Sobre o conteúdo de segurança do iOS 7.1.2

Este documento descreve o conteúdo de segurança do iOS 7.1.2.

Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a Segurança do produto Apple, consulte o site Segurança do produto da Apple.

Para saber informações sobre a Chave PGP de Segurança do Produto Apple, consulte Como usar a Chave PGP de Segurança do Produto Apple.

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras Atualizações de segurança, consulte Atualizações de segurança da Apple.

iOS 7.1.2

  • Política de confiabilidade dos certificados

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: atualização para a política de confiabilidade dos certificados

    Descrição: a política de confiabilidade dos certificados foi atualizada. Veja a lista completa de certificados em http://support.apple.com/kb/HT5012?viewlocale=pt_BR.

  • CoreGraphics

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: a visualização de um arquivo XBM criado com códigos mal-intencionados pode levar ao encerramento inesperado de aplicativos ou à execução arbitrária de códigos

    Descrição: havia um problema de alocação de pilha ilimitada durante o processamento de arquivos XBM. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-1354: Dima Kovalenko do codedigging.com

  • Kernel

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: um aplicativo pode causar a reinicialização inesperada do dispositivo

    Descrição: havia um problema de cancelamento de referência de ponteiro nulo no processamento de argumentos da API IOKit. Esse problema foi solucionado por outra validação de argumentos da API IOKit.

    ID de CVE

    CVE-2014-1355: cunzhang do Adlab da Venustech

  • launchd

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: um aplicativo com código mal-intencionado pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia um estouro de buffer de pilha no processamento de mensagens de IPC por parte do launchd. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-1356: Ian Beer do Google Project Zero

  • launchd

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: um aplicativo com código mal-intencionado pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia um estouro de buffer de pilha no processamento de mensagens de registro por parte do launchd. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-1357: Ian Beer do Google Project Zero

  • launchd

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: um aplicativo com código mal-intencionado pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia um problema de estouro de inteiro no launchd. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-1358: Ian Beer do Google Project Zero

  • launchd

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: um aplicativo com código mal-intencionado pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia um problema de estouro negativo de inteiro no launchd. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-1359: Ian Beer do Google Project Zero

  • Bloqueio

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: um invasor com um dispositivo iOS poderia potencialmente contornar o Bloqueio de Ativação

    Descrição: os dispositivos estavam realizando verificações incompletas durante a ativação do dispositivo, o que possibilitava que indivíduos mal-intencionados ignorassem parcialmente o Bloqueio de Ativação. O problema foi solucionado com outra verificação no cliente dos dados recebidos de servidores de ativação.

    ID de CVE

    CVE-2014-1360

  • Tela Bloqueada

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: um invasor com um dispositivo pode exceder o número máximo de tentativas incorretas de digitar um código

    Descrição: em alguns casos, o limite de tentativas incorretas de digitar um código não foi cumprido. O problema foi solucionado com outra imposição desse limite.

    ID de CVE

    CVE-2014-1352: mblsec

  • Tela Bloqueada

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: uma pessoa com acesso físico a um dispositivo bloqueado pode conseguir acessar o aplicativo que estava em segundo plano antes do bloqueio

    Descrição: havia um problema no gerenciamento de estado no processamento do estado de telefonia no Movo Avião. Esse problema foi solucionado com melhorias no gerenciamento do estado no Movo Avião.

    ID de CVE

    CVE-2014-1353

  • Mail

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: anexos do Mail podem ser extraídos de um iPhone 4

    Descrição: a proteção de dados não foi ativada para anexos do Mail, permitindo que sejam lidos por um invasor com acesso físico ao dispositivo. Esse problema foi solucionado por meio da alteração na classe de criptografia dos anexos do Mail.

    ID de CVE

    CVE-2014-1348: Andreas Kurtz do NESO Security Labs

  • Safari

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: havia um problema de uso após a liberação no processamento de URLs inválidos pelo Safari. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2014-1349: Reno Robert e Dhanesh Kizhakkinan

  • Ajustes

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: uma pessoa com acesso físico ao dispositivo poderia conseguir desativar o recurso Buscar iPhone sem inserir uma senha do iCloud

    Descrição: havia um problema de gerenciamento de estado no processamento do estado do Buscar iPhone. Esse problema foi resolvido por meio de melhorias no processamento do estado do Buscar iPhone.

    ID de CVE

    CVE-2014-1350

  • Transporte seguro

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: dois bytes de memória não inicializada poderiam ser divulgados para um invasor remoto

    Descrição: havia um problema de acesso de memória não inicializada durante o processamento de mensagens DTLS em uma conexão TLS. O problema foi solucionado aceitando somente mensagens DTLS em uma conexão DTLS.

    ID de CVE

    CVE-2014-1361: Thijs Alkemade do The Adium Project

  • Siri

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração e posterior), iPad (3ª geração e posterior)

    Impacto: uma pessoa com acesso físico ao telefone pode visualizar todos os contatos

    Descrição: se uma solicitação da Siri pudesse se referir a um de vários contatos, a Siri exibiria uma lista de possíveis escolhas e a opção "Mais…" para obter uma lista completa de contatos. Quando usada no bloqueio de tela, a Siri não exigia o código antes de visualizar a lista completa de contatos. Esse problema foi solucionado com a exigência do código.

    ID de CVE

    CVE-2014-1351: Sherif Hashim

  • WebKit

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: havia diversos problemas de corrupção de memória no WebKit. Esses problemas foram solucionados por meio de melhorias no processamento de memória.

    ID de CVE

    CVE-2013-2875: miaubiz

    CVE-2013-2927: cloudfuzzer

    CVE-2014-1323: banty

    CVE-2014-1325: Apple

    CVE-2014-1326: Apple

    CVE-2014-1327: Equipe de Segurança do Google Chrome, Apple

    CVE-2014-1329: Equipe de Segurança do Google Chrome

    CVE-2014-1330: Equipe de Segurança do Google Chrome

    CVE-2014-1331: cloudfuzzer

    CVE-2014-1333: Equipe de Segurança do Google Chrome

    CVE-2014-1334: Apple

    CVE-2014-1335: Equipe de Segurança do Google Chrome

    CVE-2014-1336: Apple

    CVE-2014-1337: Apple

    CVE-2014-1338: Equipe de Segurança do Google Chrome

    CVE-2014-1339: Atte Kettunen da OUSPG

    CVE-2014-1341: Equipe de Segurança do Google Chrome

    CVE-2014-1342: Apple

    CVE-2014-1343: Equipe de Segurança do Google Chrome

    CVE-2014-1362: Apple, miaubiz

    CVE-2014-1363: Apple

    CVE-2014-1364: Apple

    CVE-2014-1365: Apple, Equipe de Segurança do Google Chrome

    CVE-2014-1366: Apple

    CVE-2014-1367: Apple

    CVE-2014-1368: Wushi da Keen Team (Equipe de Pesquisa da Keen Cloud Tech)

    CVE-2014-1382: Renata Hodovan da Universidade de Szeged/Samsung Electronics

    CVE-2014-1731: membro anônimo da comunidade de desenvolvimento Blink

  • WebKit

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: um site criado com códigos mal-intencionados pode enviar mensagens a um quadro ou janela conectados de forma a contornar a verificação de origem do receptor

    Descrição: havia um problema de codificação no processamento de caracteres Unicode em URLs. Um URL criado com códigos mal-intencionados pode ter causado o envio de uma origem de postMessage incorreta. Esse problema foi solucionado por meio de melhorias na codificação/decodificação.

    ID de CVE

    CVE-2014-1346: Erling Ellingsen, do Facebook

  • WebKit

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: um site criado com códigos mal-intencionados pode falsificar o nome de domínio na barra de endereço

    Descrição: havia um problema de falsificação no processamento de URLs. Esse problema foi resolvido por meio de melhorias na codificação de URLs.

    ID de CVE

    CVE-2014-1345: Erling Ellingsen, do Facebook

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: