Sobre o conteúdo de segurança do iOS 8.1.3

Este documento descreve o conteúdo de segurança do iOS 8.1.3

Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e as correções ou versões necessárias estejam disponíveis. Para saber mais sobre a segurança dos produtos Apple, acesse o site Segurança dos produtos Apple.

Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo Como usar a Chave PGP de Segurança do Produto Apple.

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras Atualizações de Segurança, consulte o artigo Atualizações de segurança da Apple.

iOS 8.1.3

  • AppleFileConduit

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: um comando afc criado com códigos maliciosos pode permitir acesso a partes protegidas do sistema de arquivos

    Descrição: havia uma vulnerabilidade no mecanismo de ligação simbólica do afc. Esse problema foi resolvido por meio de verificações adicionais de caminho.

    CVE-ID

    CVE-2014-4480: TaiG Jailbreak Team

  • CoreGraphics

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: abrir um arquivo PDF criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: havia um estouro de inteiro durante o processamento de arquivos PDF. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    CVE-ID

    CVE-2014-4481: Felipe Andres Manzano, da Binamuse VRT, por meio do Programa iSIGHT Partners GVP

  • dyld

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: um usuário local pode executar código não assinado

    Descrição: havia um problema de gerenciamento de estados no processamento de arquivos executáveis Mach-O com segmentos sobrepostos. Esse problema foi resolvido por meio de melhorias na validação de tamanhos de segmentos.

    CVE-ID

    CVE-2014-4455: TaiG Jailbreak Team

  • FontParser

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: abrir um arquivo PDF criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: havia um estouro de buffer durante o processamento de arquivos de fonte. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-4483: Apple

  • FontParser

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: o processamento de um arquivo .dfont criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução de códigos arbitrários

    Descrição: havia um problema de corrupção de memória durante o processamento de arquivos .dfont. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    CVE-ID

    CVE-2014-4484: Gaurav Baruah, em parceria com a Zero Day Initiative da HP

  • Foundation

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: visualizar um arquivo XML criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução de códigos arbitrários

    Descrição: havia um estouro de buffer no analisador do XML. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-4485: Apple

  • IOAcceleratorFamily

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: um aplicativo criado com códigos maliciosos pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia um problema de cancelamento de referência de ponteiro nulo quando o IOAcceleratorFamily processava listas de recursos. Esse problema foi resolvido com a remoção de códigos desnecessários.

    ID de CVE

    CVE-2014-4486: Ian Beer do Google Project Zero

  • IOHIDFamily

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: um aplicativo criado com códigos maliciosos pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia um estouro de buffer no IOHIDFamily. O problema foi resolvido por meio de melhorias na validação de tamanhos.

    CVE-ID

    CVE-2014-4487: TaiG Jailbreak Team

  • IOHIDFamily

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: um aplicativo criado com códigos maliciosos pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia um problema de validação quando o IOHIDFamily processava metadados da fila de recurso. O problema foi resolvido por meio de melhorias na validação de metadados.

    CVE-ID

    CVE-2014-4488: Apple

  • IOHIDFamily

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: um aplicativo criado com códigos maliciosos pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia um problema de cancelamento de referência de ponteiro nulo quando o IOHIDFamily processava filas de evento. Esse problema foi resolvido por meio de melhorias na validação.

    CVE-ID

    CVE-2014-4489: @beist

  • iTunes Store

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: um site pode ignorar restrições de área restrita usando a iTunes Store

    Descrição: havia um problema no processamento de URLs redirecionados do Safari para a iTunes Store que podia permitir que um site criado com códigos maliciosos ignorasse as restrições de área restrita do Safari. Esse problema foi resolvido por meio de melhorias na filtragem de URLs abertos pela iTunes Store.

    CVE-ID

    CVE- ID CVE-2014-8840: lokihardt@ASRT, em parceria com a Zero Day Initiative da HP

  • Kerberos

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: um aplicativo criado com códigos maliciosos pode executar códigos arbitrários com privilégios de sistema

    Descrição: a biblioteca libgssapi do Kerberos gerava um token de contexto com um ponteiro pendente. Esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

    ID de CVE

    CVE-2014-5352

  • Kernel

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: aplicativos do iOS comprometidos ou criados com códigos maliciosos podem determinar endereços no kernel

    Descrição: havia um problema de divulgação de informações no processamento de APIs relacionadas a extensões de kernel. Respostas com uma chave OSBundleMachOHeaders podem ter incluído endereços kernel, que podem auxiliar a ignorar a proteção de randomização de layout do espaço de endereço. Esse problema foi resolvido pelo cancelamento do deslocamento dos endereços antes de retorná-los.

    CVE-ID

    CVE-2014-4491: @PanguTeam, Stefan Esser

  • Kernel

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: um aplicativo criado com códigos maliciosos pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia um problema no subsistema de memória compartilhada do kernel que permitia a um invasor gravar na memória que seria estabelecida somente para leitura. Esse problema foi resolvido por meio de uma verificação mais rigorosa das permissões de memória compartilhada.

    CVE-ID

    CVE-2014-4495: Ian Be, do Google Project Zero

  • Kernel

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: aplicativos do iOS comprometidos ou criados com códigos maliciosos podem determinar endereços no kernel

    Descrição: a interface do kernel mach_port_kobject deixava vazar endereços kernel e valores de permutação do heap, o que poderia contribuir para ignorar a proteção da randomização de layout do espaço de endereço. Esse problema foi resolvido por meio da desativação da interface mach_port_kobject nas configurações de produção.

    CVE-ID

    CVE-2014-4496: TaiG Jailbreak Team

  • libnetcore

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: um app em área restrita e criado com códigos maliciosos pode comprometer o daemon networkd

    Descrição: havia diversos problemas de confusão dos tipos quando o networkd processava a comunicação entre processos. Ao enviar uma mensagem formatada com códigos maliciosos para o networkd, era possível executar códigos arbitrários como o processo networkd. Esse problema foi resolvido por meio de verificações adicionais dos tipos.

    CVE-ID

    CVE-2014-4492: Ian Be, do Google Project Zero

  • MobileInstallation

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: um aplicativo assinado por empresa com códigos maliciosos pode assumir o controle do contêiner local para aplicativos que já estão no dispositivo

    Descrição: havia uma vulnerabilidade no processo de instalação do aplicativo. Esse problema foi resolvido impedindo-se que aplicativos corporativos substituam aplicativos existentes em situações específicas.

    CVE-ID

    CVE-2014-4493: Hui Xue e Tao Wei, da FireEye, Inc.

  • Springboard

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: aplicativos assinados por empresas podem ser iniciados sem emitir avisos de confiabilidade

    Descrição: havia um problema em determinar quando um aviso de confiabilidade seria emitido ao abrir pela primeira vez um aplicativo assinado por empresa. Esse problema foi resolvido por meio da melhoria da validação da assinatura do código.

    CVE-ID

    CVE-2014-4494: Song Jin, Hui Xue e Tao Wei, da FireEye, Inc.

  • WebKit

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: acessar um site que integra conteúdo criado com códigos maliciosos pode causar falsificação de UI

    Descrição: ocorria uma falsificação de UI durante o processamento de limites da barra de rolagem. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    CVE-ID

    CVE-2014-4467: Jordan Milne

  • WebKit

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: folhas de estilo são carregadas como sendo de origem cruzada, o que pode permitir a exfiltração de dados

    Descrição: um SVG carregado em um elemento img podia carregar um arquivo CSS de origem cruzada. Esse problema foi resolvido por meio de melhorias no bloqueio de referências externas de CSS em SVGs.

    CVE-ID

    CVE-2014-4465: Rennie deGraaf, da iSEC Partners

  • WebKit

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução de códigos arbitrários

    Descrição: havia diversos problemas de memória corrompida no WebKit. Esses problemas foram resolvidos por meio de melhorias no processamento da memória.

    CVE-ID

    CVE-2014-3192: cloudfuzzer

    CVE-2014-4459

    CVE-2014-4466: Apple

    CVE-2014-4468: Apple

    CVE-2014-4469: Apple

    CVE-2014-4470: Apple

    CVE-2014-4471: Apple

    CVE-2014-4472: Apple

    CVE-2014-4473: Apple

    CVE-2014-4474: Apple

    CVE-2014-4475: Apple

    CVE-2014-4476: Apple

    CVE-2014-4477: lokihardt@ASRT, em parceria com a Zero Day Initiative da HP

    CVE-2014-4479: Apple

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: