เกี่ยวกับเนื้อหาความปลอดภัยของ iOS 8.1
เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ iOS 8.1
เพื่อเป็นการป้องกันลูกค้าของเรา Apple จะไม่เปิดเผย อภิปรายหรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียดและมีโปรแกรมปะแก้ที่จำเป็นหรือมีการวางจำหน่าย หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ การรักษาความปลอดภัยของผลิตภัณฑ์ Apple
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ PGP Key เพื่อความปลอดภัยของผลิตภัณฑ์ Apple โปรดดู วิธีการใช้ PGP Key เพื่อความปลอดภัยของผลิตภัณฑ์ Apple
เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงเกี่ยวกับข้อมูลเพิ่มเติมเรื่องช่องโหว่ต่างๆ
เพื่อเรียนรู้เพิ่มเติมเกี่ยวกับการอัปเดตความปลอดภัยอื่นๆ โปรดดู การอัปเดตความปลอดภัยของ Apple
iOS 8.1
บลูทูธ
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: อุปกรณ์สัญญาณเข้าแบบบลูทูธที่ประสงค์ร้ายอาจบายพาสการจับคู่
คำอธิบาย: การเชื่อมต่อที่ไม่ได้เข้ารหัสได้รับการอนุญาตจากอุปกรณ์บลูทูธพลังงานต่ำประเภทส่วนเชื่อมต่อกับมนุษย์ ถ้าอุปกรณ์ iOS จับคู่กับอุปกรณ์เสริมดังกล่าวแล้ว ภัยคุกคามอาจปลอมเป็นอุปกรณ์ที่ถูกต้องตามกฎหมายเพื่อสร้างการเชื่อมต่อได้ ปัญหานี้แก้ไขได้ด้วยการปฏิเสธการเชื่อมต่อ HID ที่ไม่ได้เข้ารหัส
CVE-ID
CVE-2014-4428 : Mike Ryan แห่ง iSEC Partners
การกักกันไว้ในบ้าน
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: ไฟล์ที่ถ่ายโอนไปยังอุปกรณ์อาจถูกเขียนด้วยการป้องกันการเข้ารหัสที่ไม่เพียงพอ
คำอธิบาย: ไฟล์อาจถูกถ่ายโอนไปยัง ไดเร็กเทอรี่เอกสารของแอปและเข้ารหัสด้วยกุญแจที่ป้องกันโดย UID ฮาร์ดแวร์เท่านั้น ปัญหานี้แก้ไขได้ด้วยการเข้ารหัสไฟล์ที่ถ่ายโอนที่มีกุญแจที่ป้องกันโดย UID ฮาร์ดแวร์และรหัสผ่านของผู้ใช้
CVE-ID
CVE-2014-4448 : Jonathan Zdziarski และ Kevin DeLong
การเข้าถึงข้อมูล iCloud
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: ภัยคุกคามที่อยู่ในตำแหน่งเครือข่ายที่มีอภิสิทธิ์อาจบังคับลูกข่ายที่เข้าถึงข้อมูล iCloud ให้ปล่อยข้อมูลที่ละเอียดอ่อนให้รั่วออกมา
คำอธิบาย: มีช่องโหว่ในการตรวจสอบใบรับรอง TLS ในลูกข่ายที่เข้าถึงข้อมูล iCloud ปัญหานี้แก้ไขได้ด้วยการตรวจสอบใบรับรองที่ปรับปรุงให้ดีขึ้น
CVE-ID
CVE-2014-4449 : Carl Mehner แห่ง USAA
แป้นพิมพ์
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: QuickType สามารถเรียนรู้เอกสารสิทธิ์ของผู้ใช้
คำอธิบาย: QuickType สามารถเรียนรู้เอกสารสิทธิ์ของผู้ใช้เมื่อสลับระหว่างส่วนประกอบต่างๆ ปัญหานี้แก้ไขได้ด้วยการปิดใช้งานไม่ให้ QuickType เรียนรู้จากช่องต่างๆ ที่มีการกรอกโดยอัตโนมัติและปรับใช้เกณฑ์ใหม่เมื่อสลับระหว่างส่วนประกอบข้อมูลเข้า DOM ใน WebKit เลกาซี่
CVE-ID
CVE-2014-4450
การถ่ายโอนที่ปลอดภัย
มีให้สำหรับ: iPhone 4s และใหม่กว่า, iPod touch (รุ่นที่ 5) และใหม่กว่า, iPad 2 และใหม่กว่า
ผลกระทบ: ภัยคุกคามอาจสามารถถอดรหัสข้อมูลที่ป้องกันด้วย SSL ได้
คำอธิบาย: มีภัยคุกคามที่ทราบในเรื่องความมั่นใจของ SSL 3.0 เมื่อ Cipher Suite ใช้ Block Cipher ในโหมด CBC ภัยคุกคามอาจบังคับใช้ SSL 3.0 ด้วยการกั้น TLS 1.0 และความพยายามในการเชื่อมต่อที่สูงกว่า แม้ว่าเซิร์ฟเวอร์จะรองรับเวอร์ชั่น TLS ที่ดีกว่าก็ตาม ปัญหานี้แก้ไขได้ด้วยการปิดใช้งาน Cipher Suite ใน CBC เมื่อความพยายามในการเชื่อมต่อ TLS ล้มเหลว
CVE-ID
CVE-2014-3566: Bodo Moeller, Thai Duong และ Krzysztof Kotowicz จากทีมรักษาความปลอดภัยของ Google
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม