Obsah zabezpečenia v systéme iOS 8.1

V tomto dokumente sa popisuje obsah zabezpečenia v systéme iOS 8.1.

S cieľom ochrany svojich zákazníkov spoločnosť Apple neposkytuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problém úplne nepreskúma a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.

Ďalšie informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.

Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

Ďalšie informácie o aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.

iOS 8.1

  • Bluetooth

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Vstupné zariadenie Bluetooth so škodlivým kódom môže obísť párovanie

    Popis: Z nízkoenergetického príslušenstva Bluetooth triedy HID (Human Interface Device) boli povolené nešifrované pripojenia. Ak sa s takýmto príslušenstvom spárovalo zariadenie so systémom iOS, útočník mohol toto príslušenstvo napodobniť a vytvoriť tak pripojenie. Tento problém bol vyriešený odmietnutím nešifrovaných pripojení HID.

    CVE-ID

    CVE-2014-4428: Mike Ryan zo spoločnosti iSEC Partners

  • House Arrest

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Súbory prenášané do zariadenia sa môžu zapisovať s nedostatočnou kryptografickou ochranou

    Popis: Súbory bolo možné prenášať do knižnice dokumentov aplikácie a zašifrovať pomocou kľúča chráneného len hardvérovým identifikátorom UID. Tento problém bol vyriešený šifrovaním prenášaných súborov pomocou kľúča, ktorý je chránený hardvérovým identifikátorom UID a heslom používateľa.

    CVE-ID

    CVE-2014-4448: Jonathan Zdziarski a Kevin DeLong

  • Prístup k dátam služby iCloud

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Útočník s oprávneniami v sieti môže vynútiť únik citlivých informácií z klientov umožňujúcich prístup k dátam v službe iCloud

    Popis: V klientoch umožňujúcich prístup k dátam v službe iCloud existovalo nedostatočne zabezpečené miesto súvisiace s overovaním certifikátov TLS. Tento problém bol vyriešený vylepšeným overovaním certifikátov.

    CVE-ID

    CVE-2014-4449: Carl Mehner zo spoločnosti USAA

  • Klávesnice

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Klávesnica QuickType si dokázala zapamätať prihlasovacie údaje používateľov

    Popis: Pri prepínaní medzi prvkami si klávesnica QuickType dokázala zapamätať prihlasovacie údaje používateľov. Tento problém bol vyriešený vypnutím pamätania si informácií klávesnicou QuickType z polí so zakázaným automatickým dokončovaním a opätovným použitím kritérií pri prepínaní medzi vstupnými prvkami DOM v staršom mechanizme WebKit.

    CVE-ID

    CVE-2014-4450

  • Zabezpečený prenos

    K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

    Dopad: Útočník môže byť schopný dešifrovať dáta chránené šifrovaním SSL

    Popis: Boli zaznamenané útoky na dôvernosť protokolu SSL 3.0 v prípade, že šifrovací balík používal blokovú šifru v režime CBC. Útočník mohol zablokovať pokusy o prihlásenie cez protokol TLS 1.0 alebo novší a vynútiť tak používanie protokolu SSL 3.0 aj v prípade, keď server podporoval lepšiu verziu protokolu TLS. Tento problém bol vyriešený zakázaním šifrovacieho balíka CBC v prípade zlyhania pokusu o pripojenie cez protokol TLS.

    CVE-ID

    CVE-2014-3566: Bodo Moeller, Thai Duong a Krzysztof Kotowicz z tímu spoločnosti Google pre zabezpečenie

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Používanie internetu má svoje riziká. Ak potrebujete ďalšie informácie, obráťte sa na dodávateľa. Ďalšie názvy spoločností a produktov môžu byť ochrannými známkami príslušných vlastníkov.

Dátum zverejnenia: