為保障客戶的安全,在進行完整調查並提供所有必要的修補程式或版本之前,Apple 不會揭露、討論或確認安全性問題。若要瞭解 Apple 產品安全性的更多相關資訊,請參閱 Apple 產品安全性網站。
如需 Apple 產品安全性 PGP 金鑰的相關資訊,請參閱「如何使用 Apple 產品安全性 PGP 金鑰」。
如有可能,CVE ID 會用來參照安全關漏洞的進一步資訊。
若要瞭解其他安全性更新,請參閱「Apple 安全性更新」。
iOS 8.1
-
藍牙
適用對象:iPhone 4s 和後續機型、iPod touch(第 5 代)和後續機型、iPad 2 和後續機型
影響:惡意的藍牙輸入裝置可能規避配對
說明:從人性化介面裝置等級藍牙低功耗配件允許未加密的連線。如果 iOS 裝置與此類配件配對,攻擊者可以誘騙合法的配件建立連線。已藉由拒絕未加密的 HID 連線解決此問題。
CVE-ID
CVE-2014-4428:iSEC Partners 的 Mike Ryan
-
居家監禁
適用對象:iPhone 4s 和後續機型、iPod touch(第 5 代)和後續機型、iPad 2 和後續機型
影響:傳輸到裝置的檔案可能在加密保護不充分的情況下遭到寫入
說明:檔案可以傳輸到 app 的「文件」目錄,並使用僅由硬體 UID 保護的密鑰進行加密。藉由運用密鑰加密傳輸的檔案,並使用硬體 UID 和使用者密碼保護密鑰,已解決此問題。
CVE-ID
CVE-2014-4448:Jonathan Zdziarski 和 Kevin DeLong
-
iCloud 資料存取
適用對象:iPhone 4s 和後續機型、iPod touch(第 5 代)和後續機型、iPad 2 和後續機型
影響:具特殊權限網路位置的攻擊者,可以強制 iCloud 資料存取用戶端洩漏敏感資訊
說明:iCloud 資料存取用戶端的 TLS 憑證驗證機制存在漏洞。憑證驗證機制已經改良,這個問題已經解決。
CVE-ID
CVE-2014-4449:USAA 的 Carl Mehner
-
鍵盤
適用對象:iPhone 4s 和後續機型、iPod touch(第 5 代)和後續機型、iPad 2 和後續機型
影響:QuickType 可以習得使用者的憑證
說明:QuickType 可以在元素切換之間習得使用者的憑證。藉由不讓 QuickType 從已停用自動填寫的欄位習得資訊,以及在舊版 WebKit 中切換 DOM 輸入元素時重新套用標準,這個問題已解決。
CVE-ID
CVE-2014-4450
-
安全傳輸
適用對象:iPhone 4s 和後續機型、iPod touch(第 5 代)和後續機型、iPad 2 和後續機型
影響:攻擊者可能得以將受到 SSL 保護的資料加以解密
說明:加密套件在 CBC 模式中使用區塊加密時,對於 SSL 3.0 的機密性有已知的攻擊。即使伺服器支援更好的 TLS 版本,攻擊者可以也能夠阻絕 TLS 1.0(含)以上版本的連線嘗試,強制使用 SSL 3.0。已藉由在 TLS 連線嘗試失敗時停用 CBC 加密套件解決此問題。
CVE-ID
CVE-2014-3566:Google Security Team 的 Bodo Moeller、Thai Duong 和 Krzysztof Kotowicz