Sobre o conteúdo de segurança da Atualização do iPhone 1.0.1
Este documento descreve o conteúdo de segurança da Atualização do iPhone 1.0.1, que pode ser baixado e instalado via iTunes, conforme descrito abaixo.
Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e as correções ou versões necessárias estejam disponíveis. Para saber mais sobre a segurança dos produtos Apple, acesse o site Segurança dos produtos Apple.
Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo "Como usar a Chave PGP de Segurança do Produto Apple".
Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.
Para saber mais sobre outras Atualizações de Segurança, consulte "Atualizações de Segurança da Apple".
Atualização do iPhone 1.0.1
Safari
CVE-ID: CVE-2007-2400
Disponível para: iPhone 1.0
Impacto: acessar um site que contém códigos maliciosos pode permitir scripts entre sites.
Descrição: o modelo de segurança do Safari impede que o JavaScript em páginas remotas modifique páginas fora de seu domínio. Uma condição de corrida na atualização da página combinada com o redirecionamento HTTP pode permitir que o JavaScript de uma página modifique uma página redirecionada. Isso pode permitir que cookies e páginas sejam lidos ou modificados arbitrariamente. Essa atualização resolve o problema corrigindo o controle de acesso às propriedades da janela. Crédito a Lawrence Lai, Stan Switzer e Ed Rowe da Adobe Systems, Inc. por relatarem esse problema.
Safari
ID de CVE: CVE-2007-3944
Disponível para: iPhone 1.0
Impacto: visualizar uma página da Web criada com códigos maliciosos pode causar a execução arbitrária de códigos.
Descrição: há estouros de buffer de heap na biblioteca Perl Compatible Regular Expressions (PCRE) usada pelo mecanismo JavaScript no Safari. Ao induzir um usuário a acessar uma página da Web criada com códigos maliciosos, um invasor pode desencadear o problema, o que pode levar à execução arbitrária de códigos. Essa atualização soluciona o problema por meio de uma validação adicional de expressões regulares JavaScript. Agradecemos a Charlie Miller e Jake Honoroff, da Independent Security Evaluators, por informar esses problemas.
WebCore
CVE-ID: CVE-2007-2401
Disponível para: iPhone 1.0
Impacto: acessar um site que contém códigos maliciosos pode permitir solicitações entre sites.
Descrição: há um problema de injeção HTTP no XMLHttpRequest ao serializar cabeçalhos em uma solicitação HTTP. Ao induzir um usuário a visitar uma página da web criada de forma maliciosa, um invasor pode acionar um problema de script entre sites. Essa atualização soluciona o problema por meio de uma validação adicional de parâmetros de cabeçalho. Crédito a Richard Moore da Westpoint Ltd. por relatar esse problema.
WebKit
CVE-ID: CVE-2007-3742
Disponível para: iPhone 1.0
Impacto: caracteres semelhantes em um URL podem ser usados para mascarar um site.
Descrição: o suporte a nomes de domínio internacionais (IDN) e as fontes Unicode integradas no Safari podem ser usados para criar um URL que contém caracteres parecidos. Eles podem ser usados em um site criado com códigos maliciosos para direcionar o usuário a um site falso que visualmente parece ser um domínio legítimo. Essa atualização soluciona o problema por meio de uma verificação aprimorada de validade de nome de domínio. Agradecemos a Tomohito Yoshino da Business Architects Inc. por informar esse problema.
WebKit
CVE-ID: CVE-2007-2399
Disponível para: iPhone 1.0
Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos.
Descrição: uma conversão de tipo inválida ao renderizar conjuntos de quadros pode levar à corrupção da memória. Acessar uma página da web criada com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Crédito a Rhys Kidd da Westnet por relatar esse problema.
Nota de instalação
Essa atualização está disponível apenas através do iTunes e não aparecerá no aplicativo de Atualização de Software do seu computador ou no site de Downloads do Suporte da Apple. Certifique-se de ter uma conexão com a Internet e de ter instalado a versão mais recente do iTunes de (www.apple.com/br/itunes).
O iTunes verifica automaticamente o servidor de atualização da Apple em sua programação semanal. Quando uma atualização for detectada, ela será baixada. Quando o iPhone estiver conectado, o iTunes apresentará ao usuário a opção de instalar a atualização. Recomendamos aplicar a atualização imediatamente, se possível. Selecionar "não instalar" apresentará a opção na próxima vez que você conectar seu iPhone. O processo de atualização automática pode levar até uma semana, dependendo do dia em que o iTunes verificar se há atualizações.
Você pode obter a atualização manualmente através do botão "Verificar Atualizações" ou da opção de menu no iTunes. Depois de fazer isso, a atualização pode ser aplicada quando seu iPhone estiver conectado ao seu computador.
Para verificar se o iPhone foi atualizado:
Acesse Ajustes no iPhone.
Clique em Geral.
Clique em Sobre. A versão após a aplicação dessa atualização será "1.0.1 (1C25)".