關於 iOS 8.1 的安全性內容

本文說明 iOS 8.1 的安全性內容

為保障客戶的安全，在進行完整調查並提供所有必要的修補程式或版本之前，Apple 不會揭露、討論或確認安全性問題。若要瞭解 Apple 產品安全性的更多相關資訊，請參閱 Apple 產品安全性網站。

如需 Apple 產品安全性 PGP 金鑰的相關資訊，請參閱「如何使用 Apple 產品安全性 PGP 金鑰」。

如有可能，CVE ID 會用來參照安全關漏洞的進一步資訊。

若要瞭解其他安全性更新，請參閱「Apple 安全性更新」。

iOS 8.1

• 藍牙

  適用對象：iPhone 4s 和後續機型、iPod touch（第 5 代）和後續機型、iPad 2 和後續機型

  影響：惡意的藍牙輸入裝置可能規避配對

  說明：從人性化介面裝置等級藍牙低功耗配件允許未加密的連線。如果 iOS 裝置與此類配件配對，攻擊者可以誘騙合法的配件建立連線。已藉由拒絕未加密的 HID 連線解決此問題。

  CVE-ID

  CVE-2014-4428：iSEC Partners 的 Mike Ryan

• 居家監禁

  適用對象：iPhone 4s 和後續機型、iPod touch（第 5 代）和後續機型、iPad 2 和後續機型

  影響：傳輸到裝置的檔案可能在加密保護不充分的情況下遭到寫入

  說明：檔案可以傳輸到 app 的「文件」目錄，並使用僅由硬體 UID 保護的密鑰進行加密。藉由運用密鑰加密傳輸的檔案，並使用硬體 UID 和使用者密碼保護密鑰，已解決此問題。

  CVE-ID

  CVE-2014-4448：Jonathan Zdziarski 和 Kevin DeLong

• iCloud 資料存取

  適用對象：iPhone 4s 和後續機型、iPod touch（第 5 代）和後續機型、iPad 2 和後續機型

  影響：具特殊權限網路位置的攻擊者，可以強制 iCloud 資料存取用戶端洩漏敏感資訊

  說明：iCloud 資料存取用戶端的 TLS 憑證驗證機制存在漏洞。憑證驗證機制已經改良，這個問題已經解決。

  CVE-ID

  CVE-2014-4449：USAA 的 Carl Mehner

• 鍵盤

  適用對象：iPhone 4s 和後續機型、iPod touch（第 5 代）和後續機型、iPad 2 和後續機型

  影響：QuickType 可以習得使用者的憑證

  說明：QuickType 可以在元素切換之間習得使用者的憑證。藉由不讓 QuickType 從已停用自動填寫的欄位習得資訊，以及在舊版 WebKit 中切換 DOM 輸入元素時重新套用標準，這個問題已解決。

  CVE-ID

  CVE-2014-4450

• 安全傳輸

  適用對象：iPhone 4s 和後續機型、iPod touch（第 5 代）和後續機型、iPad 2 和後續機型

  影響：攻擊者可能得以將受到 SSL 保護的資料加以解密

  說明：加密套件在 CBC 模式中使用區塊加密時，對於 SSL 3.0 的機密性有已知的攻擊。即使伺服器支援更好的 TLS 版本，攻擊者可以也能夠阻絕 TLS 1.0（含）以上版本的連線嘗試，強制使用 SSL 3.0。已藉由在 TLS 連線嘗試失敗時停用 CBC 加密套件解決此問題。

  CVE-ID

  CVE-2014-3566：Google Security Team 的 Bodo Moeller、Thai Duong 和 Krzysztof Kotowicz