關於 iOS 8.1 的安全性內容

本文說明 iOS 8.1 的安全性內容

為保障客戶的安全,在進行完整調查並提供所有必要的修補程式或版本之前,Apple 不會揭露、討論或確認安全性問題。若要瞭解 Apple 產品安全性的更多相關資訊,請參閱 Apple 產品安全性網站。

如需 Apple 產品安全性 PGP 金鑰的相關資訊,請參閱「如何使用 Apple 產品安全性 PGP 金鑰」。

如有可能,CVE ID 會用來參照安全關漏洞的進一步資訊。

若要瞭解其他安全性更新,請參閱「Apple 安全性更新」。

iOS 8.1

  • 藍牙

    適用對象:iPhone 4s 和後續機型、iPod touch(第 5 代)和後續機型、iPad 2 和後續機型

    影響:惡意的藍牙輸入裝置可能規避配對

    說明:從人性化介面裝置等級藍牙低功耗配件允許未加密的連線。如果 iOS 裝置與此類配件配對,攻擊者可以誘騙合法的配件建立連線。已藉由拒絕未加密的 HID 連線解決此問題。

    CVE-ID

    CVE-2014-4428:iSEC Partners 的 Mike Ryan

  • 居家監禁

    適用對象:iPhone 4s 和後續機型、iPod touch(第 5 代)和後續機型、iPad 2 和後續機型

    影響:傳輸到裝置的檔案可能在加密保護不充分的情況下遭到寫入

    說明:檔案可以傳輸到 app 的「文件」目錄,並使用僅由硬體 UID 保護的密鑰進行加密。藉由運用密鑰加密傳輸的檔案,並使用硬體 UID 和使用者密碼保護密鑰,已解決此問題。

    CVE-ID

    CVE-2014-4448:Jonathan Zdziarski 和 Kevin DeLong

  • iCloud 資料存取

    適用對象:iPhone 4s 和後續機型、iPod touch(第 5 代)和後續機型、iPad 2 和後續機型

    影響:具特殊權限網路位置的攻擊者,可以強制 iCloud 資料存取用戶端洩漏敏感資訊

    說明:iCloud 資料存取用戶端的 TLS 憑證驗證機制存在漏洞。憑證驗證機制已經改良,這個問題已經解決。

    CVE-ID

    CVE-2014-4449:USAA 的 Carl Mehner

  • 鍵盤

    適用對象:iPhone 4s 和後續機型、iPod touch(第 5 代)和後續機型、iPad 2 和後續機型

    影響:QuickType 可以習得使用者的憑證

    說明:QuickType 可以在元素切換之間習得使用者的憑證。藉由不讓 QuickType 從已停用自動填寫的欄位習得資訊,以及在舊版 WebKit 中切換 DOM 輸入元素時重新套用標準,這個問題已解決。

    CVE-ID

    CVE-2014-4450

  • 安全傳輸

    適用對象:iPhone 4s 和後續機型、iPod touch(第 5 代)和後續機型、iPad 2 和後續機型

    影響:攻擊者可能得以將受到 SSL 保護的資料加以解密

    說明:加密套件在 CBC 模式中使用區塊加密時,對於 SSL 3.0 的機密性有已知的攻擊。即使伺服器支援更好的 TLS 版本,攻擊者可以也能夠阻絕 TLS 1.0(含)以上版本的連線嘗試,強制使用 SSL 3.0。已藉由在 TLS 連線嘗試失敗時停用 CBC 加密套件解決此問題。

    CVE-ID

    CVE-2014-3566:Google Security Team 的 Bodo Moeller、Thai Duong 和 Krzysztof Kotowicz

對於非 Apple 製造之產品相關資訊,或是非 Apple 控制或測試之獨立網站,不得解釋 Apple 為其推薦或背書。Apple 對於協力廠商網站或產品的選擇、效能或使用,概不負責。Apple 對於協力廠商網站的準確性或可靠性不具有任何立場。使用 Internet 本具風險。如需更多資訊,請聯絡廠商。其他公司及產品名稱可能是其各自擁有者的商標。

發佈日期: