Acerca dos conteúdos de segurança da Atualização de software iOS 5.1
Este documento descreve os conteúdos de segurança da Atualização de software iOS 5.1.
Este documento descreve os conteúdos de segurança da Atualização de software iOS 5.1, que pode ser descarregada e instalada através do iTunes.
Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações sobre a Segurança dos produtos da Apple, consulte o site Segurança dos produtos da Apple.
Para obter informações sobre a chave PGP de segurança dos produtos da Apple, consulte o artigo "Como utilizar a chave PGP de segurança dos produtos da Apple".
Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.
Para obter mais informações sobre outras atualizações de segurança, consulte o artigo "Atualizações de segurança da Apple".
Atualização de software iOS 5.1
CFNetwork
Disponível para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3.ª geração e posterior), iPad, iPad 2
Impacto: visitar um site criado com intuito malicioso poderá levar à divulgação de informações sensíveis
Descrição: existia um problema no processamento de URL inválidos por parte do CFNetwork. Ao aceder a um URL criado com intuito malicioso, o CFNetwork podia enviar cabeçalhos de solicitação inesperados.
ID CVE
CVE-2012-0641: Erling Ellingsen do Facebook
HFS
Disponível para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3.ª geração e posterior), iPad, iPad 2
Impacto: a montagem de uma imagem de disco criada com intuito malicioso poderá provocar o encerramento do dispositivo ou a execução de um código arbitrário
Descrição: existia um problema de ultrapassagem do limite mínimo de números inteiros no processamento de ficheiros do catálogo HFS.
ID CVE
CVE-2012-0642: pod2g
Kernel
Disponível para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3.ª geração e posterior), iPad, iPad 2
Impacto: um programa malicioso podia ignorar as restrições da sandbox
Descrição: existia um problema de lógica no processamento de chamadas de depuração do sistema. Isto podia permitir que um programa malicioso obtivesse a execução de um código noutros programas com os mesmos privilégios de utilizador.
ID CVE
CVE-2012-0643: Dream Team 2012 do iOS Jailbreak
libresolv
Disponível para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3.ª geração e posterior), iPad, iPad 2
Impacto: as aplicações que utilizam a biblioteca libresolv poderão estar vulneráveis ao encerramento inesperado da aplicação ou à execução de um código arbitrário
Descrição: existia um problema de ultrapassagem do limite máximo de números inteiros no processamento de registos de recursos DNS, o que poderá resultar na corrupção de memória na área dinâmica para dados.
ID CVE
CVE-2011-3453: Ilja van Sprundel da IOActive
Bloqueio por código
Disponível para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3.ª geração e posterior), iPad, iPad 2
Impacto: uma pessoa com acesso físico ao dispositivo poderá conseguir ignorar o bloqueio do ecrã
Descrição: existia um problema de condição race no processamento de gestos de deslizar para marcar. Isto podia permitir que uma pessoa com acesso físico ao dispositivo ignorasse o ecrã de Bloqueio por código.
ID CVE
CVE-2012-0644: Roland Kohler do Ministério Federal Alemão de Economia e Tecnologia
Safari
Disponível para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3.ª geração e posterior), iPad, iPad 2
Impacto: as visitas a páginas Web poderão ficar registadas no histórico do navegador, mesmo quando a Navegação privada está ativa
Descrição: a Navegação privada do Safari foi concebida para evitar o registo de uma sessão de navegação. As páginas visitadas como resultado de um site que utiliza métodos JavaScript pushState ou replaceState foram registadas no histórico do navegador, mesmo quando o modo de Navegação privada estava ativo. Este problema é resolvido através do não registo das referidas visitas quando a Navegação privada está ativa.
ID CVE
CVE-2012-0585: Eric Melville da American Express
Siri
Disponível para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3.ª geração e posterior), iPad, iPad 2
Impacto: um atacante com acesso físico a um telefone bloqueado podia ter acesso à mensagem de e-mail ativa
Descrição: existia um problema de conceção nas restrições do Siri no ecrã bloqueado. Se o Siri estivesse ativado para ser utilizado no ecrã bloqueado e o Mail estivesse aberto com uma mensagem selecionada por trás do ecrã bloqueado, poderia ser usado um comando de voz para enviar essa mensagem para um destinatário arbitrário. Este problema é resolvido através da desativação do reencaminhamento de mensagens ativas a partir do ecrã bloqueado.
ID CVE
CVE-2012-0645
VPN
Disponível para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3.ª geração e posterior), iPad, iPad 2
Impacto: um ficheiro de configuração do sistema criado com intuito malicioso poderá levar à execução de um código arbitrário com privilégios de sistema
Descrição: existia uma vulnerabilidade na cadeia de formato no processamento de ficheiros de configuração racoon.
ID CVE
CVE-2012-0646: pod2g
WebKit
Disponível para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3.ª geração e posterior), iPad, iPad 2
Impacto: visitar um site criado com intuito malicioso poderá levar à divulgação de cookies
Descrição: existia um problema de cruzamento de origens no WebKit, que podia permitir que os cookies fossem divulgados entre origens.
ID CVE
CVE-2011-3887: Sergey Glazunov
WebKit
Disponível para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3.ª geração e posterior), iPad, iPad 2
Impacto: visitar um site criado com intuito malicioso e arrastar conteúdos com o rato poderá provocar um ataque de execução de scripts entre sites
Descrição: existia um problema de cruzamento de origens no WebKit, que podia permitir que os conteúdos fossem arrastados e largados entre origens.
ID CVE
CVE-2012-0590: Adam Barth da equipa de segurança do Google Chrome
WebKit
Disponível para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3.ª geração e posterior), iPad, iPad 2
Impacto: visitar um site criado com intuito malicioso poderá provocar um ataque de execução de scripts entre sites
Descrição: existiam vários problemas de cruzamento de origens no WebKit.
ID CVE
CVE-2011-3881: Sergey Glazunov
CVE-2012-0586: Sergey Glazunov
CVE-2012-0587: Sergey Glazunov
CVE-2012-0588: Jochen Eisinger da equipa do Google Chrome
CVE-2012-0589: Alan Austin do polyvore.com
WebKit
Disponível para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3.ª geração e posterior), iPad, iPad 2
Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existiam vários problemas de corrupção de memória no WebKit.
ID CVE
CVE-2011-2825: wushi da team509 em colaboração com o programa Zero Day Initiative da TippingPoint
CVE-2011-2833: Apple
CVE-2011-2846: Arthur Gerkis, miaubiz
CVE-2011-2847: miaubiz, Abhishek Arya (Inferno) da equipa de segurança do Google Chrome com utilização do AddressSanitizer
CVE-2011-2854: Abhishek Arya (Inferno) da equipa de segurança do Google Chrome com utilização do AddressSanitizer
CVE-2011-2855: Arthur Gerkis, wushi da team509 em colaboração com a iDefense VCP
CVE-2011-2857: miaubiz
CVE-2011-2860: Abhishek Arya (Inferno) da equipa de segurança do Google Chrome com utilização do AddressSanitizer
CVE-2011-2867: Dirk Schulze
CVE-2011-2868: Abhishek Arya (Inferno) da equipa de segurança do Google Chrome com utilização do AddressSanitizer
CVE-2011-2869: Cris Neckar da equipa de segurança do Google Chrome com utilização do AddressSanitizer
CVE-2011-2870: Abhishek Arya (Inferno) da equipa de segurança do Google Chrome com utilização do AddressSanitizer
CVE-2011-2871: Abhishek Arya (Inferno) da equipa de segurança do Google Chrome com utilização do AddressSanitizer
CVE-2011-2872: Abhishek Arya (Inferno) e Cris Neckar da equipa de segurança do Google Chrome com utilização do AddressSanitizer
CVE-2011-2873: Abhishek Arya (Inferno) da equipa de segurança do Google Chrome com utilização do AddressSanitizer
CVE-2011-2877: miaubiz
CVE-2011-3885: miaubiz
CVE-2011-3888: miaubiz
CVE-2011-3897: pa_kt em colaboração com o programa Zero Day Initiative da TippingPoint
CVE-2011-3908: Aki Helin do OUSPG
CVE-2011-3909: equipa de segurança do Google Chrome (scarybeasts) e Chu
CVE-2011-3928: wushi da team509 em colaboração com o programa Zero Day Initiative da TippingPoint
CVE-2012-0591: miaubiz e Martin Barbella
CVE-2012-0592: Alexander Gavrun em colaboração com o programa Zero Day Initiative da TippingPoint
CVE-2012-0593: Lei Zhang da comunidade de desenvolvimento do Chromium
CVE-2012-0594: Adam Klein da comunidade de desenvolvimento do Chromium
CVE-2012-0595: Apple
CVE-2012-0596: Abhishek Arya (Inferno) da equipa de segurança do Google Chrome com utilização do AddressSanitizer
CVE-2012-0597: miaubiz
CVE-2012-0598: Sergey Glazunov
CVE-2012-0599: Dmytro Gorbunov do SaveSources.com
CVE-2012-0600: Marshall Greenblatt, Dharani Govindan do Google Chrome, miaubiz, Aki Helin do OUSPG, Apple
CVE-2012-0601: Apple
CVE-2012-0602: Apple
CVE-2012-0603: Apple
CVE-2012-0604: Apple
CVE-2012-0605: Apple
CVE-2012-0606: Apple
CVE-2012-0607: Apple
CVE-2012-0608: Abhishek Arya (Inferno) da equipa de segurança do Google Chrome com utilização do AddressSanitizer
CVE-2012-0609: Abhishek Arya (Inferno) da equipa de segurança do Google Chrome com utilização do AddressSanitizer
CVE-2012-0610: miaubiz, Martin Barbella com utilização do AddressSanitizer
CVE-2012-0611: Martin Barbella com utilização do AddressSanitizer
CVE-2012-0612: Abhishek Arya (Inferno) da equipa de segurança do Google Chrome com utilização do AddressSanitizer
CVE-2012-0613: Abhishek Arya (Inferno) da equipa de segurança do Google Chrome com utilização do AddressSanitizer
CVE-2012-0614: miaubiz, Martin Barbella com utilização do AddressSanitizer
CVE-2012-0615: Martin Barbella com utilização do AddressSanitizer
CVE-2012-0616: miaubiz
CVE-2012-0617: Martin Barbella com utilização do AddressSanitizer
CVE-2012-0618: Abhishek Arya (Inferno) da equipa de segurança do Google Chrome com utilização do AddressSanitizer
CVE-2012-0619: Abhishek Arya (Inferno) da equipa de segurança do Google Chrome com utilização do AddressSanitizer
CVE-2012-0620: Abhishek Arya (Inferno) da equipa de segurança do Google Chrome com utilização do AddressSanitizer
CVE-2012-0621: Martin Barbella com utilização do AddressSanitizer
CVE-2012-0622: Dave Levin e Abhishek Arya da equipa de segurança do Google Chrome
CVE-2012-0623: Abhishek Arya (Inferno) da equipa de segurança do Google Chrome com utilização do AddressSanitizer
CVE-2012-0624: Martin Barbella com utilização do AddressSanitizer
CVE-2012-0625: Martin Barbella
CVE-2012-0626: Abhishek Arya (Inferno) da equipa de segurança do Google Chrome com utilização do AddressSanitizer
CVE-2012-0627: Apple
CVE-2012-0628: Slawomir Blazek, miaubiz, Abhishek Arya (Inferno) da equipa de segurança do Google Chrome com utilização do AddressSanitizer
CVE-2012-0629: Abhishek Arya (Inferno) da equipa de segurança do Google Chrome
CVE-2012-0630: Sergio Villar Senin da Igalia
CVE-2012-0631: Abhishek Arya (Inferno) da equipa de segurança do Google Chrome
CVE-2012-0632: Cris Neckar da equipa de segurança do Google Chrome com utilização do AddressSanitizer
CVE-2012-0633: Apple
CVE-2012-0635: Julien Chaffraix da comunidade de desenvolvimento do Chromium, Martin Barbella com utilização do AddressSanitizer
As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Contacte o fornecedor para obter mais informações.