Acerca dos conteúdos de segurança da Atualização de software do iOS 6.1

Este documento descreve os conteúdos de segurança do iOS 6.1.

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.

Para obter informações acerca da chave PGP de segurança dos produtos Apple, consulte o artigo Como utilizar a chave PGP de segurança dos produtos Apple.

Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.

Para obter mais informações acerca de outras atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.

iOS 6.1

  • Serviços de identificação

    Disponível para: iPhone 3GS e posterior, iPod touch (4.ª geração) e posterior, iPad 2 e posterior

    Impacto: a autenticação que depende de autenticações com o ID Apple baseadas em certificados poderá ser ignorada

    Descrição: existia um problema no processamento de um erro nos Serviços de identificação. Se o certificado do ID Apple do utilizador não pudesse ser validado, o ID Apple do utilizador era lido como um campo vazio. Se vários sistemas pertencentes a diferentes utilizadores introduzirem este estado, as aplicações que dependem desta determinação de identificação poderão criar confiança erradamente. Este problema foi resolvido ao assegurar que volta ao estado NULL em vez de um campo vazio.

    ID CVE

    CVE-2013-0963

  • Componentes internacionais para Unicode

    Disponível para: iPhone 3GS e posterior, iPod touch (4.ª geração) e posterior, iPad 2 e posterior

    Impacto: aceder a um site criado com intuito malicioso poderá provocar um ataque de execução de scripts entre sites

    Descrição: existia um problema de colocação em forma canónica no processamento da codificação EUC-JP, o que poderia levar a um ataque de execução de scripts em sites codificados com EUC-JP. Este problema foi resolvido através da atualização da tabela de mapeamento de EUC-JP.

    ID CVE

    CVE-2011-3058: Masato Kinugawa

  • Kernel

    Disponível para: iPhone 3GS e posterior, iPod touch (4.ª geração) e posterior, iPad 2 e posterior

    Impacto: um processo em modo de utilizador poderá aceder à primeira página da memória do kernel

    Descrição: o kernel do iOS tem verificações para validar que o ponteiro e o tamanho do modo de utilizador que passaram para as funções copyin e copyout não resultariam num processo em modo de utilizador que pudesse aceder diretamente à memória do kernel. As verificações não estavam a ser utilizadas se o tamanho fosse menor do que uma página. Este problema foi resolvido através da validação adicional de argumentos para o copyin e o copyout.

    ID CVE

    CVE-2013-0964: Mark Dowd da Azimuth Security

  • Segurança

    Disponível para: iPhone 3GS e posterior, iPod touch (4.ª geração) e posterior, iPad 2 e posterior

    Impacto: um atacante com uma posição privilegiada na rede poderá intercetar credenciais de utilizador ou outras informações sensíveis

    Descrição: vários certificados de AC intermédios foram erradamente alterados pela TURKTRUST. Esta situação poderá permitir que um atacante "man-in-the-middle" (através de intermediários) redirecione ligações e intercete credenciais de utilizador ou outras informações sensíveis. Este problema foi resolvido ao não permitir os certificados SSL incorretos.

  • StoreKit

    Disponível para: iPhone 3GS e posterior, iPod touch (4.ª geração) e posterior, iPad 2 e posterior

    Impacto: o JavaScript poderá ser ativado no Mobile Safari sem a interação do utilizador

    Descrição: se um utilizador tiver desativado o JavaScript nas Preferências do Safari, visitar um site com um Smart App Banner iria reativar o JavaScript sem avisar o utilizador. Este problema foi resolvido ao não ativar o JavaScript quando se visita um site com um Smart App Banner.

    ID CVE

    CVE-2013-0974: Andrew Plotkin da Zarfhome Software Consulting, Ben Madison da BitCloud, Marek Durcek

  • WebKit

    Disponível para: iPhone 3GS e posterior, iPod touch (4.ª geração) e posterior, iPad 2 e posterior

    Impacto: aceder a um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existiam vários problemas de corrupção de memória no WebKit. Estes problemas foram resolvidos através do processamento melhorado da memória.

    ID CVE

    CVE-2012-2857: Arthur Gerkis

    CVE-2012-3606: Abhishek Arya (Inferno) Equipa de segurança do Google Chrome

    CVE-2012-3607: Abhishek Arya (Inferno) Equipa de segurança do Google Chrome

    CVE-2012-3621: Skylined da Equipa de segurança do Google Chrome

    CVE-2012-3632: Abhishek Arya (Inferno) da Equipa de segurança do Google Chrome

    CVE-2012-3687: kuzzcc

    CVE-2012-3701: Abhishek Arya (Inferno) da Equipa de segurança do Google Chrome

    CVE-2013-0948: Abhishek Arya (Inferno) da Equipa de segurança do Google Chrome

    CVE-2013-0949: Abhishek Arya (Inferno) da Equipa de segurança do Google Chrome

    CVE-2013-0950: Abhishek Arya (Inferno) da Equipa de segurança do Google Chrome

    CVE-2013-0951: Apple

    CVE-2013-0952: Abhishek Arya (Inferno) da Equipa de segurança do Google Chrome

    CVE-2013-0953: Abhishek Arya (Inferno) da Equipa de segurança do Google Chrome

    CVE-2013-0954: Dominic Cooney da Google e Martin Barbella da Equipa de segurança do Google Chrome

    CVE-2013-0955: Apple

    CVE-2013-0956: Segurança de produtos Apple

    CVE-2012-2824: miaubiz

    CVE-2013-0958: Abhishek Arya (Inferno) da Equipa de segurança do Google Chrome

    CVE-2013-0959: Abhishek Arya (Inferno) da Equipa de segurança do Google Chrome

    CVE-2013-0968: Aaron Nelson

  • WebKit

    Disponível para: iPhone 3GS e posterior, iPod touch (4.ª geração) e posterior, iPad 2 e posterior

    Impacto: copiar e colar conteúdos num site malicioso poderá provocar um ataque de execução de scripts entre sites

    Descrição: ocorreu um problema de execução de scripts entre sites no processamento de conteúdos copiados de uma origem diferente. Este problema foi resolvido através da validação adicional de conteúdos colados.

    ID CVE

    CVE-2013-0962: Mario Heiderich da Cure53

  • WebKit

    Disponível para: iPhone 3GS e posterior, iPod touch (4.ª geração) e posterior, iPad 2 e posterior

    Impacto: aceder a um site criado com intuito malicioso poderá provocar um ataque de execução de scripts entre sites

    Descrição: existia um problema de execução de scripts entre sites no processamento de elementos da frame. Este problema foi resolvido através controlo de origem melhorado.

    ID CVE

    CVE-2012-2889: Sergey Glazunov

  • Wi-Fi

    Disponível para: iPhone 3GS, iPhone 4, iPod touch (4.ª geração), iPad 2

    Impacto: um atacante remoto na mesma rede Wi-Fi poderá ser capaz de desativar a rede momentaneamente

    Descrição: ocorria uma leitura fora dos limites no processamento dos elementos de informação 802.11i do firmware BCM4325 e BCM4329 da Broadcom. Este problema foi resolvido através da validação adicional dos elementos de informação 802.11i.

    ID CVE

    CVE-2012-2619: Andres Blanco e Matias Eissler da Core Security

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Contacte o fornecedor para obter mais informações.

Data de publicação: