เกี่ยวกับเนื้อหาความปลอดภัยของ iOS 8.1

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ iOS 8.1

เพื่อเป็นการป้องกันลูกค้าของเรา Apple จะไม่เปิดเผย อภิปรายหรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียดและมีโปรแกรมปะแก้ที่จำเป็นหรือมีการวางจำหน่าย หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ การรักษาความปลอดภัยของผลิตภัณฑ์ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ PGP Key เพื่อความปลอดภัยของผลิตภัณฑ์ Apple โปรดดู วิธีการใช้ PGP Key เพื่อความปลอดภัยของผลิตภัณฑ์ Apple

เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงเกี่ยวกับข้อมูลเพิ่มเติมเรื่องช่องโหว่ต่างๆ

เพื่อเรียนรู้เพิ่มเติมเกี่ยวกับการอัปเดตความปลอดภัยอื่นๆ โปรดดู การอัปเดตความปลอดภัยของ Apple

iOS 8.1

  • บลูทูธ

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: อุปกรณ์สัญญาณเข้าแบบบลูทูธที่ประสงค์ร้ายอาจบายพาสการจับคู่

    คำอธิบาย: การเชื่อมต่อที่ไม่ได้เข้ารหัสได้รับการอนุญาตจากอุปกรณ์บลูทูธพลังงานต่ำประเภทส่วนเชื่อมต่อกับมนุษย์ ถ้าอุปกรณ์ iOS จับคู่กับอุปกรณ์เสริมดังกล่าวแล้ว ภัยคุกคามอาจปลอมเป็นอุปกรณ์ที่ถูกต้องตามกฎหมายเพื่อสร้างการเชื่อมต่อได้ ปัญหานี้แก้ไขได้ด้วยการปฏิเสธการเชื่อมต่อ HID ที่ไม่ได้เข้ารหัส

    CVE-ID

    CVE-2014-4428 : Mike Ryan แห่ง iSEC Partners

  • การกักกันไว้ในบ้าน

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ไฟล์ที่ถ่ายโอนไปยังอุปกรณ์อาจถูกเขียนด้วยการป้องกันการเข้ารหัสที่ไม่เพียงพอ

    คำอธิบาย: ไฟล์อาจถูกถ่ายโอนไปยัง ไดเร็กเทอรี่เอกสารของแอปและเข้ารหัสด้วยกุญแจที่ป้องกันโดย UID ฮาร์ดแวร์เท่านั้น ปัญหานี้แก้ไขได้ด้วยการเข้ารหัสไฟล์ที่ถ่ายโอนที่มีกุญแจที่ป้องกันโดย UID ฮาร์ดแวร์และรหัสผ่านของผู้ใช้

    CVE-ID

    CVE-2014-4448 : Jonathan Zdziarski และ Kevin DeLong

  • การเข้าถึงข้อมูล iCloud

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ภัยคุกคามที่อยู่ในตำแหน่งเครือข่ายที่มีอภิสิทธิ์อาจบังคับลูกข่ายที่เข้าถึงข้อมูล iCloud ให้ปล่อยข้อมูลที่ละเอียดอ่อนให้รั่วออกมา

    คำอธิบาย: มีช่องโหว่ในการตรวจสอบใบรับรอง TLS ในลูกข่ายที่เข้าถึงข้อมูล iCloud ปัญหานี้แก้ไขได้ด้วยการตรวจสอบใบรับรองที่ปรับปรุงให้ดีขึ้น

    CVE-ID

    CVE-2014-4449 : Carl Mehner แห่ง USAA

  • แป้นพิมพ์

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: QuickType สามารถเรียนรู้เอกสารสิทธิ์ของผู้ใช้

    คำอธิบาย: QuickType สามารถเรียนรู้เอกสารสิทธิ์ของผู้ใช้เมื่อสลับระหว่างส่วนประกอบต่างๆ ปัญหานี้แก้ไขได้ด้วยการปิดใช้งานไม่ให้ QuickType เรียนรู้จากช่องต่างๆ ที่มีการกรอกโดยอัตโนมัติและปรับใช้เกณฑ์ใหม่เมื่อสลับระหว่างส่วนประกอบข้อมูลเข้า DOM ใน WebKit เลกาซี่

    CVE-ID

    CVE-2014-4450

  • การถ่ายโอนที่ปลอดภัย

    มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า

    ผลกระทบ: ภัยคุกคามอาจสามารถถอดรหัสข้อมูลที่ป้องกันด้วย SSL ได้

    คำอธิบาย: มีภัยคุกคามที่ทราบในเรื่องความมั่นใจของ SSL 3.0 เมื่อ Cipher Suite ใช้ Block Cipher ในโหมด CBC ภัยคุกคามอาจบังคับใช้ SSL 3.0 ด้วยการกั้น TLS 1.0 และความพยายามในการเชื่อมต่อที่สูงกว่า แม้ว่าเซิร์ฟเวอร์จะรองรับเวอร์ชั่น TLS ที่ดีกว่าก็ตาม ปัญหานี้แก้ไขได้ด้วยการปิดใช้งาน Cipher Suite ใน CBC เมื่อความพยายามในการเชื่อมต่อ TLS ล้มเหลว

    CVE-ID

    CVE-2014-3566: Bodo Moeller, Thai Duong และ Krzysztof Kotowicz จากทีมรักษาความปลอดภัยของ Google

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: