Сведения о проблемах системы безопасности, устраненных в ОС iOS 8

В этом документе описываются проблемы системы безопасности, устраненные в ОС iOS 8.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Если возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

iOS 8

  • 802.1X

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Злоумышленник может получить учетные данные сети Wi-Fi.

    Описание. Злоумышленник мог выдать себя за точку доступа Wi-Fi, использовать протокол аутентификации LEAP, взломать хэш-коды MS-CHAPv1 и использовать полученные учетные данные для аутентификации в определенной точке доступа, даже если она поддерживала более надежные методы аутентификации. Проблема устранена путем отключения протокола аутентификации LEAP по умолчанию.

    CVE-ID

    CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax и Wim Lamotte из Хассельтского университета

  • Accounts

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Вредоносное приложение может получить доступ к данным идентификатора Apple ID пользователя.

    Описание. Проблема в логике контроля доступа к учетным записям. Приложение в изолированной среде могло получать информацию об активной в данный момент учетной записи iCloud, в том числе имя учетной записи. Проблема устранена путем ограничения доступа к некоторым типам учетных записей со стороны неавторизованных приложений.

    CVE-ID

    CVE-2014-4423: Adam Weaver

  • Accessibility

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Устройство может не блокировать экран при использовании AssistiveTouch.

    Описание. При обработке событий AssistiveTouch возникала логическая ошибка, делавшая невозможным блокировку экрана. Проблема устранена путем улучшенной обработки таймера блокировки.

    CVE-ID

    CVE-2014-4368: Hendrik Bettermann

  • Accounts Framework

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Злоумышленник с доступом к устройству iOS может получить доступ к конфиденциальным данным пользователя в журналах.

    Описание. Конфиденциальные данные пользователя заносились в журналы. Проблема устранена путем ограничения объема данных для занесения в журналы.

    CVE-ID

    CVE-2014-4357: Heli Myllykoski из компании OP-Pohjola Group

  • Address Book

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Пользователь с физическим доступом к устройству iOS может просматривать содержимое адресной книги.

    Описание. Для шифрования адресной книги использовался ключ, защищенный только с помощью аппаратного идентификатора UID. Проблема устранена путем шифрования адресной книги ключом, защищенным с помощью аппаратного идентификатора UID и код-пароля пользователя.

    CVE-ID

    CVE-2014-4352: Jonathan Zdziarski

  • App Installation

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Злоумышленник может локально повысить уровень своих привилегий и установить непроверенные приложения.

    Описание. При установке приложений возникала ситуация состязания. Злоумышленник с возможностью доступа к папке /tmp мог установить непроверенное приложение. Проблема устранена путем помещения установочных файлов в другую папку.

    CVE-ID

    CVE-2014-4386: пользователь evad3rs

  • App Installation

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Злоумышленник может локально повысить уровень своих привилегий и установить непроверенные приложения.

    Описание. При установке приложений возникала проблема дискретизации путей. Злоумышленник мог локально перенаправить проверку подписи кода не на устанавливаемый пакет, а на другой, и запустить установку непроверенного приложения. Проблема устранена путем обнаружения и предотвращения дискретизации путей при определении подписи кода для проверки.

    CVE-ID

    CVE-2014-4384: пользователь evad3rs

  • Assets

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Злоумышленник с преимущественным положением в сети может создать видимость того, что устройство iOS обновлено до последней версии, хотя на самом деле это не так.

    Описание. При обработке ответов на запросы о доступных обновлениях возникала ошибка проверки. При последующих запросах обновлений для проверки If-Modified-Since использовались подмененные даты из заголовков ответа Last-Modified, относящиеся к будущему времени. Проблема устранена путем проверки заголовка Last-Modified.

    CVE-ID

    CVE-2014-4383: Raul Siles из компании DinoSec

  • Bluetooth

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. После обновления iOS Bluetooth неожиданно оказывается включенным по умолчанию.

    Описание. После обновления iOS автоматически включался Bluetooth. Проблема устранена путем включения Bluetooth только для основных или промежуточных версий обновлений.

    CVE-ID

    CVE-2014-4354: Maneet Singh, Sean Bluestein

  • Certificate Trust Policy

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Обновление политики доверия к сертификатам.

    Описание. Была обновлена политика доверия к сертификатам. Полный список сертификатов см. в статье https://support.apple.com/HT5012.

  • CoreGraphics

    Целевые продукты: iPhone 4 и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Открытие вредоносного PDF-файла может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

    Описание. При обработке закодированных данных в PDF-файлах возникала проблема целочисленного переполнения. Проблема устранена путем улучшенной проверки границ памяти.

    CVE-ID

    CVE-2014-4377: Felipe Andres Manzano из компании Binamuse VRT в рамках программы iSIGHT Partners GVP

  • CoreGraphics

    Целевые продукты: iPhone 4 и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Открытие вредоносного файла PDF может привести к неожиданному завершению работы приложения или утечке информации.

    Описание. При обработке файлов PDF возникала проблема чтения за границами выделенной области памяти. Проблема устранена путем улучшенной проверки границ памяти.

    CVE-ID

    CVE-2014-4378: Felipe Andres Manzano из компании Binamuse VRT в рамках программы iSIGHT Partners GVP

  • Data Detectors

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. При нажатии ссылки на FaceTime в приложении «Почта» может без предупреждения начаться аудиовызов FaceTime.

    Описание. Приложение «Почта» запускало URL-адреса facetime-audio:// без получения подтверждения пользователя. Проблема устранена путем добавления запроса на подтверждение.

    CVE-ID

    CVE-2013-6835: Guillaume Ross

  • Foundation

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Приложение, использующее NSXMLParser, могло спровоцировать утечку информации.

    Описание. При обработке XML в NSXMLParser возникала ошибка внешней сущности XML. Проблема устранена блокировкой загрузки внешних сущностей в исходные источники.

    CVE-ID

    CVE-2014-4374: George Gal из компании VSR (http://www.vsecurity.com/)

  • Home & Lock Screen

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Фоновое приложение может определять, какое приложение находится на переднем плане.

    Описание. В частном API не был реализован достаточный контроль доступа для определения приложения на переднем плане. Проблема устранена путем дополнительного контроля доступа.

    CVE-ID

    CVE-2014-4361: Andreas Kurtz из компании NESO Security Labs и Markus Troßbach из Университета Хайльбронна

  • iMessage

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. После удаления родительского сообщения iMessage или MMS могут оставаться вложения.

    Описание. В способе удаления вложений возникала ситуация состязания. Проблема устранена путем выполнения дополнительной проверки удаления вложения.

    CVE-ID

    CVE-2014-4353: Silviu Schiau

  • IOAcceleratorFamily

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели. Воздействие. Приложение может вызвать неожиданное завершение работы системы. Описание. При обработке аргументов API IOAcceleratorFamily возникало разыменование нулевого указателя. Проблема устранена путем улучшения проверки аргументов API IOAcceleratorFamily. CVE-IDCVE-2014-4369: Sarah, известная как пользователь winocm, и пользователь Cererdlong из подразделения Alibaba Mobile Security Team

    Impact: An application may cause an unexpected system termination

    Description: A null pointer dereference existed in the handling of IOAcceleratorFamily API arguments. This issue was addressed through improved validation of IOAcceleratorFamily API arguments.

    CVE-ID

    CVE-2014-4369 : Sarah aka winocm and Cererdlong of Alibaba Mobile Security Team

    • Entry updated February 3, 2020

  • IOAcceleratorFamily

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Может произойти неожиданный перезапуск устройства.

    Описание. В драйвере IntelAccelerator возникало разыменование нулевого указателя. Проблема устранена путем улучшенной обработки ошибок.

    CVE-ID

    CVE-2014-4373: пользователь cunzhang из подразделения Adlab компании Venustech

  • IOHIDFamily

    Целевые устройства: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Вредоносное приложение может считывать указатели ядра, которые могут использоваться для обхода случайного распределения адресного пространства ядра.

    Описание. При обработке функции IOHIDFamily возникала ошибка чтения за границами выделенной области памяти. Проблема устранена путем улучшенной проверки границ памяти.

    CVE-ID

    CVE-2014-4379: Ian Beer из подразделения Google Project Zero

  • IOHIDFamily

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Вредоносное приложение может выполнять произвольный код с системными правами.

    Описание. При обработке свойств раскладки клавиатуры в IOHIDFamily возникала проблема переполнения буфера динамической памяти. Проблема устранена путем улучшенной проверки границ памяти.

    CVE-ID

    CVE-2014-4404: Ian Beer из подразделения Google Project Zero

  • IOHIDFamily

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Вредоносное приложение может выполнять произвольный код с системными правами.

    Описание. При обработке свойств раскладки клавиатуры в IOHIDFamily возникала проблема разыменования нулевого указателя. Проблема устранена путем улучшенной проверки раскладки клавиатуры в IOHIDFamily.

    CVE-ID

    CVE-2014-4405: Ian Beer из подразделения Google Project Zero

  • IOHIDFamily

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Вредоносное приложение может выполнять произвольный код с привилегиями ядра.

    Описание. В расширении ядра IOHIDFamily возникала проблема записи за границами выделенной области памяти. Проблема устранена путем улучшенной проверки границ памяти.

    CVE-ID

    CVE-2014-4380: пользователь cunzhang из подразделения Adlab компании Venustech

  • IOKit

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Вредоносное приложение может считывать неинициализированные данные из памяти ядра.

    Описание. При обработке функций IOKit возникала проблема доступа к неинициализированной области памяти. Проблема устранена путем улучшения инициализации памяти

    CVE-ID

    CVE-2014-4407: пользователь @PanguTeam

  • IOKit

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Вредоносное приложение может выполнять произвольный код с системными правами.

    Описание. При обработке некоторых полей метаданных объектов IODataQueue возникала проблема проверки. Проблема устранена путем улучшенной проверки метаданных.

    CVE-ID

    CVE-2014-4418: Ian Beer из подразделения Google Project Zero

  • IOKit

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Вредоносное приложение может выполнять произвольный код с системными правами.

    Описание. При обработке некоторых полей метаданных объектов IODataQueue возникала проблема проверки. Проблема устранена путем улучшенной проверки метаданных.

    CVE-ID

    CVE-2014-4388: пользователь @PanguTeam

  • IOKit

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Вредоносное приложение может выполнять произвольный код с системными правами.

    Описание. При обработке функций IOKit возникало целочисленное переполнение. Проблема устранена путем улучшенной проверки аргументов интерфейса API IOKit.

    CVE-ID

    CVE-2014-4389: Ian Beer из подразделения Google Project Zero

  • Kernel

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Локальный пользователь может определять структуру памяти ядра.

    Описание. В интерфейсе сетевой статистики существовал ряд проблем, которые приводили к утечке содержимого памяти ядра. Проблема устранена путем дополнительной инициализации памяти.

    CVE-ID

    CVE-2014-4371: Fermin J. Serna из подразделения Google Security Team

    CVE-2014-4419: Fermin J. Serna из подразделения Google Security Team

    CVE-2014-4420: Fermin J. Serna из подразделения Google Security Team

    CVE-2014-4421: Fermin J. Serna из подразделения Google Security Team

  • Kernel

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Пользователь с преимущественным положением в сети может вызвать отказ в обслуживании.

    Описание. При обработке пакетов IPv6 возникала ситуация состязания. Проблема устранена путем улучшенной проверки состояния блокировки.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Kernel

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Локальный пользователь может вызвать неожиданное завершение работы системы или выполнить произвольный код в ядре.

    Описание. При обработке портов Mach возникало двойное высвобождение памяти. Проблема устранена путем улучшенной проверки портов Mach.

    CVE-ID

    CVE-2014-4375: анонимный исследователь

  • Kernel

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Локальный пользователь может вызвать неожиданное завершение работы системы или выполнить произвольный код в ядре.

    Описание. В rt_setgate существовала проблема чтения за границами выделенной области памяти. Это могло привести к раскрытию или повреждению данных в памяти. Проблема устранена путем улучшенной проверки границ памяти.

    CVE-ID

    CVE-2014-4408

  • Kernel

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Возможен обход некоторых мер усиления безопасности ядра.

    Описание. Генератор случайных чисел, используемый для защиты ядра в начале процесса загрузки, не обеспечивал безопасность шифрования. Некоторые выходные данные можно было вывести из пространства пользователя, что позволяло обойти меры усиления безопасности. Проблема устранена путем использования надежного алгоритма шифрования.

    CVE-ID

    CVE-2014-4422: Tarjei Mandt из компании Azimuth Security

  • Libnotify

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Вредоносное приложение может выполнять произвольный код с правами пользователя root.

    Описание. В Libnotify существовала проблема записи за границами выделенной области памяти. Проблема устранена путем улучшенной проверки границ памяти.

    CVE-ID

    CVE-2014-4381: Ian Beer из подразделения Google Project Zero

  • Lockdown

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. С помощью некоторых действий можно вызвать некорректное отображение экрана «Домой» при включенной блокировке активации.

    Описание. Существовала проблема с разблокировкой, которая приводила к отображению экрана «Домой» на устройстве даже в состоянии блокировки активации. Проблема устранена путем изменения информации, которую проверяет устройство при запросе на снятие блокировки.

    CVE-ID

    CVE-2014-1360

  • Mail

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Даже если сервер использует параметр LOGINDISABLED в протоколе IMAP, учетные данные для входа могут быть отправлены в обычном текстовом файле.

    Описание. Приложение «Почта» отправляло команду LOGIN на серверы, даже если они использовали параметр LOGINDISABLED в протоколе IMAP. Эта проблема в основном возникает при подключении к серверам, настроенным на прием незашифрованных соединений с включенной командой LOGINDISABLED. Проблема устранена путем соблюдения команды LOGINDISABLED в протоколе IMAP.

    CVE-ID

    CVE-2014-4366: Mark Crispin

  • Mail

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Пользователь, имеющий физический доступ к устройству iOS, может просматривать вложения электронной почты.

    Описание. При использовании модуля защиты данных в приложении «Почта» для вложений существовала логическая ошибка. Проблема устранена путем выбора правильного класса модуля защиты данных для вложений электронной почты.

    CVE-ID

    CVE-2014-1348: Andreas Kurtz, NESO Security Labs

  • Profiles

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. После обновления iOS неожиданно включается функция «Голосовой набор».

    Описание. После обновления iOS автоматически включалась функция «Голосовой набор». Эта проблема устранена путем улучшенного управления состояниями.

    CVE-ID

    CVE-2014-4367: Sven Heinemann

  • Safari

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. При использовании функции автозаполнения учетные данные пользователей могут передаваться на посторонний сайт.

    Описание. Браузер Safari может автоматически заполнять имена пользователей и пароли во вложенном фрейме другого домена, а не в основном фрейме. Проблема устранена путем улучшенного отслеживания источников.

    CVE-ID

    CVE-2013-5227: Niklas Malmgren из компании Klarna AB

  • Safari

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Злоумышленник с преимущественным положением в сети может перехватить учетные данные пользователей.

    Описание. На сайтах http, недоверенных сайтах https и в iframes автоматически вводились сохраненные пароли. Проблема устранена путем ограничения автозаполнения паролей: только в главных фреймах сайтов https с действительными цепочками сертификатов.

    CVE-ID

    CVE-2014-4363: David Silver, Suman Jana и Dan Boneh из Стэнфордского университета в сотрудничестве с Eric Chen и Collin Jackson из Университета Карнеги-Мэллон

  • Safari

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Злоумышленник с преимущественным положением в сети может подменять URL-адреса в Safari.

    Описание. В браузере Safari на устройствах с поддержкой MDM имела место несогласованность пользовательского интерфейса. Проблема устранена путем улучшения проверок согласованности пользовательского интерфейса.

    CVE-ID

    CVE-2014-8841: Angelo Prado из подразделения Salesforce Product Security

  • Sandbox Profiles

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Сторонние приложения могут получать доступ к информации об идентификаторе Apple ID.

    Описание. В изолированной среде стороннего приложения существовала проблема утечки информации. Проблема устранена путем улучшения профиля сторонней изолированной среды.

    CVE-ID

    CVE-2014-4362: Andreas Kurtz из компании NESO Security Labs и Markus Troßbach из Университета Хайльбронна

  • Settings

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. На экране блокировки может отображаться предварительный просмотр текстовых сообщений, даже если эта функция отключена.

    Описание. В процедуре предварительного просмотра уведомлений о текстовых сообщениях на экране блокировки была ошибка. В результате содержимое полученных сообщений появлялось на экране блокировки, даже когда в меню «Настройки» функция предварительного просмотра была отключена. Проблема устранена путем улучшенного соблюдения данного параметра настройки.

    CVE-ID

    CVE-2014-4356: Mattia Schirinzi из Сан-Пьетро-Вернотико (Бриндизи), Италия

  • syslog

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Локальный пользователь может изменять разрешения для произвольных файлов.

    Описание. Служба syslogd переходила по символическим ссылкам, изменяя разрешения для файлов. Проблема устранена путем улучшенной обработки символических ссылок.

    CVE-ID

    CVE-2014-4372: Tielei Wang и YeongJin Jang из Центра информационной безопасности технологического института штата Джорджия (GTISC)

  • Weather

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Информация о местоположении отправлялась в незашифрованном виде.

    Описание. В API, используемом для определения местной погоды, имела место утечка информации. Проблема устранена путем изменения интерфейсов API.

  • WebKit

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Вредоносный веб-сайт может отслеживать пользователей даже при включенном режиме «Частный доступ».

    Описание. Веб-приложение могло сохранять кэш приложения HTML 5 при обычном просмотре и затем считывать эти данные в режиме «Частный доступ». Проблема устранена путем блокировки доступа к кэшу приложения в режиме «Частный доступ».

    CVE-ID

    CVE-2014-4409: Yosuke Hasegawa из компании NetAgent Co., Led.

  • WebKit

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Переход на вредоносный веб-сайт может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

    Описание. В WebKit возникали множественные проблемы повреждения памяти. Проблемы устранены путем улучшенной обработки обращений к памяти.

    CVE-ID

    CVE-2013-6663: Atte Kettunen из подразделения программирования систем безопасности Университета Оулу (OUSPG)

    CVE-2014-1384: Apple

    CVE-2014-1385: Apple

    CVE-2014-1387: Google Chrome Security Team

    CVE-2014-1388: Apple

    CVE-2014-1389: Apple

    CVE-2014-4410: Eric Seidel из компании Google

    CVE-2014-4411: Google Chrome Security Team

    CVE-2014-4412: Apple

    CVE-2014-4413: Apple

    CVE-2014-4414: Apple

    CVE-2014-4415: Apple

  • Wi-Fi

    Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.

    Воздействие. Возможно пассивное отслеживание устройства по MAC-адресу его адаптера Wi-Fi.

    Описание. При поиске доступных сетей Wi-Fi использовался стабильный MAC-адрес, что приводило к возникновению утечки информации. Проблема устранена путем рандомизации MAC-адреса для пассивного сканирования сетей Wi-Fi.

Примечание.

ОС iOS 8 содержит изменения некоторых возможностей диагностики. Дополнительные сведения см. в статье https://support.apple.com/HT6331

Теперь устройства с ОС iOS 8 больше не предоставляют доступ ранее доверенным компьютерам. Инструкции см. в статье https://support.apple.com/HT5868

Функция FaceTime доступна не во всех странах и регионах.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: