Sobre o conteúdo de segurança da Atualização de Software do iOS 5.1
Este documento descreve o conteúdo de segurança da Atualização de Software do iOS 5.1.
Este documento descreve o conteúdo de segurança da Atualização de Software do iOS 5.1, que pode ser baixado e instalado pelo iTunes.
Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a Segurança do produto Apple, consulte o site Segurança do produto da Apple.
Para informações sobre a Chave PGP de Segurança do Produto Apple, consulte "Como usar a Chave PGP de Segurança do Produto Apple".
Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.
Para saber mais sobre outras Atualizações de segurança, consulte "Atualizações de segurança da Apple".
Atualização de Software do iOS 5.1
CFNetwork
Disponível para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3ª geração) e posterior, iPad, iPad 2
Impacto: visitar um site criado com códigos mal-intencionados pode causar a divulgação de informações confidenciais.
Descrição: ocorre um problema durante o processamento de URLs malformadas pelo CFNetwork. Quando estiver acessando um URL criado com códigos maliciosos, o CFNetwork pode enviar cabeçalhos de solicitação inesperados.
ID de CVE
CVE-2012-0641 : Erling Ellingsen, do Facebook
HFS
Disponível para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3ª geração) e posterior, iPad, iPad 2
Impacto: carregar uma imagem de disco criada com códigos maliciosos pode causar o desligamento do dispositivo ou a execução arbitrária de códigos
Descrição: ocorreu um problema de estouro de inteiro durante o processamento de arquivos de catálogo HFS.
ID de CVE
CVE-2012-0642: pod2g
Kernel
Disponível para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3ª geração) e posterior, iPad, iPad 2
Impacto: um programa criado com códigos maliciosos pode ignorar restrições do sandbox
Descrição: ocorreu um problema lógico durante o processamento de depuração de chamadas do sistema. Isso pode permitir que um programa criado com códigos maliciosos obtenha execução de códigos em outros programas com os mesmos privilégios do usuário.
ID de CVE
CVE-2012-0643: Equipe Jailbreak Dream do iOS 2012
libresolv
Disponível para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3ª geração) e posterior, iPad, iPad 2
Impacto: aplicativos que usam a biblioteca libresolv podem estar vulneráveis a um encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: ocorreu um estouro de inteiro no processamento de registros de recursos DNS, que pode levar à corrupção de memória de pilha.
ID de CVE
CVE-2011-3453 : Ilja van Sprundel da IOActive
Bloqueio por Código
Disponível para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3ª geração) e posterior, iPad, iPad 2
Impacto: uma pessoa com acesso físico pode ser capaz de ignorar o bloqueio da tela
Descrição: ocorreu um problema de condição de corrida durante o processamento de slides para gestos de discagem. Isso pode permitir que uma pessoa com acesso físico ao dispositivo ignore a tela Bloqueio por Código.
ID de CVE
CVE-2012-0644: Roland Kohler do Ministério Federal de Economia e Tecnologia da Alemanha
Safari
Disponível para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3ª geração) e posterior, iPad, iPad 2
Impacto: as visitas às páginas da Web podem ser registradas no histórico do navegador mesmo quando a Navegação Privada está ativa
Descrição: a Navegação Privada do Safari foi desenvolvida para impedir o registro de uma sessão de navegação. As páginas visitadas como resultado do uso dos métodos JavaScript pushState ou replaceState por um site foram registradas no histórico do navegador, mesmo quando a Navegação Privada estava ativa. Esse problema foi resolvido ao não registrar essas visitas quando a Navegação Privada estiver ativa.
ID de CVE
CVE-2012-0585 : Eric Melville da American Express
Siri
Disponível para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3ª geração) e posterior, iPad, iPad 2
Impacto: um invasor com acesso físico a um telefone bloqueado pode obter acesso a mensagem de e-mail mais a frente
Descrição: ocorreu um problema de design nas restrições de tela de bloqueio do Siri. Se o Siri estiver ativado para uso na tela de bloqueio e o Mail estiver aberto com uma mensagem selecionada atrás da tela de bloqueio, um comando de voz poderá ser usado para enviar essa mensagem para um destinatário arbitrário. Esse problema foi solucionado ao desativar o encaminhamento de mensagens ativadas a partir da tela de bloqueio.
ID de CVE
CVE-2012-0645
VPN
Disponível para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3ª geração) e posterior, iPad, iPad 2
Impacto: um arquivo de configuração de sistema criado com códigos maliciosos pode levar à execução arbitrária de código com privilégios do sistema
Descrição: ocorreu uma vulnerabilidade de sequência de formato durante o processamento de arquivos de configuração racoon.
ID de CVE
CVE-2012-0646: pod2g
WebKit
Disponível para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3ª geração) e posterior, iPad, iPad 2
Impacto: visitar um site criado com códigos maliciosos pode causar a divulgação de cookies
Descrição: existia um problema de origem cruzada no WebKit, que permitia a divulgação de cookies entre origens.
ID de CVE
CVE-2011-3887 : Sergey Glazunov
WebKit
Disponível para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3ª geração) e posterior, iPad, iPad 2
Impacto: tanto visitar um site criado com códigos maliciosos quanto arrastar o conteúdo com o mouse pode levar a um ataque de script entre sites
Descrição: existia um problema de origem cruzada no WebKit, que permitia que o conteúdo fosse arrastado e solto entre origens.
ID de CVE
CVE-2012-0590 : Adam Barth da Google Chrome Security Team
WebKit
Disponível para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3ª geração) e posterior, iPad, iPad 2
Impacto: acessar um site criado com códigos mal-intencionados pode resultar em um ataque de transmissão de script entre sites
Descrição: ocorreram vários problemas de origem cruzada no WebKit.
ID de CVE
CVE-2011-3881 : Sergey Glazunov
CVE-2012-0586 : Sergey Glazunov
CVE-2012-0587 : Sergey Glazunov
CVE-2012-0588 : Jochen Eisinger da Equipe do Google Chrome
CVE-2012-0589 : Alan Austin do polyvore.com
WebKit
Disponível para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3ª geração) e posterior, iPad, iPad 2
Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: havia diversos problemas de corrupção de memória no WebKit.
ID de CVE
CVE-2011-2825 : wushi da team509 que trabalha na Zero Day Initiative da TippingPoint
CVE-2011-2833 : Apple
CVE-2011-2846: Arthur Gerkis, miaubiz
CVE-2011-2847: miaubiz, Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer
CVE-2011-2854 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer
CVE-2011-2855: Arthur Gerkis, wushi da team509 que trabalha na iDefense VCP
CVE-2011-2857 : miaubiz
CVE-2011-2860 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer
CVE-2011-2867 : Dirk Schulze
CVE-2011-2868 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer
CVE-2011-2869 : Cris Neckar da Equipe de Segurança do Google Chrome usando o AddressSanitizer
CVE-2011-2870 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer
CVE-2011-2871 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer
CVE-2011-2872 : Abhishek Arya (Inferno) e Cris Neckar da Equipe de Segurança do Google Chrome usando o AddressSanitizer
CVE-2011-2873 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer
CVE-2011-2877 : miaubiz
CVE-2011-3885 : miaubiz
CVE-2011-3888 : miaubiz
CVE-2011-3897: pa_kt, que trabalha na Zero Day Initiative da TippingPoint
CVE-2011-3908 : Aki Helin da OUSPG
CVE-2011-3909: Equipe de Segurança do Google Chrome (scarybeasts) e Chu
CVE-2011-3928 : wushi da team509 que trabalha na Zero Day Initiative da TippingPoint
CVE-2012-0591 : miaubiz e Martin Barbella
CVE-2012-0592 : Alexander Gavrun que trabalha na Zero Day Initiative da TippingPoint
CVE-2012-0593 : Lei Zhang da comunidade de desenvolvimento do Chromium
CVE-2012-0594 : Adam Klein da comunidade de desenvolvimento do Chromium
CVE-2012-0595 : Apple
CVE-2012-0596 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer
CVE-2012-0597 : miaubiz
CVE-2012-0598 : Sergey Glazunov
CVE-2012-0599 : Dmytro Gorbunov do SaveSources.com
CVE-2012-0600: Marshall Greenblatt, Dharani Govindan do Google Chrome, miaubiz, Aki Helin do OUSPG, Apple
CVE-2012-0601 : Apple
CVE-2012-0602 : Apple
CVE-2012-0603 : Apple
CVE-2012-0604 : Apple
CVE-2012-0605 : Apple
CVE-2012-0606 : Apple
CVE-2012-0607 : Apple
CVE-2012-0608 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer
CVE-2012-0609 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer
CVE-2012-0610 : miaubiz, Martin Barbella usando AddressSanitizer
CVE-2012-0611 : Martin Barbella usando AddressSanitizer
CVE-2012-0612 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer
CVE-2012-0613 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer
CVE-2012-0614 : miaubiz, Martin Barbella usando AddressSanitizer
CVE-2012-0615 : Martin Barbella usando AddressSanitizer
CVE-2012-0616 : miaubiz
CVE-2012-0617 : Martin Barbella usando AddressSanitizer
CVE-2012-0618 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer
CVE-2012-0619 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer
CVE-2012-0620 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer
CVE-2012-0621 : Martin Barbella usando AddressSanitizer
CVE-2012-0622 : Dave Levin e Abhishek Arya da Equipe de Segurança do Google Chrome
CVE-2012-0623 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer
CVE-2012-0624 : Martin Barbella usando AddressSanitizer
CVE-2012-0625 : Martin Barbella
CVE-2012-0626 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer
CVE-2012-0627 : Apple
CVE-2012-0628 : Slawomir Blazek, miaubiz, Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer
CVE-2012-0629 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome
CVE-2012-0630 : Sergio Villar Senin da Igalia
CVE-2012-0631 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome
CVE-2012-0632 : Cris Neckar da Equipe de Segurança do Google Chrome usando AddressSanitizer
CVE-2012-0633 : Apple
CVE-2012-0635 : Julien Chaffraix da comunidade de desenvolvimento do Chromium, Martin Barbella usando AddressSanitizer
As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.