Sobre o conteúdo de segurança do iOS 7.1

Este documento descreve o conteúdo de segurança do iOS 7.1.

Para garantir a proteção de nossos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a Segurança do produto Apple, consulte o site Segurança do produto da Apple.

Para informações sobre a Chave PGP de Segurança do Produto Apple, consulte "Como usar a chave PGP de Segurança do Produto Apple".

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras Atualizações de segurança, consulte "Atualizações de segurança da Apple".

iOS 7.1

  • Backup

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: um backup mal-intencionado poderia alterar o sistema de arquivos

    Descrição: um link simbólico em um backup era restaurado, permitindo que as operações subsequentes durante a restauração gravassem no restante do sistema de arquivos. Esse problema foi resolvido através da verificação de links simbólicos durante o processo de restauração.

    ID de CVE

    CVE-2013-5133: evad3rs

  • Política de confiabilidade dos certificados

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: os certificados raiz foram atualizados

    Descrição: vários certificados foram adicionados ou removidos da lista de raízes do sistema.

  • Perfis de configuração

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: as datas de expiração não eram honradas

    Descrição: as datas de expiração de perfis de configurações móveis não eram avaliadas corretamente. O problema foi resolvido através do processamento aprimorado de perfis de configuração.

    ID de CVE

    CVE-2014-1267

  • CoreCapture

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: um aplicativo mal-intencionado pode provocar o encerramento inesperado do sistema

    Descrição: havia um problema de asserção acessível no processamento de chamadas da API IOKit do CoreCapture. O problema foi resolvido através da validação adicional de entradas de IOKit.

    ID de CVE

    CVE-2014-1271: Filippo Bigarella

  • Relatório de falhas

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: um usuário local pode alterar permissões em arquivos arbitrários

    Descrição: o CrashHouseKeeping seguia links simbólicos ao alterar permissões em arquivos. Esse problema foi resolvido pelo não seguimento de links simbólicos ao alterar permissões em arquivos.

    ID de CVE

    CVE-2014-1272: evad3rs

  • dyld

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: requisitos de assinatura de código poderiam ser ignorados

    Descrição: instruções de nova localização de texto em bibliotecas dinâmicas podiam ser carregadas pelo dyld sem a validação de assinatura de código. Esse problema foi resolvido ao ignorar instruções de nova localização de texto.

    ID de CVE

    CVE-2014-1273: evad3rs

  • FaceTime

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: uma pessoa com acesso físico ao dispositivo poderia conseguir acessar contatos do FaceTime a partir da tela de bloqueio

    Descrição: os contatos do FaceTime em um dispositivo bloqueado podiam ser expostos através de uma chamada do FaceTime com falha a partir da tela de bloqueio. Esse problema foi resolvido através do processamento aperfeiçoado de chamadas do FaceTime.

    ID de CVE

    CVE-2014-1274

  • ImageIO

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: a visualização de um arquivo PDF criado com códigos maliciosos pode levar ao encerramento inesperado de aplicativos ou à execução arbitrária de códigos

    Descrição: havia um estouro de buffer no processamento de imagens JPEG2000 em arquivos PDF. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-1275: Felix Groebert, da Equipe de Segurança do Google

  • ImageIO

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: a visualização de uma imagem TIFF criada com códigos maliciosos pode levar ao encerramento inesperado de aplicativos ou à execução arbitrária de códigos

    Descrição: ocorria um estouro de buffer no processamento de imagens TIFF pelo libtiff. Esse problema foi solucionado através da validação adicional de imagens TIFF.

    ID de CVE

    CVE-2012-2088

  • ImageIO

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: a visualização de um arquivo JPEG criado com códigos mal-intencionados poderia levar à divulgação de conteúdo da memória

    Descrição: havia um problema de acesso de memória não inicializada no processamento de libjpeg de marcadores JPEG, resultando na divulgação de conteúdo da memória. Esse problema foi resolvido através de validação adicional de arquivos JPEG.

    ID de CVE

    CVE-2013-6629: Michal Zalewski

  • Evento HID de IOKit

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: um aplicativo mal-intencionado poderia monitorar ações de usuários em outros apps

    Descrição: uma interface na infraestrutura de IOKit permitia que apps mal-intencionados monitorassem ações de usuários em outros apps. Esse problema foi resolvido através de políticas aprimoradas de controle de acesso na infraestrutura.

    ID de CVE

    CVE-2014-1276: Min Zheng, Hui Xue e Dr. Tao (Lenx) Wei, da FireEye

  • iTunes Store

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: um invasor do tipo "man-in-the-middle" poderia induzir um usuário a fazer download de um app mal-intencionado via Enterprise App Download (Download de app empresarial).

    Descrição: um invasor com uma posição privilegiada na rede podia falsificar comunicações de rede para induzir um usuário a fazer download de um app mal-intencionado. Esse problema foi minimizado pelo uso de SSL e aviso ao usuário durante redirecionamentos de URL.

    ID de CVE

    CVE-2013-3948: Stefan Esser

  • Kernel

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: um usuário local pode causar um encerramento inesperado do sistema ou a execução de códigos arbitrários no kernel

    Descrição: havia um problema de acesso à memória fora dos limites na função ARM ptmx_get_ioctl. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-1278: evad3rs

  • Visualizador do Office

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: abrir um documento do Microsoft Word criado com códigos mal-intencionados poderia causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: ocorria um problema do tipo "double free" durante o processamento de documentos Microsoft Word. Esse problema foi solucionado por meio de um gerenciamento aprimorado da memória.

    ID de CVE

    CVE-2014-1252: Felix Groebert, da Equipe de Segurança do Google

  • Backend do Fotos

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: imagens apagadas poderiam continuar aparecendo no app Fotos embaixo de imagens transparentes

    Descrição: apagar uma imagem da biblioteca de ativos não apagava versões da imagem armazenadas em cache. Esse problema foi solucionado por meio do aprimoramento do gerenciamento de cache.

    ID de CVE

    CVE-2014-1281: Walter Hoelblinger, da Hoelblinger.com, Morgan Adams, Tom Pennington

  • Perfis

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: um perfil de configuração poderia estar oculto para o usuário

    Descrição: um perfil de configuração com um nome longo podia ser carregado no dispositivo, mas não exibido na interface do usuário do perfil. Esse problema foi resolvido através do aprimoramento do processamento de nomes de perfil.

    ID de CVE

    CVE-2014-1282: Assaf Hefetz, Yair Amit e Adi Sharabani, da Skycure

  • Safari

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: as credenciais do usuário poderiam ser divulgadas em um site inesperado por meio do preenchimento automático

    Descrição: o Safari podia preencher automaticamente nomes e senhas em um quadro secundário pertencente a um domínio diferente daquele do quadro principal. Esse problema foi resolvido por meio da melhoria do rastreamento de origem.

    ID de CVE

    CVE-2013-5227: Niklas Malmgren, da Klarna AB

  • Ajustes - Contas

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: uma pessoa com acesso físico ao dispositivo poderia conseguir desativar o recurso Buscar iPhone sem inserir uma senha do iCloud

    Descrição: havia um problema de gerenciamento de estado no processamento do estado do Buscar iPhone. Esse problema foi resolvido por meio de melhorias no processamento do estado do Buscar iPhone.

    ID de CVE

    CVE-2014-2019

  • Springboard

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: uma pessoa com acesso físico ao dispositivo poderia conseguir ver a tela de início do dispositivo mesmo se o dispositivo não tivesse sido ativado

    Descrição: um encerramento de aplicativo inesperado durante a ativação podia fazer com que o telefone mostrasse a tela de início. O problema foi resolvido através do processamento aprimorado de erros durante a ativação.

    ID de CVE

    CVE-2014-1285: Roboboi99

  • Tela de bloqueio do SpringBoard

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: um invasor remoto poderia conseguir fazer com que a tela de bloqueio não respondesse

    Descrição: havia um problema no gerenciamento de estado na tela de bloqueio. Esse problema foi resolvido por meio da melhoria do gerenciamento de estado.

    ID de CVE

    CVE-2014-1286: Bogdan Alecu, da M-sec.net

  • Estrutura de interface do usuário de telefonia

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: uma página da web poderia adicionar uma chamada de áudio do FaceTime sem interação do usuário

    Descrição: o Safari não consultava o usuário antes de iniciar URLs facetime-audio://. Esse problema foi resolvido com a adição de um aviso de confirmação.

    ID de CVE

    CVE-2013-6835: Guillaume Ross

  • Host USB

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: uma pessoa com acesso físico ao dispositivo poderia conseguir causar execução arbitrária de código em modo kernel

    Descrição: ocorria um problema de corrupção de memória durante o processamento de mensagens USB. Esse problema foi resolvido através da validação adicional de mensagens USB.

    ID de CVE

    CVE-2014-1287: Andy Davis, do NCC Group

  • Driver de vídeo

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: reproduzir um vídeo mal-intencionado poderia fazer com que o dispositivo não respondesse

    Descrição: havia um problema de cancelamento de referência nula no processamento de arquivos MPEG-4 codificados. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2014-1280: rg0rd

  • WebKit

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: ocorriam diversos problemas de memória corrompida no WebKit. Esses problemas foram solucionados por meio de melhorias no processamento de memória.

    ID de CVE

    CVE-2013-2909: Atte Kettunen, da OUSPG

    CVE-2013-2926: cloudfuzzer

    CVE-2013-2928: Equipe de Segurança do Google Chrome

    CVE-2013-5196: Equipe de Segurança do Google Chrome

    CVE-2013-5197: Equipe de Segurança do Google Chrome

    CVE-2013-5198: Apple

    CVE-2013-5199: Apple

    CVE-2013-5225: Equipe de Segurança do Google Chrome

    CVE-2013-5228: Keen Team (@K33nTeam) trabalhando na Zero Day Initiative, da HP

    CVE-2013-6625: cloudfuzzer

    CVE-2013-6635: cloudfuzzer

    CVE-2014-1269: Apple

    CVE-2014-1270: Apple

    CVE-2014-1289: Apple

    CVE-2014-1290 : ant4g0nist (SegFault) em parceria com a Zero Day Initiative da HP, equipe de segurança do Google Chrome, Lee Wang Hao em parceria com S.P.T. Krishnan do departamento de segurança da Infocomm, Instituto de pesquisa da Infocomm

    CVE-2014-1291: Equipe de Segurança do Google Chrome

    CVE-2014-1292: Equipe de Segurança do Google Chrome

    CVE-2014-1293: Equipe de Segurança do Google Chrome

    CVE-2014-1294: Equipe de Segurança do Google Chrome

O FaceTime não está disponível em todos os países ou regiões.

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: