Sobre o conteúdo de segurança do iOS 8.1

Este documento descreve o conteúdo de segurança do iOS 8.1

Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a Segurança do produto Apple, consulte o site Segurança do produto da Apple.

Para mais informações sobre a Chave PGP de Segurança do Produto Apple, consulte Como usar a chave PGP de Segurança do Produto Apple.

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário tenha acesso a mais informações.

Para saber mais sobre outras Atualizações de Segurança, consulte Atualizações de segurança da Apple.

iOS 8.1

  • Bluetooth

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: um dispositivo de entrada Bluetooth malicioso pode ignorar o emparelhamento

    Descrição: conexões não criptografadas foram permitidas a partir de acessórios Bluetooth Low Energy de interface humana. Se um dispositivo iOS fosse emparelhado com esse acessório, um invasor poderia falsificar o acessório original para estabelecer uma conexão. O problema foi solucionado com a negação de conexões de HID não criptografadas.

    ID de CVE

    CVE-2014-4428: Mike Ryan da iSEC Partners

  • House Arrest

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: os arquivos transferidos para o dispositivo podem ser gravados com proteção criptográfica insuficiente

    Descrição: os arquivos poderiam ser transferidos para o diretório Documentos de um app e criptografados com uma chave protegida somente pelo UID do hardware. Este problema foi solucionado criptografando os arquivos transferidos com uma chave protegida pelo UID do hardware e o código do usuário.

    ID de CVE

    CVE-2014-4448: Jonathan Zdziarski e Kevin DeLong

  • Acesso aos Dados do iCloud

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: um invasor em posição de rede privilegiada pode forçar os clientes de acesso a dados do iCloud a vazar informações sigilosas

    Descrição: havia uma vulnerabilidade de validação de certificado TLS no cliente de acesso a dados do iCloud. Esse problema foi solucionado com melhorias na validação de certificados.

    ID de CVE

    CVE-2014-4449: Carl Mehner da USAA

  • Teclados

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: o QuickType poderia aprender as credenciais dos usuários

    Descrição: o QuickType poderia aprender as credenciais dos usuários ao alternar entre os elementos. Este problema foi solucionado não permitindo que o QuickType aprendesse as informações nos campos em que o preenchimento automático está desativado e aplicando o mesmo critério ao alternar entre os elementos de entrada DOM no WebKit do histórico de produtos.

    ID de CVE

    CVE-2014-4450

  • Transporte seguro

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: um invasor pode conseguir decodificar dados protegidos por SSL

    Descrição: ocorrem ataques conhecidos à confidencialidade do SSL 3.0 quando um conjunto de codificação utiliza uma cifra de bloco no modo CBC. Um invasor pode forçar a utilização do SSL 3.0, mesmo se o servidor for compatível com uma versão melhor de TLS, ao bloquear o TLS 1.0 e tentativas de conexão superiores. Esse problema foi solucionado através da desativação dos conjuntos de codificação em modo CBC quando as tentativas de conexão TLS falham.

    ID de CVE

    CVE-2014-3566: Bodo Moeller, Thai Duong e Krzysztof Kotowicz da Equipe de Segurança do Google

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: