Сведения о проблемах системы безопасности, устраненных в ОС iOS 8
В этом документе описываются проблемы системы безопасности, устраненные в ОС iOS 8.
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.
Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.
Если возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.
Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.
iOS 8
802.1X
Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.
Воздействие. Злоумышленник может получить учетные данные сети Wi-Fi.
Описание. Злоумышленник мог выдать себя за точку доступа Wi-Fi, использовать протокол аутентификации LEAP, взломать хэш-коды MS-CHAPv1 и использовать полученные учетные данные для аутентификации в определенной точке доступа, даже если она поддерживала более надежные методы аутентификации. Проблема устранена путем отключения протокола аутентификации LEAP по умолчанию.
CVE-ID
CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax и Wim Lamotte из Хассельтского университета
Accounts
Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.
Воздействие. Вредоносное приложение может получить доступ к данным идентификатора Apple ID пользователя.
Описание. Проблема в логике контроля доступа к учетным записям. Приложение в изолированной среде могло получать информацию об активной в данный момент учетной записи iCloud, в том числе имя учетной записи. Проблема устранена путем ограничения доступа к некоторым типам учетных записей со стороны неавторизованных приложений.
CVE-ID
CVE-2014-4423: Adam Weaver
Accessibility
Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.
Воздействие. Устройство может не блокировать экран при использовании AssistiveTouch.
Описание. При обработке событий AssistiveTouch возникала логическая ошибка, делавшая невозможным блокировку экрана. Проблема устранена путем улучшенной обработки таймера блокировки.
CVE-ID
CVE-2014-4368: Hendrik Bettermann
Accounts Framework
Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.
Воздействие. Злоумышленник с доступом к устройству iOS может получить доступ к конфиденциальным данным пользователя в журналах.
Описание. Конфиденциальные данные пользователя заносились в журналы. Проблема устранена путем ограничения объема данных для занесения в журналы.
CVE-ID
CVE-2014-4357: Heli Myllykoski из компании OP-Pohjola Group
Address Book
Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.
Воздействие. Пользователь с физическим доступом к устройству iOS может просматривать содержимое адресной книги.
Описание. Для шифрования адресной книги использовался ключ, защищенный только с помощью аппаратного идентификатора UID. Проблема устранена путем шифрования адресной книги ключом, защищенным с помощью аппаратного идентификатора UID и код-пароля пользователя.
CVE-ID
CVE-2014-4352: Jonathan Zdziarski
App Installation
Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.
Воздействие. Злоумышленник может локально повысить уровень своих привилегий и установить непроверенные приложения.
Описание. При установке приложений возникала ситуация состязания. Злоумышленник с возможностью доступа к папке /tmp мог установить непроверенное приложение. Проблема устранена путем помещения установочных файлов в другую папку.
CVE-ID
CVE-2014-4386: пользователь evad3rs
App Installation
Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.
Воздействие. Злоумышленник может локально повысить уровень своих привилегий и установить непроверенные приложения.
Описание. При установке приложений возникала проблема дискретизации путей. Злоумышленник мог локально перенаправить проверку подписи кода не на устанавливаемый пакет, а на другой, и запустить установку непроверенного приложения. Проблема устранена путем обнаружения и предотвращения дискретизации путей при определении подписи кода для проверки.
CVE-ID
CVE-2014-4384: пользователь evad3rs
Assets
Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.
Воздействие. Злоумышленник с преимущественным положением в сети может создать видимость того, что устройство iOS обновлено до последней версии, хотя на самом деле это не так.
Описание. При обработке ответов на запросы о доступных обновлениях возникала ошибка проверки. При последующих запросах обновлений для проверки If-Modified-Since использовались подмененные даты из заголовков ответа Last-Modified, относящиеся к будущему времени. Проблема устранена путем проверки заголовка Last-Modified.
CVE-ID
CVE-2014-4383: Raul Siles из компании DinoSec
Bluetooth
Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.
Воздействие. После обновления iOS Bluetooth неожиданно оказывается включенным по умолчанию.
Описание. После обновления iOS автоматически включался Bluetooth. Проблема устранена путем включения Bluetooth только для основных или промежуточных версий обновлений.
CVE-ID
CVE-2014-4354: Maneet Singh, Sean Bluestein
Certificate Trust Policy
Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.
Воздействие. Обновление политики доверия к сертификатам.
Описание. Была обновлена политика доверия к сертификатам. Полный список сертификатов см. в статье https://support.apple.com/HT5012.
CoreGraphics
Целевые продукты: iPhone 4 и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.
Воздействие. Открытие вредоносного PDF-файла может привести к неожиданному завершению работы приложения или выполнению произвольного кода.
Описание. При обработке закодированных данных в PDF-файлах возникала проблема целочисленного переполнения. Проблема устранена путем улучшенной проверки границ памяти.
CVE-ID
CVE-2014-4377: Felipe Andres Manzano из компании Binamuse VRT в рамках программы iSIGHT Partners GVP
CoreGraphics
Целевые продукты: iPhone 4 и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.
Воздействие. Открытие вредоносного файла PDF может привести к неожиданному завершению работы приложения или утечке информации.
Описание. При обработке файлов PDF возникала проблема чтения за границами выделенной области памяти. Проблема устранена путем улучшенной проверки границ памяти.
CVE-ID
CVE-2014-4378: Felipe Andres Manzano из компании Binamuse VRT в рамках программы iSIGHT Partners GVP
Data Detectors
Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.
Воздействие. При нажатии ссылки на FaceTime в приложении «Почта» может без предупреждения начаться аудиовызов FaceTime.
Описание. Приложение «Почта» запускало URL-адреса facetime-audio:// без получения подтверждения пользователя. Проблема устранена путем добавления запроса на подтверждение.
CVE-ID
CVE-2013-6835: Guillaume Ross
Foundation
Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.
Воздействие. Приложение, использующее NSXMLParser, могло спровоцировать утечку информации.
Описание. При обработке XML в NSXMLParser возникала ошибка внешней сущности XML. Проблема устранена блокировкой загрузки внешних сущностей в исходные источники.
CVE-ID
CVE-2014-4374: George Gal из компании VSR (http://www.vsecurity.com/)
Home & Lock Screen
Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.
Воздействие. Фоновое приложение может определять, какое приложение находится на переднем плане.
Описание. В частном API не был реализован достаточный контроль доступа для определения приложения на переднем плане. Проблема устранена путем дополнительного контроля доступа.
CVE-ID
CVE-2014-4361: Andreas Kurtz из компании NESO Security Labs и Markus Troßbach из Университета Хайльбронна
iMessage
Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.
Воздействие. После удаления родительского сообщения iMessage или MMS могут оставаться вложения.
Описание. В способе удаления вложений возникала ситуация состязания. Проблема устранена путем выполнения дополнительной проверки удаления вложения.
CVE-ID
CVE-2014-4353: Silviu Schiau
IOAcceleratorFamily
Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели. Воздействие. Приложение может вызвать неожиданное завершение работы системы. Описание. При обработке аргументов API IOAcceleratorFamily возникало разыменование нулевого указателя. Проблема устранена путем улучшения проверки аргументов API IOAcceleratorFamily. CVE-IDCVE-2014-4369: Sarah, известная как пользователь winocm, и пользователь Cererdlong из подразделения Alibaba Mobile Security Team
Impact: An application may cause an unexpected system termination
Description: A null pointer dereference existed in the handling of IOAcceleratorFamily API arguments. This issue was addressed through improved validation of IOAcceleratorFamily API arguments.
CVE-ID
CVE-2014-4369 : Sarah aka winocm and Cererdlong of Alibaba Mobile Security Team
Entry updated February 3, 2020
IOAcceleratorFamily
Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.
Воздействие. Может произойти неожиданный перезапуск устройства.
Описание. В драйвере IntelAccelerator возникало разыменование нулевого указателя. Проблема устранена путем улучшенной обработки ошибок.
CVE-ID
CVE-2014-4373: пользователь cunzhang из подразделения Adlab компании Venustech
IOHIDFamily
Целевые устройства: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.
Воздействие. Вредоносное приложение может считывать указатели ядра, которые могут использоваться для обхода случайного распределения адресного пространства ядра.
Описание. При обработке функции IOHIDFamily возникала ошибка чтения за границами выделенной области памяти. Проблема устранена путем улучшенной проверки границ памяти.
CVE-ID
CVE-2014-4379: Ian Beer из подразделения Google Project Zero
IOHIDFamily
Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.
Воздействие. Вредоносное приложение может выполнять произвольный код с системными правами.
Описание. При обработке свойств раскладки клавиатуры в IOHIDFamily возникала проблема переполнения буфера динамической памяти. Проблема устранена путем улучшенной проверки границ памяти.
CVE-ID
CVE-2014-4404: Ian Beer из подразделения Google Project Zero
IOHIDFamily
Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.
Воздействие. Вредоносное приложение может выполнять произвольный код с системными правами.
Описание. При обработке свойств раскладки клавиатуры в IOHIDFamily возникала проблема разыменования нулевого указателя. Проблема устранена путем улучшенной проверки раскладки клавиатуры в IOHIDFamily.
CVE-ID
CVE-2014-4405: Ian Beer из подразделения Google Project Zero
IOHIDFamily
Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.
Воздействие. Вредоносное приложение может выполнять произвольный код с привилегиями ядра.
Описание. В расширении ядра IOHIDFamily возникала проблема записи за границами выделенной области памяти. Проблема устранена путем улучшенной проверки границ памяти.
CVE-ID
CVE-2014-4380: пользователь cunzhang из подразделения Adlab компании Venustech
IOKit
Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.
Воздействие. Вредоносное приложение может считывать неинициализированные данные из памяти ядра.
Описание. При обработке функций IOKit возникала проблема доступа к неинициализированной области памяти. Проблема устранена путем улучшения инициализации памяти
CVE-ID
CVE-2014-4407: пользователь @PanguTeam
IOKit
Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.
Воздействие. Вредоносное приложение может выполнять произвольный код с системными правами.
Описание. При обработке некоторых полей метаданных объектов IODataQueue возникала проблема проверки. Проблема устранена путем улучшенной проверки метаданных.
CVE-ID
CVE-2014-4418: Ian Beer из подразделения Google Project Zero
IOKit
Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.
Воздействие. Вредоносное приложение может выполнять произвольный код с системными правами.
Описание. При обработке некоторых полей метаданных объектов IODataQueue возникала проблема проверки. Проблема устранена путем улучшенной проверки метаданных.
CVE-ID
CVE-2014-4388: пользователь @PanguTeam
IOKit
Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.
Воздействие. Вредоносное приложение может выполнять произвольный код с системными правами.
Описание. При обработке функций IOKit возникало целочисленное переполнение. Проблема устранена путем улучшенной проверки аргументов интерфейса API IOKit.
CVE-ID
CVE-2014-4389: Ian Beer из подразделения Google Project Zero
Kernel
Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.
Воздействие. Локальный пользователь может определять структуру памяти ядра.
Описание. В интерфейсе сетевой статистики существовал ряд проблем, которые приводили к утечке содержимого памяти ядра. Проблема устранена путем дополнительной инициализации памяти.
CVE-ID
CVE-2014-4371: Fermin J. Serna из подразделения Google Security Team
CVE-2014-4419: Fermin J. Serna из подразделения Google Security Team
CVE-2014-4420: Fermin J. Serna из подразделения Google Security Team
CVE-2014-4421: Fermin J. Serna из подразделения Google Security Team
Kernel
Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.
Воздействие. Пользователь с преимущественным положением в сети может вызвать отказ в обслуживании.
Описание. При обработке пакетов IPv6 возникала ситуация состязания. Проблема устранена путем улучшенной проверки состояния блокировки.
CVE-ID
CVE-2011-2391: Marc Heuse
Kernel
Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.
Воздействие. Локальный пользователь может вызвать неожиданное завершение работы системы или выполнить произвольный код в ядре.
Описание. При обработке портов Mach возникало двойное высвобождение памяти. Проблема устранена путем улучшенной проверки портов Mach.
CVE-ID
CVE-2014-4375: анонимный исследователь
Kernel
Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.
Воздействие. Локальный пользователь может вызвать неожиданное завершение работы системы или выполнить произвольный код в ядре.
Описание. В rt_setgate существовала проблема чтения за границами выделенной области памяти. Это могло привести к раскрытию или повреждению данных в памяти. Проблема устранена путем улучшенной проверки границ памяти.
CVE-ID
CVE-2014-4408
Kernel
Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.
Воздействие. Возможен обход некоторых мер усиления безопасности ядра.
Описание. Генератор случайных чисел, используемый для защиты ядра в начале процесса загрузки, не обеспечивал безопасность шифрования. Некоторые выходные данные можно было вывести из пространства пользователя, что позволяло обойти меры усиления безопасности. Проблема устранена путем использования надежного алгоритма шифрования.
CVE-ID
CVE-2014-4422: Tarjei Mandt из компании Azimuth Security
Libnotify
Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.
Воздействие. Вредоносное приложение может выполнять произвольный код с правами пользователя root.
Описание. В Libnotify существовала проблема записи за границами выделенной области памяти. Проблема устранена путем улучшенной проверки границ памяти.
CVE-ID
CVE-2014-4381: Ian Beer из подразделения Google Project Zero
Lockdown
Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.
Воздействие. С помощью некоторых действий можно вызвать некорректное отображение экрана «Домой» при включенной блокировке активации.
Описание. Существовала проблема с разблокировкой, которая приводила к отображению экрана «Домой» на устройстве даже в состоянии блокировки активации. Проблема устранена путем изменения информации, которую проверяет устройство при запросе на снятие блокировки.
CVE-ID
CVE-2014-1360
Mail
Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.
Воздействие. Даже если сервер использует параметр LOGINDISABLED в протоколе IMAP, учетные данные для входа могут быть отправлены в обычном текстовом файле.
Описание. Приложение «Почта» отправляло команду LOGIN на серверы, даже если они использовали параметр LOGINDISABLED в протоколе IMAP. Эта проблема в основном возникает при подключении к серверам, настроенным на прием незашифрованных соединений с включенной командой LOGINDISABLED. Проблема устранена путем соблюдения команды LOGINDISABLED в протоколе IMAP.
CVE-ID
CVE-2014-4366: Mark Crispin
Mail
Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.
Воздействие. Пользователь, имеющий физический доступ к устройству iOS, может просматривать вложения электронной почты.
Описание. При использовании модуля защиты данных в приложении «Почта» для вложений существовала логическая ошибка. Проблема устранена путем выбора правильного класса модуля защиты данных для вложений электронной почты.
CVE-ID
CVE-2014-1348: Andreas Kurtz, NESO Security Labs
Profiles
Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.
Воздействие. После обновления iOS неожиданно включается функция «Голосовой набор».
Описание. После обновления iOS автоматически включалась функция «Голосовой набор». Эта проблема устранена путем улучшенного управления состояниями.
CVE-ID
CVE-2014-4367: Sven Heinemann
Safari
Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.
Воздействие. При использовании функции автозаполнения учетные данные пользователей могут передаваться на посторонний сайт.
Описание. Браузер Safari может автоматически заполнять имена пользователей и пароли во вложенном фрейме другого домена, а не в основном фрейме. Проблема устранена путем улучшенного отслеживания источников.
CVE-ID
CVE-2013-5227: Niklas Malmgren из компании Klarna AB
Safari
Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.
Воздействие. Злоумышленник с преимущественным положением в сети может перехватить учетные данные пользователей.
Описание. На сайтах http, недоверенных сайтах https и в iframes автоматически вводились сохраненные пароли. Проблема устранена путем ограничения автозаполнения паролей: только в главных фреймах сайтов https с действительными цепочками сертификатов.
CVE-ID
CVE-2014-4363: David Silver, Suman Jana и Dan Boneh из Стэнфордского университета в сотрудничестве с Eric Chen и Collin Jackson из Университета Карнеги-Мэллон
Safari
Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.
Воздействие. Злоумышленник с преимущественным положением в сети может подменять URL-адреса в Safari.
Описание. В браузере Safari на устройствах с поддержкой MDM имела место несогласованность пользовательского интерфейса. Проблема устранена путем улучшения проверок согласованности пользовательского интерфейса.
CVE-ID
CVE-2014-8841: Angelo Prado из подразделения Salesforce Product Security
Sandbox Profiles
Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.
Воздействие. Сторонние приложения могут получать доступ к информации об идентификаторе Apple ID.
Описание. В изолированной среде стороннего приложения существовала проблема утечки информации. Проблема устранена путем улучшения профиля сторонней изолированной среды.
CVE-ID
CVE-2014-4362: Andreas Kurtz из компании NESO Security Labs и Markus Troßbach из Университета Хайльбронна
Settings
Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.
Воздействие. На экране блокировки может отображаться предварительный просмотр текстовых сообщений, даже если эта функция отключена.
Описание. В процедуре предварительного просмотра уведомлений о текстовых сообщениях на экране блокировки была ошибка. В результате содержимое полученных сообщений появлялось на экране блокировки, даже когда в меню «Настройки» функция предварительного просмотра была отключена. Проблема устранена путем улучшенного соблюдения данного параметра настройки.
CVE-ID
CVE-2014-4356: Mattia Schirinzi из Сан-Пьетро-Вернотико (Бриндизи), Италия
syslog
Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.
Воздействие. Локальный пользователь может изменять разрешения для произвольных файлов.
Описание. Служба syslogd переходила по символическим ссылкам, изменяя разрешения для файлов. Проблема устранена путем улучшенной обработки символических ссылок.
CVE-ID
CVE-2014-4372: Tielei Wang и YeongJin Jang из Центра информационной безопасности технологического института штата Джорджия (GTISC)
Weather
Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.
Воздействие. Информация о местоположении отправлялась в незашифрованном виде.
Описание. В API, используемом для определения местной погоды, имела место утечка информации. Проблема устранена путем изменения интерфейсов API.
WebKit
Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.
Воздействие. Вредоносный веб-сайт может отслеживать пользователей даже при включенном режиме «Частный доступ».
Описание. Веб-приложение могло сохранять кэш приложения HTML 5 при обычном просмотре и затем считывать эти данные в режиме «Частный доступ». Проблема устранена путем блокировки доступа к кэшу приложения в режиме «Частный доступ».
CVE-ID
CVE-2014-4409: Yosuke Hasegawa из компании NetAgent Co., Led.
WebKit
Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.
Воздействие. Переход на вредоносный веб-сайт может привести к неожиданному завершению работы приложения или выполнению произвольного кода.
Описание. В WebKit возникали множественные проблемы повреждения памяти. Проблемы устранены путем улучшенной обработки обращений к памяти.
CVE-ID
CVE-2013-6663: Atte Kettunen из подразделения программирования систем безопасности Университета Оулу (OUSPG)
CVE-2014-1384: Apple
CVE-2014-1385: Apple
CVE-2014-1387: Google Chrome Security Team
CVE-2014-1388: Apple
CVE-2014-1389: Apple
CVE-2014-4410: Eric Seidel из компании Google
CVE-2014-4411: Google Chrome Security Team
CVE-2014-4412: Apple
CVE-2014-4413: Apple
CVE-2014-4414: Apple
CVE-2014-4415: Apple
Wi-Fi
Целевые продукты: iPhone 4s и более поздние модели, iPod touch (5-го поколения) и более поздние модели, iPad 2 и более поздние модели.
Воздействие. Возможно пассивное отслеживание устройства по MAC-адресу его адаптера Wi-Fi.
Описание. При поиске доступных сетей Wi-Fi использовался стабильный MAC-адрес, что приводило к возникновению утечки информации. Проблема устранена путем рандомизации MAC-адреса для пассивного сканирования сетей Wi-Fi.
Примечание.
ОС iOS 8 содержит изменения некоторых возможностей диагностики. Дополнительные сведения см. в статье https://support.apple.com/HT6331
Теперь устройства с ОС iOS 8 больше не предоставляют доступ ранее доверенным компьютерам. Инструкции см. в статье https://support.apple.com/HT5868
Функция FaceTime доступна не во всех странах и регионах.
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.