modified-Since v ďalších požiadavkách na aktualizáciu sa používali pozmenené dátumy z hlavičiek odpovedí Last-Modified nastavené na dátumy v budúcnosti. Tento problém bol vyriešený overovaním hlavičky Last-Modified.

    CVE-ID

    CVE-2014-4383: Raul Siles zo spoločnosti DinoSec

  • Bluetooth

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Po inovácii systému iOS je neočakávane zapnuté rozhranie Bluetooth

    Popis: Po inovácii systému iOS je automaticky zapnuté rozhranie Bluetooth. Tento problém bol vyriešený zapínaním rozhrania Bluetooth len pri aktualizovaní hlavnej alebo vedľajšej verzie.

    CVE-ID

    CVE-2014-4354: Maneet Singh, Sean Bluestein

  • Politika dôveryhodnosti certifikátov

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Aktualizácia politiky dôveryhodnosti certifikátov

    Popis: Politika dôveryhodnosti certifikátov bola aktualizovaná. Úplný zoznam certifikátov nájdete v článku iOS 8: Zoznam dôveryhodných koreňových certifikátov.

  • CoreGraphics

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Otvorenie súboru PDF so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracovávaní súborov PDF dochádzalo k pretečeniu celočíselných hodnôt. Tento problém bol vyriešený vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2014-4377: Felipe Andres Manzano zo spoločnosti Binamuse VRT v spolupráci s programom iSIGHT Partners GVP Program

  • CoreGraphics

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Otvorenie súboru PDF so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo sprístupneniu informácií

    Popis: Pri spracovávaní súborov PDF dochádzalo k čítaniu dát v zakázaných oblastiach pamäte. Tento problém bol vyriešený vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2014-4378: Felipe Andres Manzano zo spoločnosti Binamuse VRT v spolupráci s programom iSIGHT Partners GVP Program

  • Detektory dát

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Klepnutím na odkaz FaceTime v aplikácii Mail sa aktivoval zvukový hovor FaceTime bez zobrazenia výzvy

    Popis: Pred spustením adries URL facetime-audio:// nezobrazovala aplikácia Mail výzvu používateľovi. Tento problém bol vyriešený pridaním výzvy na potvrdenie.

    CVE-ID

    CVE-2013-6835: Guillaume Ross

  • Foundation

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Aplikáciu používajúcu NSXMLParser možno zneužiť na sprístupnenie informácií

    Popis: Pri spracovávaní kódu XML komponentom NSXMLParser dochádzalo k problému s externou entitou XML. Tento problém bol vyriešený nenačítaním externých entít naprieč rôznymi zdrojmi.

    CVE-ID

    CVE-2014-4374: George Gal zo spoločnosti VSR (http://www.vsecurity.com/)

  • Plocha a zamknutá obrazovka

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Aplikácia na pozadí môže určiť, ktorá aplikácia je aktívna.

    Popis: Súkromné rozhranie API na určenie aktívnej aplikácie nemalo dostatočné riadenie prístupu. Tento problém bol vyriešený dodatočným riadením prístupu.

    CVE-ID

    CVE-2014-4361: Andreas Kurtz z laboratória NESO Security Labs a Markus Troßbach z univerzity v Heilbronne

  • iMessage

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Prílohy môžu zostávať v systéme aj po vymazaní nadradenej správy iMessage alebo MMS

    Popis: V systéme vymazávania príloh dochádzalo k problému s postupnosťou vykonania procesov. Tento problém bol vyriešený vykonávaním ďalších kontrol, ktorých cieľom je určiť, či bola príloha vymazaná.

    CVE-ID

    CVE-2014-4353: Silviu Schiau

  • IOAcceleratorFamily

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Aplikácia môže spôsobiť neočakávané ukončenie systému

    Popis: Pri spracovávaní argumentov funkcie IOAcceleratorFamily rozhrania API dochádzalo k dereferencii nulového ukazovateľa. Tento problém bol vyriešený vylepšením overovania argumentov funkcie IOAcceleratorFamily rozhrania API.

    CVE-ID

    CVE-2014-4369: Catherine alias winocm a Cererdlong z tímu Alibaba Mobile Security Team

  • IOAcceleratorFamily

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Zariadenie sa môže neočakávane reštartovať

    Popis: V ovládači IntelAccelerator dochádzalo k dereferencii nulového ukazovateľa. Tento problém bol vyriešený vylepšením spracovávania chýb.

    CVE-ID

    CVE-2014-4373: cunzhang z laboratória Adlab spoločnosti Venustech

  • IOHIDFamily

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Aplikácia so škodlivým kódom môže čítať ukazovatele jadra, pomocou ktorých možno obísť náhodné usporiadanie rozloženia priestoru adries jadra

    Popis: Pri spracovávaní funkcie IOHIDFamily dochádzalo k problému s čítaním dát v zakázaných oblastiach. Tento problém bol vyriešený vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2014-4379: Ian Beer z tímu Google Project Zero

  • IOHIDFamily

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni systému

    Popis: Pri spracovávaní vlastností priradenia kľúčov funkcie IOHIDFamily dochádzalo k pretečeniu medzipamäte haldy. Tento problém bol vyriešený vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2014-4404: Ian Beer z tímu Google Project Zero

  • IOHIDFamily

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni systému

    Popis: Pri spracovávaní vlastností priradenia kľúčov funkcie IOHIDFamily dochádzalo k dereferencii nulového ukazovateľa. Tento problém bol vyriešený vylepšením overovania vlastností priradenia kľúčov funkcie IOHIDFamily.

    CVE-ID

    CVE-2014-4405: Ian Beer z tímu Google Project Zero

  • IOHIDFamily

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra

    Popis: V rozšírení jadra IOHIDFamily dochádzalo k problému so zápisom dát do zakázaných oblastí. Tento problém bol vyriešený vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2014-4380: cunzhang z laboratória Adlab spoločnosti Venustech

  • IOKit

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Aplikácia so škodlivým kódom môže čítať neinicializované dáta z pamäte jadra

    Popis: Pri spracovávaní funkcií IOKit dochádzalo k problému s prístupom k neinicializovanej pamäti. Tento problém bol vyriešený vylepšením inicializácie pamäte.

    CVE-ID

    CVE-2014-4407: @PanguTeam

  • IOKit

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni systému

    Popis: Pri spracovávaní určitých polí metadát objektov IODataQueue dochádzalo k problému s overením. Tento problém bol vyriešený vylepšením overovania metadát.

    CVE-ID

    CVE-2014-4418: Ian Beer z tímu Google Project Zero

  • IOKit

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dosah: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

    Popis: Pri spracovávaní určitých polí metadát objektov IODataQueue dochádzalo k problému s overením. Tento problém bol vyriešený vylepšením overovania metadát.

    CVE-ID

    CVE-2014-4388: @PanguTeam

  • IOKit

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

    Popis: Pri spracovávaní funkcií IOKit dochádzalo k pretečeniu celočíselných hodnôt. Tento problém bol vyriešený vylepšením overovania argumentov funkcií IOKit rozhrania API.

    CVE-ID

    CVE-2014-4389: Ian Beer z tímu Google Project Zero

  • Jadro

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Lokálny používateľ môže určiť rozloženie pamäte jadra

    Popis: V rozhraní štatistiky siete dochádzalo k viacerým problémom s neinicializovanou pamäťou, ktoré viedli k sprístupneniu obsahu pamäte jadra. Tieto problémy boli vyriešené dodatočnou inicializáciou pamäte.

    CVE-ID

    CVE-2014-4371: Fermin J. Serna z tímu spoločnosti Google pre zabezpečenie

    CVE-2014-4419: Fermin J. Serna z tímu spoločnosti Google pre zabezpečenie

    CVE-2014-4420: Fermin J. Serna z tímu spoločnosti Google pre zabezpečenie

    CVE-2014-4421: Fermin J. Serna z tímu spoločnosti Google pre zabezpečenie

  • Jadro

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Osoba s oprávneniami v sieti môže spôsobiť odmietnutie služby

    Popis: Pri spracovávaní paketov protokolu IPv6 dochádzalo k problému s postupnosťou vykonania procesov. Tento problém bol vyriešený vylepšením kontroly stavu uzamknutia.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Jadro

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Lokálny používateľ môže spôsobiť neočakávané ukončenie systému alebo spustenie ľubovoľného kódu v jadre

    Popis: Pri spracovávaní portov Mach dochádzalo k problému s dvojitým uvoľnením. Tento problém bol vyriešený vylepšením overovania portov Mach.

    CVE-ID

    CVE-2014-4375 : Anonymný výskumník

  • Jadro

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Lokálny používateľ môže spôsobiť neočakávané ukončenie systému alebo spustenie ľubovoľného kódu v jadre

    Popis: Vo funkcii rt_setgate dochádzalo k problému s čítaním dát v zakázaných oblastiach, čo mohlo viesť k sprístupneniu obsahu alebo poškodeniu pamäte. Tento problém bol vyriešený vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2014-4408

  • Jadro

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Niektoré opatrenia na zvýšenie úrovne zabezpečenia jadra možno obísť

    Popis: Generátor náhodných čísel používaný v rámci opatrení na zvýšenie úrovne zabezpečenia jadra na začiatku procesu spúšťania systému nebol kryptograficky zabezpečený. Časť jeho výstupu bolo možné vydedukovať z priestoru používateľa, čo umožňovalo obísť opatrenia na zvýšenie úrovne zabezpečenia. Tento problém bol vyriešený použitím kryptograficky zabezpečeného algoritmu.

    CVE-ID

    CVE-2014-4422: Tarjei Mandt zo spoločnosti Azimuth Security

  • Libnotify

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Popis: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami správcu

    Popis: V knižnici Libnotify dochádzalo k problému so zápisom dát do zakázaných oblastí. Tento problém bol vyriešený vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2014-4381: Ian Beer z tímu Google Project Zero

  • Lockdown

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Zariadenie možnosť zmanipulovať tak, aby sa zobrazovala plocha, aj keď je v zariadení uzamknutá aktivácia

    Popis: Pri spracovávaní odomykania dochádzalo k problému, v dôsledku ktorého sa na zariadení zobrazovala plocha, aj keď sa zariadenie malo stále nachádzať v stave uzamknutia aktivácie. Tento problém bol vyriešený zmenou informácií, ktoré zariadenie overuje počas žiadosti o odomknutie.

    CVE-ID

    CVE-2014-1360

  • Mail

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Prihlasovacie údaje sa môžu odosielať ako obyčajný text aj v prípade, ak server používa funkciu LOGINDISABLED protokolu IMAP

    Popis: Aplikácia Mail odosielala na servery príkaz LOGIN, aj keď servery používali funkciu LOGINDISABLED protokolu IMAP. Takéto správanie je problematické najmä pri pripájaní k serverom nakonfigurovaným tak, aby akceptovali nešifrované pripojenia a používali funkciu LOGINDISABLED. Tento problém bol vyriešený zohľadňovaním funkcie LOGINDISABLED protokolu IMAP.

    CVE-ID

    CVE-2014-4366: Mark Crispin

  • Mail

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Osoba s fyzickým prístupom k zariadeniu so systémom iOS môže potenciálne čítať e-mailových príloh

    Popis: V spôsobe ochrany dát e-mailových príloh v aplikácii Mail dochádzalo k logickému problému. Tento problém bol vyriešený správnym nastavením triedy ochrany dát pre e-mailové prílohy.

    CVE-ID

    CVE-2014-1348: Andreas Kurtz z laboratória NESO Security Labs

  • Profily

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Po inovácii systému iOS je neočakávane zapnuté hlasové vytáčanie

    Popis: Po inovácii systému iOS je automaticky zapnuté hlasové vytáčanie. Tento problém bol vyriešený vylepšením správy stavu.

    CVE-ID

    CVE-2014-4367: Sven Heinemann

  • Safari

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Funkcia automatického dopĺňania môže nezamýšľanej lokalite sprístupniť prihlasovacie údaje používateľa

    Popis: Aplikácia Safari mohla automaticky vypĺňať mená používateľov a heslá do podrámca z inej domény, než z akej pochádzal hlavný rámec. Tento problém bol vyriešený vylepšením sledovania pôvodu.

    CVE-ID

    CVE-2013-5227: Niklas Malmgren zo spoločnosti Klarna AB

  • Safari

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Útočník s oprávneniami v sieti môže zachytávať prihlasovacie údaje používateľov

    Popis: Uložené heslá sa automaticky vypĺňali na lokalitách http, na lokalitách https s porušenou dôveryhodnosťou a v rámcoch iframe. Tento problém bol vyriešený obmedzením automatického vypĺňania hesiel na hlavný rámec lokalít https s platnými certifikačnými reťazami.

    CVE-ID

    CVE-2014-4363: David Silver, Suman Jana a Dan Boneh zo Stanfordovej univerzity v spolupráci s Ericom Chenom a Collinom Jacksonom z univerzity Carnegie Mellon

  • Safari

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Útočník s oprávneniami v sieti môže falšovať adresy URL v prehliadači Safari

    Popis: V prehliadači Safari v zariadeniach so zapnutou správou MDM dochádzalo k nekonzistentnosti používateľského rozhrania. Tento problém bol vyriešený vylepšením kontrol konzistentnosti používateľského rozhrania.

    CVE-ID

    CVE-2014-8841: Angelo Prado z tímu Salesforce Product Security

  • Profily izolovaného priestoru

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Aplikácie od iných výrobcov mali prístup k informáciám účtov Apple ID

    Popis: V izolovanom priestore pre aplikácie od iných výrobcov dochádzalo k problému s únikom informácií. Tento problém bol vyriešený vylepšením profilu izolovaného priestoru pre aplikácie od iných výrobcov.

    CVE-ID

    CVE-2014-4362: Andreas Kurtz z laboratória NESO Security Labs a Markus Troßbach z univerzity v Heilbronne

  • Nastavenia

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Ukážky textových správ sa môžu zobrazovať na zamknutej obrazovke, aj keď je táto funkcia vypnutá

    Popis: Pri zobrazovaní ukážky hlásení textových správ na zamknutej obrazovke dochádzalo k problému. V dôsledku tohto problému sa na zamknutej obrazovke zobrazoval obsah prijatých správ, aj keď boli ukážky vypnuté v nastaveniach. Tento problém bol vyriešený vylepšením zohľadňovania tohto nastavenia.

    CVE-ID

    CVE-2014-4356: Mattia Schirinzi z mesta San Pietro Vernotico (BR) v Taliansku

  • Syslog

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Lokálny používateľ môže meniť povolenia ľubovoľných súborov

    Popis: Funkcia syslogd nasledovala symbolické odkazy pri zmene povolení súborov. Tento problém bol vyriešený vylepšením spracovávania symbolických odkazov.

    CVE-ID

    CVE-2014-4372: Tielei Wang a YeongJin Jang z centra Georgia Tech Information Security Center (GTISC)

  • Počasie

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Informácie o polohe sa odosielali nezašifrované

    Popis: V rozhraní API používanom na určenie miestneho počasia dochádzalo k problému s únikom informácií. Tento problém bol vyriešený zmenou rozhraní API.

  • WebKit

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Webová stránka so škodlivým kódom môže sledovať používateľov, aj keď je zapnuté anonymné prezeranie

    Popis: Webová aplikácia mohla počas normálneho prezerania ukladať dáta do vyrovnávacej pamäte aplikácií HTML 5 a potom tieto dáta čítať počas anonymného prezerania. Tento problém bol vyriešený zakázaním prístupu k vyrovnávacej pamäti aplikácií v režime anonymného prezerania.

    CVE-ID

    CVE-2014-4409: Yosuke Hasegawa (NetAgent Co., Led.)

  • WebKit

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: V mechanizme WebKit dochádzalo k viacerým problémom s poškodením pamäte. Tieto problémy boli vyriešené vylepšením spracovania pamäte.

    CVE-ID

    CVE-2013-6663: Atte Kettunen zo spoločnosti OUSPG

    CVE-2014-1384: Apple

    CVE-2014-1385: Apple

    CVE-2014-1387: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2014-1388: Apple

    CVE-2014-1389: Apple

    CVE-2014-4410: Eric Seidel zo spoločnosti Google

    CVE-2014-4411: Tím spoločnosti Google pre zabezpečenie prehliadača Chrome

    CVE-2014-4412: Apple

    CVE-2014-4413: Apple

    CVE-2014-4414: Apple

    CVE-2014-4415: Apple

  • Wi-Fi

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dôsledok: Zariadenie možno pasívne sledovať podľa jeho MAC adresy vo Wi-Fi sieti

    Popis: Na vyhľadávanie Wi-Fi sietí sa používala statická MAC adresa, čo viedlo k sprístupneniu informácií. Tento problém bol vyriešený používaním náhodnej MAC adresy pri pasívnom vyhľadávaní Wi-Fi sietí.

Poznámka:

Systém iOS 8 obsahuje zmeny niektorých diagnostických funkcií. Podrobnosti nájdete v článku iOS: Diagnostické funkcie.

Systém iOS 8 teraz zariadeniam povoľuje zrušenie dôveryhodnosti všetkých počítačov, ktoré boli nastavené ako dôveryhodné. Pokyny nájdete v článku Upozornenie Dôverovať tomuto počítaču v iPhone, iPade alebo iPode touch.

Služba FaceTime nie je k dispozícii vo všetkých krajinách alebo oblastiach.

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Používanie internetu má svoje riziká. Ak potrebujete ďalšie informácie, obráťte sa na dodávateľa. Ďalšie názvy spoločností a produktov môžu byť ochrannými známkami príslušných vlastníkov.

Dátum zverejnenia: