Sobre o conteúdo de segurança do iOS 8.1
Este documento descreve o conteúdo de segurança do iOS 8.1
Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a Segurança do produto Apple, consulte o site Segurança do produto da Apple.
Para mais informações sobre a Chave PGP de Segurança do Produto Apple, consulte Como usar a chave PGP de Segurança do Produto Apple.
Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário tenha acesso a mais informações.
Para saber mais sobre outras Atualizações de Segurança, consulte Atualizações de segurança da Apple.
iOS 8.1
Bluetooth
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior
Impacto: um dispositivo de entrada Bluetooth malicioso pode ignorar o emparelhamento
Descrição: conexões não criptografadas foram permitidas a partir de acessórios Bluetooth Low Energy de interface humana. Se um dispositivo iOS fosse emparelhado com esse acessório, um invasor poderia falsificar o acessório original para estabelecer uma conexão. O problema foi solucionado com a negação de conexões de HID não criptografadas.
ID de CVE
CVE-2014-4428: Mike Ryan da iSEC Partners
House Arrest
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior
Impacto: os arquivos transferidos para o dispositivo podem ser gravados com proteção criptográfica insuficiente
Descrição: os arquivos poderiam ser transferidos para o diretório Documentos de um app e criptografados com uma chave protegida somente pelo UID do hardware. Este problema foi solucionado criptografando os arquivos transferidos com uma chave protegida pelo UID do hardware e o código do usuário.
ID de CVE
CVE-2014-4448: Jonathan Zdziarski e Kevin DeLong
Acesso aos Dados do iCloud
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior
Impacto: um invasor em posição de rede privilegiada pode forçar os clientes de acesso a dados do iCloud a vazar informações sigilosas
Descrição: havia uma vulnerabilidade de validação de certificado TLS no cliente de acesso a dados do iCloud. Esse problema foi solucionado com melhorias na validação de certificados.
ID de CVE
CVE-2014-4449: Carl Mehner da USAA
Teclados
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior
Impacto: o QuickType poderia aprender as credenciais dos usuários
Descrição: o QuickType poderia aprender as credenciais dos usuários ao alternar entre os elementos. Este problema foi solucionado não permitindo que o QuickType aprendesse as informações nos campos em que o preenchimento automático está desativado e aplicando o mesmo critério ao alternar entre os elementos de entrada DOM no WebKit do histórico de produtos.
ID de CVE
CVE-2014-4450
Transporte seguro
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior
Impacto: um invasor pode conseguir decodificar dados protegidos por SSL
Descrição: ocorrem ataques conhecidos à confidencialidade do SSL 3.0 quando um conjunto de codificação utiliza uma cifra de bloco no modo CBC. Um invasor pode forçar a utilização do SSL 3.0, mesmo se o servidor for compatível com uma versão melhor de TLS, ao bloquear o TLS 1.0 e tentativas de conexão superiores. Esse problema foi solucionado através da desativação dos conjuntos de codificação em modo CBC quando as tentativas de conexão TLS falham.
ID de CVE
CVE-2014-3566: Bodo Moeller, Thai Duong e Krzysztof Kotowicz da Equipe de Segurança do Google
As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.