Sobre o conteúdo de segurança da Atualização de Software do iOS 4.3.2

Este documento descreve o conteúdo de segurança da Atualização de Software do iOS 4.3.2

Este documento descreve o conteúdo de segurança da Atualização de Software do iOS 4.3.2, que pode ser baixada e instalada usando o iTunes.

Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e as correções ou versões necessárias estejam disponíveis. Para saber mais sobre a segurança dos produtos Apple, acesse o site Segurança dos produtos Apple.

Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo Como usar a Chave PGP de Segurança do Produto Apple.

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras Atualizações de Segurança, consulte o artigo Versões de segurança da Apple.

Atualização de Software do iOS 4.3.2

  • Certificate Trust Policy

    Disponível para: iOS 3.0 a 4.3.1 para iPhone 3GS e posterior, iOS 3.1 a 4.3.1 para iPod touch (3ª geração) e posterior, iOS 3.2 a 4.3.1 para iPad

    Impacto: um invasor com posição de rede privilegiada pode interceptar credenciais de usuário ou outras informações confidenciais

    Descrição: vários certificados SSL fraudulentos foram emitidos por uma autoridade de registro afiliada da Comodo. Isso pode permitir que um invasor do tipo "man in the middle" redirecione as conexões e intercepte credenciais do usuário ou outras informações confidenciais. Esse problema foi resolvido colocando os certificados fraudulentos na lista de desaprovação.

    Nota: para sistemas Mac OS X, esse problema foi resolvido com a Atualização de Segurança 2011-002. Para sistemas Windows, o Safari depende do armazenamento de certificados do sistema operacional host para determinar se um certificado de servidor SSL é confiável. A aplicação da atualização descrita no Artigo 2524375 da Base de Conhecimento da Microsoft fará com que o Safari considere esses certificados como não confiáveis. O artigo está disponível no site http://support.microsoft.com/kb/2524375

  • libxslt

    Disponível para: iOS 3.0 a 4.3.1 para iPhone 3GS e posterior, iOS 3.1 a 4.3.1 para iPod touch (3ª geração) e posterior, iOS 3.2 a 4.3.1 para iPad

    Impacto: acessar um site criado com códigos maliciosos pode causar a divulgação dos endereços na pilha

    Descrição: a implementação de libxslt da função generate-id() XPath divulgava o endereço de um buffer de pilha. Acessar um site criado com códigos maliciosos pode causar a divulgação dos endereços na pilha, que poderia contribuir para ignorar a proteção da randomização de layout do espaço de endereço. Esse problema foi resolvido ao gerar um ID com base na diferença entre os endereços de dois buffers de pilha.

    CVE-ID

    CVE-2011-0195: Chris Evans da Google Chrome Security Team

  • QuickLook

    Disponível para: iOS 3.0 a 4.3.1 para iPhone 3GS e posterior, iOS 3.1 a 4.3.1 para iPod touch (3ª geração) e posterior, iOS 3.2 a 4.3.1 para iPad

    Impacto: ver um arquivo do Microsoft Office criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: havia um problema de memória corrompida no processamento de arquivos do Microsoft Office pelo QuickLook. Visualizar um arquivo do Microsoft Office criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos.

    CVE-ID

    CVE-2011-1417: Charlie Miller e Dion Blazakis em parceria com a Zero Day Initiative da TippingPoint

  • WebKit

    Disponível para: iOS 3.0 a 4.3.1 para iPhone 3GS e posterior, iOS 3.1 a 4.3.1 para iPod touch (3ª geração) e posterior, iOS 3.2 a 4.3.1 para iPad

    Impacto: acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: havia um problema de estouro de inteiro no processamento de conjuntos de nós. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos.

    CVE-ID

    CVE-2011-1290: Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp Weinmann e um pesquisador anônimo em parceria com a Zero Day Initiative da TippingPoint

  • WebKit

    Disponível para: iOS 3.0 a 4.3.1 para iPhone 3GS e posterior, iOS 3.1 a 4.3.1 para iPod touch (3ª geração) e posterior, iOS 3.2 a 4.3.1 para iPad

    Impacto: acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: existia um problema de "uso após liberação" no processamento de nós de texto. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos.

    CVE-ID

    CVE-2011-1344: Vupen Security, em parceria com a Zero Day Initiative da TippingPoint, e Martin Barbella

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: