Despre conținutul de securitate din iOS 8

Acest document descrie conținutul de securitate din iOS 8.

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate înainte de a face o investigație completă și de a pune la dispoziție corecțiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul web Securitatea produselor Apple.

Pentru informații despre cheia PGP pentru securitatea produselor Apple, consultă Utilizarea cheii PGP pentru securitatea produselor Apple.

Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilități pentru mai multe informații.

Pentru a afla mai multe despre alte actualizări de securitate, consultă Actualizările de securitate Apple.

iOS 8

  • 802.1X

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un atacator poate obține acreditări pentru Wi-Fi

    Descriere: un atacator ar putea să se dea drept un punct de acces Wi-Fi, să se ofere să se autentifice cu LEAP, să spargă hash-ul MS-CHAPv1 și să folosească acreditările derivate pentru a se autentifica la punctul de acces dorit, chiar dacă acel punct de acces acceptă metode de autentificare mai puternice. Această problemă a fost rezolvată prin dezactivarea LEAP în mod implicit.

    CVE-ID

    CVE-2014-4364 : Pieter Robyns, Bram Bonne, Peter Quax și Wim Lamotte (Universiteit Hasselt)

  • Accounts

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație rău intenționată poate fi capabilă să identifice ID-ul Apple al utilizatorului

    Descriere: a existat o problemă în logica de control al accesului pentru conturi. O aplicație care rulează în sandbox poate obține informații despre contul iCloud activ în prezent, inclusiv numele contului. Această problemă a fost rezolvată prin restricționarea accesului la anumite tipuri de conturi din partea aplicațiilor neautorizate.

    CVE-ID

    CVE-2014-4423 : Adam Weaver

  • Accessibility

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: este posibil ca dispozitivul să nu blocheze ecranul atunci când se utilizează AssistiveTouch

    Descriere: a existat o problemă de logică în gestionarea evenimentelor de către AssistiveTouch, ceea ce a dus la faptul că ecranul nu se bloca. Această problemă a fost rezolvată prin tratarea îmbunătățită a temporizatorului de blocare.

    CVE-ID

    CVE-2014-4368 : Hendrik Bettermann

  • Accounts Framework

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un atacator care are acces la un dispozitiv iOS poate accesa informații sensibile ale utilizatorului din jurnale

    Descriere: au fost jurnalizate informații sensibile ale utilizatorului. Această problemă a fost rezolvată prin jurnalizarea unor informații mai puține.

    CVE-ID

    CVE-2014-4357 : Heli Myllykoski (OP-Pohjola Group)

  • Address Book

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o persoană care are acces fizic la un dispozitiv iOS poate citi agenda de adrese

    Descriere: agenda de adrese a fost criptată cu o cheie protejată doar de UID-ul hardware. Această problemă a fost rezolvată prin criptarea agendei de adrese cu o cheie protejată prin identificarea utilizatorului hardware și codul de acces al utilizatorului.

    CVE-ID

    CVE-2014-4352 : Jonathan Zdziarski

  • App Installation

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un atacator local poate avea posibilitatea de a escalada privilegiile și de a instala aplicații neverificate

    Descriere: a existat o concurență critică în App Installation. Este posibil ca un atacator cu capabilitatea de a scrie în /tmp să fi avut posibilitatea să instaleze o aplicație neverificată. Această problemă a fost rezolvată prin trecerea fișierelor de instalare în alt director.

    CVE-ID

    CVE-2014-4386 : evad3rs

  • App Installation

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un atacator local poate avea posibilitatea de a escalada privilegiile și de a instala aplicații neverificate

    Descriere: a existat o problemă de traversare a căii în App Installation. Este posibil ca un atacator local să fi redirecționat validarea semnăturii codului într-un pachet diferit de cel în curs de instalare și să fi cauzat instalarea unei aplicații neverificate. Această problemă a fost rezolvată prin detectarea și prevenirea traversării căii la determinarea semnăturii codului de verificat.

    CVE-ID

    CVE-2014-4384 : evad3rs

  • Assets

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un atacator cu o poziție privilegiată în rețea poate fi capabil să determine un dispozitiv iOS să considere că este actualizat chiar dacă nu este așa.

    Descriere: a existat o problemă de validare în gestionarea răspunsurilor de verificare a actualizărilor. Datele falsificate din răspunsul privind cea mai recentă modificare (Last-Modified), setată la date calendaristice din viitor, au fost utilizate pentru verificările If-Modified-Since din solicitările ulterioare de actualizare. Această problemă a fost rezolvată prin validarea antetului pentru Last-Modified.

    CVE-ID

    CVE-2014-4383 : Raul Siles (DinoSec)

  • Bluetooth

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: Bluetooth este activat în mod neașteptat în mod implicit după actualizarea iOS

    Descriere: Bluetooth a fost activat automat după actualizarea iOS. Această problemă a fost rezolvată prin activarea caracteristicii Bluetooth numai pentru actualizări majore sau minore.

    CVE-ID

    CVE-2014-4354 : Maneet Singh, Sean Bluestein

  • Certificate Trust Policy

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: actualizare a politicii de încredere în certificate

    Descriere: politica de încredere în certificate a fost actualizată. Lista completă de certificate poate fi vizualizată la adresa http://support.apple.com/HT5012.

  • CoreGraphics

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: deschiderea unui fișier PDF creat cu rea intenție poate duce la închiderea neașteptată a aplicației sau la executarea unui cod arbitrar

    Descriere: la tratarea fișierelor PDF, a existat o depășire a întregului. Această problemă a fost rezolvată prin îmbunătățirea verificării limitelor.

    CVE-ID

    CVE-2014-4377 : Felipe Andres Manzano (Binamuse VRT) în colaborare cu iSIGHT Partners GVP Program

  • CoreGraphics

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: deschiderea unui fișier PDF creat cu rea intenție poate duce la închiderea neașteptată a aplicației sau la o divulgare de informații

    Descriere: a existat o citire a memoriei în afara limitelor la tratarea fișierelor PDF. Această problemă a fost rezolvată prin îmbunătățirea verificării limitelor.

    CVE-ID

    CVE-2014-4378 : Felipe Andres Manzano (Binamuse VRT) în colaborare cu iSIGHT Partners GVP Program

  • Data Detectors

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: atingerea unui link FaceTime în Mail declanșa un apel audio FaceTime fără a fi solicitat.

    Descriere: Mail nu consulta utilizatorul înainte de a lansa URL-uri facetime-audio://. Problema a fost rezolvată prin adăugarea unui dialog de confirmare.

    CVE-ID

    CVE-2013-6835 : Guillaume Ross

  • Foundation

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație care utilizează NSXMLParser poate fi folosită în mod abuziv pentru a divulga informații

    Descriere: a existat o problemă legată de o entitate externă XML în gestionarea XML de către NSXMLParser. Această problemă a fost rezolvată prin neîncărcarea entităților externe peste origini.

    CVE-ID

    CVE-2014-4374 : George Gal (VSR) (http://www.vsecurity.com/)

  • Home & Lock Screen

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație din fundal poate determina care aplicație este cea mai din față

    Descriere: API-ul privat pentru determinarea aplicației celei mai din față nu avea un control suficient al accesului. Această problemă a fost rezolvată printr-un control suplimentar al accesului.

    CVE-ID

    CVE-2014-4361 : Andreas Kurtz (NESO Security Labs) și Markus Troßbach (Heilbronn University)

  • iMessage

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: atașările pot persista după ce iMessage sau MMS-ul părinte este șters

    Descriere: a existat o concurență critică în modul în care erau șterse atașările. Această problemă a fost rezolvată prin efectuarea de verificări suplimentare privind ștergerea unei atașări.

    CVE-ID

    CVE-2014-4353 : Silviu Schiau

  • IOAcceleratorFamily

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioareImpact: o aplicație poate provoca o închidere neașteptată a sistemuluiDescription: a existat o dereferință de pointer null în gestionarea argumentelor API-ului IOAcceleratorFamily. Această problemă a fost rezolvată prin îmbunătățirea validării argumentelor IOAcceleratorFamily API.CVE-IDCVE-2014-4369 : Sarah aka winocm și Cererdlong (Alibaba Mobile Security Team)

    Impact: An application may cause an unexpected system termination

    Description: A null pointer dereference existed in the handling of IOAcceleratorFamily API arguments. This issue was addressed through improved validation of IOAcceleratorFamily API arguments.

    CVE-ID

    CVE-2014-4369 : Sarah aka winocm and Cererdlong of Alibaba Mobile Security Team

    • Entry updated February 3, 2020

  • IOAcceleratorFamily

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: dispozitivul poate reporni în mod neașteptat

    Descriere: a fost prezentă o dreferință de pointer NULL în driverul IntelAccelerator. Problema a fost rezolvată prin tratarea îmbunătățită a erorilor.

    CVE-ID

    CVE-2014-4373 : cunzhang (Adlab of Venustech)

  • IOHIDFamily

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație rău intenționată poate fi capabilă să citească pointeri de kernel, care pot fi utilizați pentru a ocoli randomizarea aspectului spațiului de adrese al kernelului.

    Descriere: a existat o problemă de citire în afara limitelor în gestionarea unei funcții IOHIDFamily. Această problemă a fost rezolvată prin îmbunătățirea verificării limitelor.

    CVE-ID

    CVE-2014-4379 : Ian Beer (Google Project Zero)

  • IOHIDFamily

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație rău intenționată poate să execute cod arbitrar cu privilegii de sistem

    Descriere: a existat o depășire de tampon heap în gestionarea proprietăților de mapare a cheilor de către IOHIDFamily. Această problemă a fost rezolvată prin îmbunătățirea verificării limitelor.

    CVE-ID

    CVE-2014-4404 : Ian Beer (Google Project Zero)

  • IOHIDFamily

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație rău intenționată poate să execute cod arbitrar cu privilegii de sistem

    Descriere: a existat o derefrință de pointer null în gestionarea proprietăților de mapare a cheilor de către IOHIDFamily. Această problemă a fost rezolvată prin validarea îmbunătățită a proprietăților de mapare a cheilor pentru IOHIDFamily.

    CVE-ID

    CVE-2014-4405 : Ian Beer (Google Project Zero)

  • IOHIDFamily

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație rău intenționată poate să execute cod arbitrar cu privilegii de kernel

    Descriere: a existat o o problemă de scriere în afara limitelor în extensia de kernel IOHIDFamily. Această problemă a fost rezolvată prin îmbunătățirea verificării limitelor.

    CVE-ID

    CVE-2014-4380 : cunzhang (Adlab of Venustech)

  • IOKit

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație rău intenționată poate fi capabilă să citească date neinitializate din memoria kernelului

    Descriere: a existat o problemă de acces la memoria neinitializat în gestionarea funcțiilor IOKit. Această problemă a fost rezolvată printr-o inițializare îmbunătățită a memoriei

    CVE-ID

    CVE-2014-4407 : @PanguTeam

  • IOKit

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație rău intenționată poate să execute cod arbitrar cu privilegii de sistem

    Descriere: a existat o problemă de validare la tratarea anumitor câmpuri de metadate ale obiectelor IODataQueue. Această problemă a fost rezolvată prin validarea îmbunătățită a metadatelor.

    CVE-ID

    CVE-2014-4418 : Ian Beer (Google Project Zero)

  • IOKit

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație rău intenționată poate să execute cod arbitrar cu privilegii de sistem

    Descriere: a existat o problemă de validare la tratarea anumitor câmpuri de metadate ale obiectelor IODataQueue. Această problemă a fost rezolvată prin validarea îmbunătățită a metadatelor.

    CVE-ID

    CVE-2014-4388 : @PanguTeam

  • IOHIDFamily

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație rău intenționată poate să execute cod arbitrar cu privilegii de sistem

    Descriere: a existat o depășire de număr întreg în tratarea funcțiilor IOKit. Această problemă a fost rezolvată prin validarea îmbunătățită a argumentelor interfeței API IOKit.

    CVE-ID

    CVE-2014-4389 : Ian Beer (Google Project Zero)

  • Kernel

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un utilizator local poate fi capabil să determine aspectul memoriei kernelului

    Descriere: au existat mai multe probleme de memorie neinițializată în interfața de statistici de rețea, care au dus la dezvăluirea conținutului memoriei kernelului. Această problemă a fost rezolvată prin inițializarea suplimentară a memoriei.

    CVE-ID

    CVE-2014-4371 : Fermin J. Serna (Google Security Team)

    CVE-2014-4419 : Fermin J. Serna (Google Security Team)

    CVE-2014-4420 : Fermin J. Serna (Google Security Team)

    CVE-2014-4421 : Fermin J. Serna (Google Security Team)

  • Kernel

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o persoană cu o poziție privilegiată în rețea poate provoca o refuzare de serviciu (DoS)

    Descriere: a existat o problemă de concurență critică în gestionarea pachetelor IPv6. Această problemă a fost rezolvată prin îmbunătățirea verificării stării de blocare.

    CVE-ID

    CVE-2011-2391 : Marc Heuse

  • Kernel

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un utilizator local poate fi capabil să provoace o închidere neașteptată a sistemului sau o executare de cod arbitrar în kernel.

    Descriere: a existat o problemă de dublu liber în manipularea porturilor Mach. Această problemă a fost rezolvată prin validarea îmbunătățită a porturilor Mach.

    CVE-ID

    CVE-2014-4375 : un cercetător anonim

  • Kernel

    Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: este posibil ca anumite procese fără privilegii să reușească să provoace închiderea neașteptată a sistemului sau executarea unui cod arbitrar în kernel

    Descriere: a existat o problemă de citire în afara limitelor în rt_setgate. Acest fapt poate conduce la dezvăluirea sau coruperea memoriei. Această problemă a fost rezolvată prin îmbunătățirea verificării limitelor.

    CVE-ID

    CVE-2014-4408

  • Kernel

    Disponibilitate pentru: iPhone 4 și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    unele măsuri de întărire a kernelului pot fi ocolite

    Descriere: generatorul de numere aleatoare utilizat pentru măsurile de întărire a kernelului la începutul procesului de pornire nu era securizat din punct de vedere criptografic. O parte din rezultate au putut fi deduse din spațiul de utilizator, permițând ignorarea măsurilor de întărire. Această problemă a fost rezolvată prin utilizarea unui algoritm de securizare criptografică.

    CVE-ID

    CVE-2014-4422 : Tarjei Mandt (Azimuth Security)

  • Libnotify

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o aplicație rău intenționată poate să execute cod arbitrar cu privilegii de rădăcină

    Descriere: a existat o problemă de scriere în afara limitelor în Libnotify. Această problemă a fost rezolvată prin îmbunătățirea verificării limitelor.

    CVE-ID

    CVE-2014-4381 : Ian Beer (Google Project Zero)

  • Lockdown

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un dispozitiv poate fi manipulat astfel încât să prezinte incorect ecranul principal atunci când dispozitivul este blocat prin activare

    Descriere: a existat o problemă în ceea ce privește comportarea de deblocare care făcea ca un dispozitiv să treacă la ecranul de pornire chiar dacă ar trebui să fie încă în stare de blocare prin activare. Această problemă a fost rezolvată prin modificarea informațiilor pe care le verifică un dispozitiv în timpul unei solicitări de deblocare.

    CVE-ID

    CVE-2014-1360

  • Mail

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: acreditările de autentificare pot fi trimise în text simplu chiar dacă serverul a anunțat capacitatea IMAP LOGINDISABLED

    Descriere: Mail trimitea comanda LOGIN către servere chiar dacă acestea anunțaseră capacitatea IMAP LOGINDISABLED. Această problemă este o problemă mai ales atunci când se face conectarea la servere care sunt configurate pentru a accepta conexiuni necriptate și care anunță LOGINDISABLED. Această problemă a fost rezolvată prin respectarea capabilității IMAP LOGINDISABLED.

    CVE-ID

    CVE-2014-4366 : Mark Crispin

  • Mail

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: o persoană care are acces fizic la un dispozitiv iOS ar putea citi atașările de e-mail

    Descriere: a existat o problemă de logică în utilizarea de către Mail a protecției datelor în cazul atașărilor de e-mail. Această problemă a fost rezolvată prin setarea corectă a clasei Data Protection pentru fișierele atașate la e-mailuri.

    CVE-ID

    CVE-2014-1348 : Andreas Kurtz (NESO Security Labs)

  • Profiles

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: Voice Dial este activat în mod neașteptat după actualizarea iOS

    Descriere: Voice Dial a fost activat automat după actualizarea iOS. Această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

    CVE-ID

    CVE-2014-4367 : Sven Heinemann

  • Safari

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: acreditările utilizatorului pot fi divulgate unui site neintenționat prin completare automată

    Descriere: este posibil ca Safari să fi completat automat numele de utilizator și parolele într-un subcadru dintr-un domeniu diferit de cel al cadrului principal. Pentru rezolvarea acestei probleme, s-au îmbunătățit metodele de identificare a sursei.

    CVE-ID

    CVE-2013-5227 : Niklas Malmgren (Klarna AB)

  • Safari

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un atacator cu o poziție privilegiată în rețea poate intercepta acreditările utilizatorilor

    Descriere: parolele salvate au fost completate automat pe site-uri http, pe site-uri https cu încredere încălcată și în iframe. Această problemă a fost rezolvată prin restricționarea completării automate a parolelor la cadrul principal al site-urilor https cu lanțuri de certificate valide.

    CVE-ID

    CVE-2014-4363 : David Silver, Suman Jana și Dan Boneh (Stanford University) în colaborare cu Eric Chen și Collin Jackson (Carnegie Mellon University)

  • Safari

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un atacator aflat într-o poziție privilegiată în rețea poate falsifica URL-uri pe Safari

    Descriere: a existat o inconsecvență a interfeței cu utilizatorul în Safari pe dispozitivele compatibile cu MDM. Această problemă a fost rezolvată prin îmbunătățirea verificărilor pentru interfața cu utilizatorul.

    CVE-ID

    CVE-2014-8841 : Angelo Prado (Salesforce Product Security)

  • Sandbox Profiles

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: informațiile ID-ului Apple sunt accesibile de către aplicații terțe

    Descriere: a existat o problemă de divulgare a informațiilor în sandboxul aplicațiilor terțe. Această problemă a fost rezolvată prin îmbunătățirea profilului sandbox de la terți.

    CVE-ID

    CVE-2014-4362 : Andreas Kurtz (NESO Security Labs) și Markus Troßbach (Heilbronn University)

  • Settings

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: previzualizările mesajelor text pot apărea în ecranul de blocare chiar și atunci când această funcționalitate este dezactivată

    Descriere: a existat o problemă la previzualizarea notificărilor de mesaje text în ecranul de blocare. Ca rezultat, conținutul mesajelor primite ar fi afișat în ecranul de blocare chiar dacă examinările au fost dezactivate din Setări. Această problemă a fost rezolvată prin respectarea îmbunătățită a acestei setări.

    CVE-ID

    CVE-2014-4356 : Mattia Schirinzi (San Pietro Vernotico (BR), Italia)

  • syslog

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un utilizator local poate fi capabil să schimbe permisiuni pe fișiere arbitrare

    Descriere: syslogd a urmat linkuri simbolice în timp ce schimba permisiuni pe fișiere. Această problemă a fost rezolvată prin tratarea îmbunătățită a linkurilor simbolice.

    CVE-ID

    CVE-2014-4372 : Tielei Wang și YeongJin Jang (Georgia Tech Information Security Center – GTISC)

  • Weather

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: informațiile de localizare au fost trimise necriptate

    Descriere: a existat o problemă de divulgare a informațiilor într-un API utilizat pentru a determina vremea locală. Această problemă a fost rezolvată prin schimbarea interfețelor API.

  • WebKit

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un site web rău intenționat poate fi capabil să urmărească utilizatorii chiar și atunci când navigarea privată este activată

    Descriere: o aplicație web ar putea stoca date cache ale aplicației HTML 5 în timpul navigării normale și apoi să citească datele în timpul navigării private. Această problemă a fost rezolvată prin dezactivarea accesului la memoria cache a aplicației în modul de navigare confidențial.

    CVE-ID

    CVE-2014-4409 : Yosuke Hasegawa (NetAgent Co., Led.)

  • WebKit

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: accesarea unui site rău intenționat poate duce la închiderea neașteptată a aplicației sau la executarea unui cod arbitrar

    Descriere: au existat mai multe probleme de corupere a memoriei în WebKit. Pentru rezolvarea acestor probleme s-a implementat o mai bună gestionare a memoriei.

    CVE-ID

    CVE-2013-6663 : Atte Kettunen (OUSPG)

    CVE-2014-1384 : Apple

    CVE-2014-1385 : Apple

    CVE-2014-1387 : Google Chrome Security Team

    CVE-2014-1388 : Apple

    CVE-2014-1389 : Apple

    CVE-2014-4410 : Eric Seidel (Google)

    CVE-2014-4411 : Google Chrome Security Team

    CVE-2014-4412 : Apple

    CVE-2014-4413 : Apple

    CVE-2014-4414 : Apple

    CVE-2014-4415 : Apple

  • Wi-Fi

    Disponibilitate pentru: iPhone 4s și modele ulterioare, iPod touch (a 5-a generație) și modele ulterioare, iPad 2 și modele ulterioare

    Impact: un dispozitiv poate fi urmărit în mod pasiv prin adresa sa MAC Wi-Fi

    Descriere: a existat o divulgare de informații deoarece o adresă MAC stabilă era utilizată pentru a căuta rețele Wi-Fi. Această problemă a fost rezolvată prin stabilirea aleatorie a adresei MAC pentru scanări Wi-Fi pasive.

Notă:

iOS 8 conține modificări la unele capabilități de diagnosticare. Pentru detalii, consultă http://support.apple.com/HT6331

Acum iOS 8 permite dispozitivelor să nu aibă încredere în orice computer care anterior era de încredere. Instrucțiuni pot fi găsite la http://support.apple.com/HT5868

Serviciul FaceTime nu este disponibil în toate țările sau regiunile.

Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.

Data publicării: