Obsah zabezpečenia v systéme iOS 8.1

V tomto dokumente sa popisuje obsah zabezpečenia v systéme iOS 8.1.

S cieľom ochrany svojich zákazníkov spoločnosť Apple neposkytuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problém úplne nepreskúma a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.

Ďalšie informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.

Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

Ďalšie informácie o aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.

iOS 8.1

• Bluetooth

  K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

  Dopad: Vstupné zariadenie Bluetooth so škodlivým kódom môže obísť párovanie

  Popis: Z nízkoenergetického príslušenstva Bluetooth triedy HID (Human Interface Device) boli povolené nešifrované pripojenia. Ak sa s takýmto príslušenstvom spárovalo zariadenie so systémom iOS, útočník mohol toto príslušenstvo napodobniť a vytvoriť tak pripojenie. Tento problém bol vyriešený odmietnutím nešifrovaných pripojení HID.

  CVE-ID

  CVE-2014-4428: Mike Ryan zo spoločnosti iSEC Partners

• House Arrest

  K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

  Dopad: Súbory prenášané do zariadenia sa môžu zapisovať s nedostatočnou kryptografickou ochranou

  Popis: Súbory bolo možné prenášať do knižnice dokumentov aplikácie a zašifrovať pomocou kľúča chráneného len hardvérovým identifikátorom UID. Tento problém bol vyriešený šifrovaním prenášaných súborov pomocou kľúča, ktorý je chránený hardvérovým identifikátorom UID a heslom používateľa.

  CVE-ID

  CVE-2014-4448: Jonathan Zdziarski a Kevin DeLong

• Prístup k dátam služby iCloud

  K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

  Dopad: Útočník s oprávneniami v sieti môže vynútiť únik citlivých informácií z klientov umožňujúcich prístup k dátam v službe iCloud

  Popis: V klientoch umožňujúcich prístup k dátam v službe iCloud existovalo nedostatočne zabezpečené miesto súvisiace s overovaním certifikátov TLS. Tento problém bol vyriešený vylepšeným overovaním certifikátov.

  CVE-ID

  CVE-2014-4449: Carl Mehner zo spoločnosti USAA

• Klávesnice

  K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

  Dopad: Klávesnica QuickType si dokázala zapamätať prihlasovacie údaje používateľov

  Popis: Pri prepínaní medzi prvkami si klávesnica QuickType dokázala zapamätať prihlasovacie údaje používateľov. Tento problém bol vyriešený vypnutím pamätania si informácií klávesnicou QuickType z polí so zakázaným automatickým dokončovaním a opätovným použitím kritérií pri prepínaní medzi vstupnými prvkami DOM v staršom mechanizme WebKit.

  CVE-ID

  CVE-2014-4450

• Zabezpečený prenos

  K dispozícii pre: iPhone 4s a novší, iPod touch (5. generácia) a novší, iPad 2 a novší

  Dopad: Útočník môže byť schopný dešifrovať dáta chránené šifrovaním SSL

  Popis: Boli zaznamenané útoky na dôvernosť protokolu SSL 3.0 v prípade, že šifrovací balík používal blokovú šifru v režime CBC. Útočník mohol zablokovať pokusy o prihlásenie cez protokol TLS 1.0 alebo novší a vynútiť tak používanie protokolu SSL 3.0 aj v prípade, keď server podporoval lepšiu verziu protokolu TLS. Tento problém bol vyriešený zakázaním šifrovacieho balíka CBC v prípade zlyhania pokusu o pripojenie cez protokol TLS.

  CVE-ID

  CVE-2014-3566: Bodo Moeller, Thai Duong a Krzysztof Kotowicz z tímu spoločnosti Google pre zabezpečenie