Obsah zabezpečenia v systéme iOS 8.1
V tomto dokumente sa popisuje obsah zabezpečenia v systéme iOS 8.1.
S cieľom ochrany svojich zákazníkov spoločnosť Apple neposkytuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problém úplne nepreskúma a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.
Ďalšie informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.
Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.
Ďalšie informácie o aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.
iOS 8.1
Bluetooth
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Vstupné zariadenie Bluetooth so škodlivým kódom môže obísť párovanie
Popis: Z nízkoenergetického príslušenstva Bluetooth triedy HID (Human Interface Device) boli povolené nešifrované pripojenia. Ak sa s takýmto príslušenstvom spárovalo zariadenie so systémom iOS, útočník mohol toto príslušenstvo napodobniť a vytvoriť tak pripojenie. Tento problém bol vyriešený odmietnutím nešifrovaných pripojení HID.
CVE-ID
CVE-2014-4428: Mike Ryan zo spoločnosti iSEC Partners
House Arrest
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Súbory prenášané do zariadenia sa môžu zapisovať s nedostatočnou kryptografickou ochranou
Popis: Súbory bolo možné prenášať do knižnice dokumentov aplikácie a zašifrovať pomocou kľúča chráneného len hardvérovým identifikátorom UID. Tento problém bol vyriešený šifrovaním prenášaných súborov pomocou kľúča, ktorý je chránený hardvérovým identifikátorom UID a heslom používateľa.
CVE-ID
CVE-2014-4448: Jonathan Zdziarski a Kevin DeLong
Prístup k dátam služby iCloud
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Útočník s oprávneniami v sieti môže vynútiť únik citlivých informácií z klientov umožňujúcich prístup k dátam v službe iCloud
Popis: V klientoch umožňujúcich prístup k dátam v službe iCloud existovalo nedostatočne zabezpečené miesto súvisiace s overovaním certifikátov TLS. Tento problém bol vyriešený vylepšeným overovaním certifikátov.
CVE-ID
CVE-2014-4449: Carl Mehner zo spoločnosti USAA
Klávesnice
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Klávesnica QuickType si dokázala zapamätať prihlasovacie údaje používateľov
Popis: Pri prepínaní medzi prvkami si klávesnica QuickType dokázala zapamätať prihlasovacie údaje používateľov. Tento problém bol vyriešený vypnutím pamätania si informácií klávesnicou QuickType z polí so zakázaným automatickým dokončovaním a opätovným použitím kritérií pri prepínaní medzi vstupnými prvkami DOM v staršom mechanizme WebKit.
CVE-ID
CVE-2014-4450
Zabezpečený prenos
K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší
Dopad: Útočník môže byť schopný dešifrovať dáta chránené šifrovaním SSL
Popis: Boli zaznamenané útoky na dôvernosť protokolu SSL 3.0 v prípade, že šifrovací balík používal blokovú šifru v režime CBC. Útočník mohol zablokovať pokusy o prihlásenie cez protokol TLS 1.0 alebo novší a vynútiť tak používanie protokolu SSL 3.0 aj v prípade, keď server podporoval lepšiu verziu protokolu TLS. Tento problém bol vyriešený zakázaním šifrovacieho balíka CBC v prípade zlyhania pokusu o pripojenie cez protokol TLS.
CVE-ID
CVE-2014-3566: Bodo Moeller, Thai Duong a Krzysztof Kotowicz z tímu spoločnosti Google pre zabezpečenie
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.