Apple on julkaissut version 8 iOS-käyttöjärjestelmästä, sekä useita päivityspaketteja lukuisiin ohjelmistoihin.

iOS8:n lisäksi Apple on julkaissut päivityksiä seuraaviin ohjelmistoihin ja käyttöjärjestelmiin: Apple TV 7.0, OS X Mavericks 10.9.5 ja suojauspäivitys 2014-004, Safari 7.1 ja Safari 6.2, OS X Server 3.2.1, OS X Server v2.2.3 ja Xcode 6.0.1

iOS-käyttöjärjestelmän päivitys korjaa 56 edellisissä versioissa havaittua haavoittuvuutta. Vakavimmat näistä voivat aiheuttaa luottamuksellisen tiedon vuotamisen, suojauksen ohittamisen ja mielivaltaisen koodin suorittamisen käyttöjärjestelmässä.

Apple TV 7.0 -päivitys korjaa 37 haavoittuvuutta, joiden avulla hyökkääjän on ollut esimerkiksi mahdollista saattaa järjestelmä palvelunestotilaan tai suorittaa mielivaltaista koodia järjestelmän oikeuksin.

OS X Mavericks 10.9.5 ja suojauspäivitys 2014-004 korjaavat yhteensä 44 haavoittuvuutta. Haavoittuvuudet voivat johtaa mielivaltaisen ohjelmakoodin suorittamiseen järjestelmässä pääkäyttäjän oikeuksin, järjestelmän saattamisen palvelunestotilaan tai tietojen vuotamiseen.

Safari 7.1 ja Safari 6.2 -päivitykset korjaavat 9 haavoittuvuutta, jotka voivat johtaa selaimen tallennettujen salasanojen vuotamiseen, palvelunestotilaan tai mielivaltaisen koodin suorittamiseen järjestelmässä. Päivitys korjaa myös haavoittuvuuden jossa haitallisen sivuston on ollut myös mahdollista seurata käyttäjää vaikka yksityinen selaus on ollut aktivoituna.

OS X Server 3.2.1 -päivitys korjaa yhdeksän haavoittuvuutta. Haavoittuvuudet ovat mahdollistaneet haitalliset SQL-kyselyt wiki-palvelimelle ja mielivaltaisen javascript-koodin suorittamisen järjestelmässä. Päivityksista seitsemän korjaa PostgreSQL-tietokannan haavoittuvuuksia päivittämällä sen versioon 9.2.7.

OS X Server v2.2.3 -päivitys korjaa SQL-injektiohaavoittuvuuden Wiki-palvelimessa.

Xcode 6.0.1 -päivitys korjaa haavoittuvuuden kehitysympäristössä, jonka avulla hyökkääjän on mahdollista saattaa projektin aliversio (subversion) palvelunestotilaan.

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Verkon aktiivilaitteet
• Matkaviestinjärjestelmät
• Sulautetut järjestelmät
• Muut

Kohde

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Matkaviestinjärjestelmät
• Sulautetut järjestelmät

Hyökkäystapa

• Paikallisesti
• Ilman kirjautumista
• Etäkäyttö
• Ilman käyttäjän toimia

Hyväksikäyttö

• Komentojen mielivaltainen suorittaminen
• Käyttövaltuuksien laajentaminen
• Tietojen muokkaaminen
• Luottamuksellisen tiedon hankkiminen
• Palvelunestohyökkäys
• Suojauksen ohittaminen

Ratkaisu

• Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot:

• iOS8-käyttöjärjestelmää edeltävät versiot seuraaville laitteille: iPhone 4s ja myöhemmät versiot, iPod touch -laitteet viidennestä laitesukupolvesta eteenpäin , sekä iPad 2 ja sen uudemmat versiot
• Apple TV 7.0 käyttöjärjestelmää edeltävät versiot Apple TV:n kolmannen sukupolven ja sitä uudemmille laiteille.
• OS X Mavericks 10.9.5 ja suojauspäivitystä 2014-004 edeltävät ohjelmistot OS X Lion v10.7.5, OS X Mountain Lion v10.8.5 ja OS X Mavericks 10.9 - 10.9.4 käyttöjärjestelmille.
• Safari 7.1 ja Safari 6.2 -ohjelmistojen edeltävät versiot OS X Mountain Lion v10.8.5 ja OS X Mavericks v10.9.5 -käyttöjärjestelmille.
• OS X Server 3.2.1 -ohjelmiston edeltävät versiot OS X Mavericks v10.9.5 ja sitä seuraaville käyttöjärjestelmille.
• OS X Server v2.2.3 -ohjelmiston edeltävät versiot OS X Mountain Lion v10.8.5.
• Xcode 6.0.1 -kehitysympäristön edeltävät versiot OS X Mavericks v10.9.4 ja sitä seuraaville käyttöjärjestelmille.

Ratkaisu- ja rajoitusmahdollisuudet:

Päivitä ohjelmistot valmistajan ohjeiden mukaisesti.

Lisätietoa:

• http://support.apple.com/kb/HT1222
• CVE-2014-4371
• CVE-2014-4372
• CVE-2014-4373
• CVE-2014-4374
• CVE-2014-4375
• CVE-2014-4376
• CVE-2014-4377
• CVE-2014-4378
• CVE-2014-4379
• CVE-2014-4380
• CVE-2014-4381
• CVE-2014-4383
• CVE-2014-4384
• CVE-2014-4386
• CVE-2014-4388
• CVE-2014-4389
• CVE-2014-4390
• CVE-2014-4393
• CVE-2014-4394
• CVE-2014-4395
• CVE-2014-4396
• CVE-2014-4397
• CVE-2014-4398
• CVE-2014-4399
• CVE-2014-4400
• CVE-2014-4401
• CVE-2014-4402
• CVE-2014-4403
• CVE-2014-4404
• CVE-2014-4405
• CVE-2014-4406
• CVE-2014-4407
• CVE-2014-4408
• CVE-2014-4409
• CVE-2014-4410
• CVE-2014-4411
• CVE-2014-4412
• CVE-2014-4413
• CVE-2014-4414
• CVE-2014-4415
• CVE-2014-4416
• CVE-2014-4418
• CVE-2014-4419
• CVE-2014-4420
• CVE-2014-4421
• CVE-2014-4422
• CVE-2014-4423
• CVE-2014-4424
• CVE-2014-4979