Sobre o conteúdo de segurança do iOS 9

Este documento descreve o conteúdo de segurança do iOS 9.

Para garantir a proteção de nossos clientes, a Apple não divulga, discute ou confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a Segurança do Produto Apple, consulte o site sobre segurança do produto Apple.

Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo Como usar a Chave PGP de Segurança do Produto Apple.

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.

iOS 9

  • Apple Pay

    Disponível para: iPhone 6 e iPhone 6 Plus

    Impacto: alguns cartões podem permitir que um terminal recupere informações limitadas de transações recentes ao fazer um pagamento

    Descrição: a função de registro de transações foi ativada em algumas configurações. Esse problema foi resolvido com a remoção da função de registro de transações. Esse problema não afetou dispositivos iPad.

    ID de CVE

    CVE-2015-5916

  • AppleKeyStore

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um invasor local pode redefinir tentativas de código de acesso incorretas com um backup do iOS

    Descrição: havia um problema na redefinição de tentativas de código de acesso incorretas com um backup do dispositivo iOS. Esse problema foi resolvido por meio de melhorias na lógica de falha do código de acesso.

    ID de CVE

    CVE-2015-5850: pesquisador anônimo

  • Loja de aplicativos

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: clicar em um link de ITMS malicioso pode resultar em uma recusa de serviço em um aplicativo assinado por empresa

    Descrição: havia um problema com a instalação por meio de links de ITMS. Esse problema foi resolvido por meio de uma verificação de instalação adicional.

    ID de CVE

    CVE-2015-5856: Zhaofeng Chen, Hui Xue e Tao (Lenx) Wei, da FireEye, Inc.

  • Áudio

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: a reprodução de um arquivo de áudio malicioso pode resultar no fechamento inesperado de um aplicativo

    Descrição: havia um problema de memória corrompida no processamento de arquivos de áudio. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-5862: YoungJin Yoon, do Information Security Lab. (Orientador: Prof. Taekyoung Kwon), Yonsei University, Seul, Coreia

  • Política de confiabilidade dos certificados

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: atualização para a política de confiabilidade dos certificados

    Descrição: a política de confiabilidade dos certificados foi atualizada. Veja a lista completa de certificados em http://support.apple.com/pt-br/HT204132.

  • CFNetwork

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: um URL criado com códigos maliciosos pode ignorar o Strict Transport Security do HTTP (HSTS) e causar vazamento de dados confidenciais

    Descrição: havia uma vulnerabilidade de análise de URL no processamento do HSTS. Esse problema foi resolvido por meio de melhorias na análise de URL.

    ID de CVE

    CVE-2015-5858: Xiaofeng Zheng, do Blue Lotus Team, Tsinghua University

  • CFNetwork

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um site criado com códigos mal-intencionados pode rastrear usuários no Safari no modo de navegação privada

    Descrição: havia um problema no processamento do estado do HSTS no modo de navegação privada do Safari. Esse problema foi resolvido por meio de melhorias no processamento de estado.

    ID de CVE

    CVE-2015-5860: Sam Greenhalgh, da RadicalResearch Ltd

  • CFNetwork

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: alguém com acesso físico a um dispositivo iOS pode ler dados do cache de apps da Apple

    Descrição: dados do cache estavam criptografados com uma chave protegida somente por um UID de hardware. Esse problema foi resolvido por meio da criptografia dos dados do cache com uma chave protegida pelo UID de hardware e pelo código de acesso do usuário.

    ID de CVE

    CVE-2015-5898: Andreas Kurtz, do NESO Security Labs

  • Cookies CFNetwork

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um invasor em uma posição de rede privilegiada pode rastrear a atividade de um usuário

    Descrição: havia um problema de cookie de domínio cruzado no processamento de domínios de nível superior. Esse problema foi resolvido por meio de melhorias nas restrições de criação de cookies.

    ID de CVE

    CVE-2015-5885: Xiaofeng Zheng, do Blue Lotus Team, Tsinghua University

  • Cookies CFNetwork

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um invasor pode criar cookies inesperados para um site

    Descrição: o WebKit aceitava a definição de vários cookies no API document.cookie. Esse problema foi resolvido por meio de melhorias na análise.

    ID de CVE

    CVE-2015-3801: Erling Ellingsen, do Facebook

  • CFNetwork FTPProtocol

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: servidores FTP com códigos maliciosos podem fazer com que o cliente realize reconhecimento em outros hosts

    Descrição: havia um problema no processamento de pacotes de FTP ao usar o comando PASV. Esse problema foi resolvido por meio de melhorias na validação.

    ID de CVE

    CVE-2015-5912: Amit Klein

  • CFNetwork HTTPProtocol

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um invasor com posição de rede privilegiada pode interceptar o tráfego de rede

    Descrição: havia um problema no processamento de entradas de lista de pré-carregamento de HSTS no modo de navegação privada do Safari. Esse problema foi resolvido por meio de melhorias no processamento de estado.

    ID de CVE

    CVE-2015-5859: Rosario Giustolisi, da University of Luxemburgo

  • CFNetwork Proxies

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: a conexão a um proxy da web malicioso pode definir cookies maliciosos para um site

    Descrição: havia um problema no processamento de respostas de conexão de proxy. Esse problema foi resolvido removendo o cabeçalho Set-Cookie ao analisar a resposta de conexão.

    ID de CVE

    CVE-2015-5841: Xiaofeng Zheng, do Blue Lotus Team, Tsinghua University

  • CFNetwork SSL

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um invasor com uma posição de rede privilegiada pode interceptar as conexões SSL/TLS

    Descrição: havia um problema de validação do certificado em NSURL quando um certificado era alterado. Esse problema foi resolvido por meio de melhorias na validação do certificado.

    ID de CVE

    CVE-2015-5824: Timothy J. Wood, do The Omni Group

  • CFNetwork SSL

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um invasor pode ser capaz de decodificar dados protegidos por SSL

    Descrição: há ataques conhecidos na confidencialidade do RC4. Um invasor podia forçar o uso do RC4, mesmo que o servidor preferisse cifras melhores, ao bloquear conexões TLS 1.0 e mais altas até que o CFNetwork tentasse SSL 3.0, que permite somente RC4. Esse problema foi resolvido removendo o fallback para SSL 3.0.

  • CoreAnimation

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um aplicativo malicioso pode causar vazamento de informações confidenciais do usuário

    Descrição: aplicativos conseguiam acessar o framebuffer da tela enquanto estavam em segundo plano. Esse problema foi resolvido com melhorias no controle de acesso em IOSurfaces.

    ID de CVE

    CVE-2015-5880: Jin Han, Su Mon Kywe, Qiang Yan, Robert Deng, Debin Gao, Yingjiu Li, da School of Information Systems Singapore Management University, Feng Bao e Jianying Zhou, do Cryptography and Security Department Institute for Infocomm Research

  • CoreCrypto

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um invasor pode identificar uma chave privada

    Descrição: ao observar várias tentativas de início de sessão ou de decodificação, um invasor podia definir e identificar a chave privada RSA. Esse problema foi resolvido por meio de melhorias nos algoritmos de criptografia.

  • CoreText

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: processar um arquivo de fonte criado com códigos maliciosos pode causar a execução arbitrária de códigos

    Descrição: havia um problema de corrupção de memória no processamento de arquivos de fonte. Esse problema foi resolvido por meio de melhorias na validação de entradas.

    ID de CVE

    CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team

  • Mecanismo Detectores de Dados

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: processar um arquivo de texto criado com códigos maliciosos pode resultar na execução arbitrária de códigos

    Descrição: havia problemas de corrupção de memória no processamento de arquivos de texto. Esses problemas foram resolvidos por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2015-5829: M1x7e1, do Safeye Team (www.safeye.org)

  • Dev Tools

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um aplicativo malicioso pode causar a execução arbitrária de códigos com privilégios de sistema

    Descrição: havia um problema de corrupção de memória no dyld. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-5876: beist, da grayhash

  • Imagens de disco

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um usuário local pode causar a execução arbitrária de códigos com privilégios de sistema

    Descrição: havia um problema de corrupção de memória no DiskImages. Esse problema foi resolvido por meio de melhorias no processamento da memória.

    ID de CVE

    CVE-2015-5847: Filippo Bigarella, Luca Todesco

  • dyld

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um aplicativo pode ignorar a assinatura de códigos

    Descrição: havia um problema na validação da assinatura de códigos de executáveis. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team

  • Game Center

    • Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

      Impacto: um aplicativo malicioso do Game Center pode acessar o endereço de e-mail de um jogador

      Descrição: havia um problema no Game Center no processamento do e-mail de um jogador. Esse problema foi resolvido por meio de melhorias nas restrições de acesso.

      ID de CVE

      CVE-2015-5855: Nasser Alnasser

  • ICU

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: várias vulnerabilidades no ICU

    Descrição: havia diversas vulnerabilidades nas versões do ICU anteriores à 53.1.0. Esses problemas foram resolvidos com a atualização do ICU para a versão 55.1.

    ID de CVE

    CVE-2014-8146: Marc Deslauriers

    CVE-2014-8147: Marc Deslauriers

    CVE-2015-5922: Mark Brand, do Google Project Zero

  • IOAcceleratorFamily

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um aplicativo com código malicioso pode determinar o layout de memória do kernel

    Descrição: havia um problema que causava a divulgação do conteúdo da memória do kernel. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2015-5834: Cererdlong, da equipe da Alibaba Mobile Security

  • IOAcceleratorFamily

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um usuário local pode causar a execução arbitrária de códigos com privilégios de sistema

    Descrição: havia um problema de memória corrompida no IOAcceleratorFamily. Esse problema foi resolvido por meio de melhorias no processamento da memória.

    ID de CVE

    CVE-2015-5848: Filippo Bigarella

  • IOHIDFamily

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um aplicativo malicioso pode causar a execução arbitrária de códigos com privilégios de sistema

    Descrição: havia um problema de corrupção de memória no IOHIDFamily. Esse problema foi resolvido por meio de melhorias no processamento da memória.

    ID de CVE

    CVE-2015-5867: moony li, da Trend Micro

  • IOKit

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um aplicativo malicioso pode causar a execução arbitrária de códigos com privilégios de sistema

    Descrição: havia um problema de memória corrompida no kernel. Esse problema foi resolvido por meio de melhorias no processamento da memória.

    ID de CVE

    CVE-2015-5844: Filippo Bigarella

    CVE-2015-5845: Filippo Bigarella

    CVE-2015-5846: Filippo Bigarella

  • IOMobileFrameBuffer

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um usuário local pode causar a execução arbitrária de códigos com privilégios de sistema

    Descrição: havia um problema de corrupção de memória no IOMobileFrameBuffer. Esse problema foi resolvido por meio de melhorias no processamento da memória.

    ID de CVE

    CVE-2015-5843: Filippo Bigarella

  • IOStorageFamily

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um invasor local pode ler a memória do kernel

    Descrição: havia um problema de inicialização da memória no kernel. Esse problema foi resolvido por meio de melhorias no processamento da memória.

    ID de CVE

    CVE-2015-5863: Ilja van Sprundel, da IOActive

  • iTunes Store

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: as credenciais do ID Apple podem permanecer nas chaves ao finalizar a sessão

    Descrição: havia um problema na exclusão das chaves. Esse problema foi resolvido por meio de melhorias na limpeza da conta.

    ID de CVE

    CVE-2015-5832: Kasif Dekel, da Check Point Software Technologies

  • JavaScriptCore

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: acessar um site criado com códigos maliciosos pode causar a execução arbitrária de códigos

    Descrição: havia problemas de corrupção de memória no WebKit. Esses problemas foram resolvidos por meio de melhorias no processamento da memória.

    ID de CVE

    CVE-2015-5791: Apple

    CVE-2015-5793: Apple

    CVE-2015-5814: Apple

    CVE-2015-5816: Apple

    CVE-2015-5822: Mark S. Miller, do Google

    CVE-2015-5823: Apple

  • Kernel

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um usuário local pode executar códigos arbitrários com privilégios de kernel

    Descrição: havia um problema de memória corrompida no kernel. Esse problema foi resolvido por meio de melhorias no processamento da memória.

    ID de CVE

    CVE-2015-5868: Cererdlong, da equipe da Alibaba Mobile Security

    CVE-2015-5896: Maxime Villard, da m00nbsd

    CVE-2015-5903: CESG

    Entrada atualizada em 21 de dezembro de 2016

  • Kernel

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um invasor local pode controlar o valor de cookies na pilha

    Descrição: havia vários pontos fracos da geração de cookies na pilha do espaço do usuário. Esse problema foi resolvido por meio de melhorias na geração de cookies na pilha.

    ID de CVE

    CVE-2013-3951: Stefan Esser

  • Kernel

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um processo local pode modificar outros processos sem verificações de direitos

    Descrição: havia um problema em que processos principais usando o API processor_set_tasks tinham permissão de recuperar as portas de tarefa de outros processos. Esse problema foi resolvido por meio de melhorias na verificação de direitos.

    ID de CVE

    CVE-2015-5882: Pedro Vilaça, trabalhando em pesquisa original de Ming-chieh Pan e Sung-ting Tsai; Jonathan Levin

  • Kernel

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um invasor pode lançar ataques de negação de serviço em conexões TCP direcionadas sem saber o número de sequência correta

    Descrição: havia um problema na validação de xnu de cabeçalhos de pacotes TCP. Esse problema foi resolvido por meio de melhorias na validação de cabeçalhos de pacotes TCP.

    ID de CVE

    CVE-2015-5879: Jonathan Looney

  • Kernel

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: um invasor em um segmento de LAN local pode desativar o roteador IPv6

    Descrição: havia um problema de validação insuficiente no processamento de anúncios do roteador IPv6 que permitia que um invasor definisse o limite de saltos para um valor arbitrário. Esse problema foi resolvido aplicando um limite mínimo de saltos.

    ID de CVE

    CVE-2015-5869: Dennis Spindel Ljungmark

  • Kernel

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um usuário local pode definir o layout de memória do kernel

    Descrição: havia um problema no XNU que causava a divulgação da memória do kernel. Esse problema foi resolvido por meio de melhorias na inicialização de estruturas da memória do kernel.

    ID de CVE

    CVE-2015-5842: beist, da grayhash

  • Kernel

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um usuário local pode causar uma negação de serviço do sistema

    Descrição: havia um problema na instalação do drive HFS. Esse problema foi resolvido por meio de verificações de validação adicionais.

    ID de CVE

    CVE-2015-5748: Maxime VILLARD, do m00nbsd

  • libc

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um invasor remoto pode executar códigos arbitrários

    Descrição: havia um problema de corrupção de memória na função fflush. Esse problema foi resolvido por meio de melhorias no processamento da memória.

    ID de CVE

    CVE-2014-8611: Adrian Chadd e Alfred Perlstein, da Norse Corporation

  • libpthread

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um usuário local pode executar códigos arbitrários com privilégios de kernel

    Descrição: havia um problema de memória corrompida no kernel. Esse problema foi resolvido por meio de melhorias no processamento da memória.

    ID de CVE

    CVE-2015-5899: Lufeng Li, da Qihoo 360 Vulcan Team

  • Mail

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um invasor pode enviar um e-mail que parece vir de um contato da agenda do destinatário

    Descrição: havia um problema no gerenciamento do endereço do remetente. Esse problema foi resolvido por meio de melhorias na validação.

    ID de CVE

    CVE-2015-5857: Emre Saglam, do salesforce.com

  • Multipeer Connectivity

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um invasor local pode observar dados de multipeer não protegidos

    Descrição: havia um problema no processamento do inicializador de conveniência no qual era possível fazer ativamente o downgrade da criptografia para uma sessão não criptografada. Esse problema foi resolvido ao alterar o inicializador de conveniência para exigir criptografia.

    ID de CVE

    CVE-2015-5851: Alban Diquet (@nabla_c0d3), da Data Theorem

  • NetworkExtension

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um aplicativo com código malicioso pode determinar o layout de memória do kernel

    Descrição: um problema de memória não inicializada no kernel levou à divulgação de conteúdo da memória do Kernel. Esse problema foi resolvido por meio de inicialização da memória.

    ID de CVE

    CVE-2015-5831: Maxime VILLARD, do m00nbsd

  • OpenSSL

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: várias vulnerabilidades no OpenSSL

    Descrição: havia várias vulnerabilidades em versões do OpenSSL anteriores à 0.9.8zg. Esses problemas foram resolvidos com a atualização do OpenSSL para a versão 0.9.8zg.

    ID de CVE

    CVE-2015-0286

    CVE-2015-0287

  • PluginKit

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um aplicativo empresarial malicioso pode instalar extensões antes que o aplicativo seja confiável

    Descrição: havia um problema na validação de extensões durante a instalação. Esse problema foi resolvido por meio de melhorias na verificação de apps.

    ID de CVE

    CVE-2015-5837: Zhaofeng Chen, Hui Xue e Tao (Lenx) Wei, da FireEye, Inc.

  • removefile

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: o processamento de dados maliciosos pode levar ao encerramento inesperado de aplicativos

    Descrição: havia uma falha de excesso nas rotinas de divisão do checkint. Esse problema foi resolvido com melhorias nas rotinas de divisão.

    ID de CVE

    CVE-2015-5840: pesquisador anônimo

  • Safari

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um usuário local pode ler os favoritos do Safari em um dispositivo iOS bloqueado sem o código de acesso

    Descrição: os dados dos favoritos do Safari estavam criptografados com uma chave protegida somente pelo UID de hardware. Esse problema foi resolvido por meio da criptografia dos dados dos favoritos do Safari com uma chave protegida pelo UID de hardware e pelo código de acesso do usuário.

    ID de CVE

    CVE-2015-7118: Jonathan Zdziarski

    Entrada atualizada em 21 de dezembro de 2016

  • Safari

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: acessar um site malicioso pode levar à falsificação da interface de usuário

    Descrição: um problema pode ter permitido que um site exibisse conteúdo com o URL de um site diferente. Esse problema foi resolvido por meio de melhorias no processamento de URLs.

    ID de CVE

    CVE-2015-5904: Erling Ellingsen, do Facebook, Łukasz Pilorz

  • Safari

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: acessar um site malicioso pode levar à falsificação da interface de usuário

    Descrição: acessar um site malicioso com um abridor de janela inválido pode ter permitido a exibição de URLs arbitrários. Esse problema foi resolvido por meio de melhorias no gerenciamento de abridores de janela.

    ID de CVE

    CVE-2015-5905: Keita Haga, do keitahaga.com

  • Safari

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: os usuários podem ser rastreados por sites maliciosos usando certificados de clientes

    Descrição: havia um problema na correspondência de certificados de clientes para autenticação SSL no Safari. Esse problema foi resolvido por meio de melhorias na correspondência de certificados de clientes válidos.

    ID de CVE

    CVE-2015-1129: Stefan Kraus, da fluid Operations AG, e Sylvain Munaut, da Whatever s.a.

  • Safari

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: acessar um site malicioso pode levar à falsificação da interface de usuário

    Descrição: várias inconsistências na interface de usuário podem ter permitido que um site malicioso exibisse um URL arbitrário. Esses problemas foram resolvidos por meio de melhorias na lógica de exibição de URLs.

    • ID de CVE

      CVE-2015-5764: Antonio Sanso (@asanso), da Adobe

      CVE-2015-5765: Ron Masas

      CVE-2015-5767: Krystian Kloskowski via Secunia, Masato Kinugawa

  • Navegação segura do Safari

    iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: acessar um endereço IP de um site malicioso conhecido pode não ativar um alerta de segurança

    Descrição: o recurso de navegação segura do Safari não alertou os usuários que acessaram sites maliciosos conhecidos por seus endereços IP. O problema foi resolvido por meio de melhorias na detecção de sites maliciosos.

    Rahul M, da TagsDock

  • Segurança

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um app malicioso pode interceptar a comunicação entre apps

    Descrição: havia um problema que permitia que um app malicioso interceptasse a comunicação de esquema de URL entre apps. Esse problema foi minimizado pela exibição de uma caixa de diálogo quando um esquema de URL é usado pela primeira vez.

    ID de CVE

    CVE-2015-5835: Teun van Run, da FiftyTwoDegreesNorth B.V.; XiaoFeng Wang, da Indiana University, Luyi Xing, da Indiana University, Tongxin Li, da Peking University, Tongxin Li, da Peking University, Xiaolong Bai, da Tsinghua University

  • Siri

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: uma pessoa com acesso físico a um dispositivo iOS pode usar a Siri para ler notificações de conteúdo definidas para não serem exibidas na tela bloqueada

    Descrição: quando uma solicitação era feita à Siri, as restrições do cliente não eram verificadas pelo servidor. Esse problema foi resolvido por meio de melhorias na verificação de restrições.

    ID de CVE

    CVE-2015-5892: Robert S Mozayeni, Joshua Donvito

  • SpringBoard

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: uma pessoa com acesso físico a um dispositivo iOS pode responder a uma mensagem de áudio pela tela bloqueada quando as pré-visualizações de mensagens na tela bloqueada estão desativadas

    Descrição: um problema com a tela bloqueada permitia que os usuários respondessem a mensagens de áudio quando as pré-visualizações de mensagens estavam desativadas. Esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

    ID de CVE

    CVE-2015-5861: Daniel Miedema, da Meridian Apps

  • SpringBoard

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um aplicativo malicioso pode falsificar as janelas de caixa de diálogo de outro aplicativo

    Descrição: havia um problema de acesso com chamadas de API privilegiadas. Esse problema foi resolvido por meio de restrições adicionais.

    ID de CVE

    CVE-2015-5838: Min (Spark) Zheng, Hui Xue, Tao (Lenx) Wei, John C.S. Lui

  • SQLite

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: diversas vulnerabilidades no SQLite versão 3.8.5

    Descrição: havia diversas vulnerabilidades no SQLite versão 3.8.5. Esses problemas foram resolvidos com a atualização para a versão 3.8.10.2 do SQLite.

    ID de CVE

    CVE-2015-3414

    CVE-2015-3415

    CVE-2015-3416

  • tidy

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: acessar um site criado com códigos maliciosos pode causar a execução arbitrária de códigos

    Descrição: havia um problema de corrupção de memória no Tidy. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-5522: Fernando Muñoz, do NULLGroup.com

    CVE-2015-5523: Fernando Muñoz, do NULLGroup.com

  • WebKit

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: referências de objetos podem causar vazamento entre origens isoladas em eventos personalizados, eventos de mensagem e eventos de estado pop

    Descrição: um problema de vazamento de objetos rompeu o limite de isolamento entre origens. Esse problema foi resolvido por meio de melhorias no isolamento entre origens.

    ID de CVE

    CVE-2015-5827: Gildas

  • WebKit

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: acessar um site criado com códigos maliciosos pode causar a execução arbitrária de códigos

    Descrição: havia problemas de corrupção de memória no WebKit. Esses problemas foram resolvidos por meio de melhorias no processamento da memória.

    ID de CVE

    CVE-2015-5789: Apple

    CVE-2015-5790: Apple

    CVE-2015-5792: Apple

    CVE-2015-5794: Apple

    CVE-2015-5795: Apple

    CVE-2015-5796: Apple

    CVE-2015-5797: Apple

    CVE-2015-5799: Apple

    CVE-2015-5800: Apple

    CVE-2015-5801: Apple

    CVE-2015-5802: Apple

    CVE-2015-5803: Apple

    CVE-2015-5804: Apple

    CVE-2015-5805

    CVE-2015-5806: Apple

    CVE-2015-5807: Apple

    CVE-2015-5809: Apple

    CVE-2015-5810: Apple

    CVE-2015-5811: Apple

    CVE-2015-5812: Apple

    CVE-2015-5813: Apple

    CVE-2015-5817: Apple

    CVE-2015-5818: Apple

    CVE-2015-5819: Apple

    CVE-2015-5821: Apple

  • WebKit

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: acessar um site malicioso pode resultar em discagem não esperada

    Descrição: havia um problema no processamento das URLs tel://, facetime:// e facetime-audio://. Esse problema foi resolvido por meio de melhorias no processamento de URLs.

    ID de CVE

    CVE-2015-5820: Andrei Neculaesei, Guillaume Ross

  • WebKit

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: o QuickType pode aprender o último caractere de uma senha em um formulário da web preenchido

    Descrição: havia um problema no gerenciamento do contexto de entrada de senha do WebKit. Esse problema foi resolvido por meio de melhorias no gerenciamento de contexto de entrada.

    ID de CVE

    CVE-2015-5906: Louis Romero, da Google Inc.

  • WebKit

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um invasor em uma posição de rede privilegiada pode redirecionar para um domínio malicioso

    Descrição: havia um problema no gerenciamento de caches de recursos em sites com certificados inválidos. Esse problema foi resolvido ao rejeitar o cache do aplicativo de domínios com certificados inválidos.

    ID de CVE

    CVE-2015-5907: Yaoqi Jia, da National University of Singapore (NUS)

  • WebKit

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um site malicioso pode extrair dados de origem cruzada

    Descrição: o Safari permitia o carregamento de folhas de estilo de origem cruzada com tipos MIME não CSS que podiam ser usadas para extrair dados de origem cruzada. Esse problema foi resolvido limitando os tipos MIME para folhas de estilo de origem cruzada.

    ID de CVE

    CVE-2015-5826: filedescriptor, Chris Evans

  • WebKit

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: o API Performance pode permitir o vazamento do histórico de navegação, atividade da rede e movimentos do mouse em um site malicioso

    Descrição: o API Performance do WebKit pode ter permitido o vazamento do histórico de navegação, atividade da rede e movimentos do mouse em um site malicioso por meio da medição do tempo. Esse problema foi resolvido ao limitar a resolução de tempo.

    ID de CVE

    CVE-2015-5825: Yossi Oren et al. do Network Security Lab da Universidade Columbia

  • WebKit

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um invasor em uma posição de rede privilegiada pode causar o vazamento de informações confidenciais do usuário

    Descrição: havia um problema nos cabeçalhos "Disposição de Conteúdo" contendo anexo de tipo. Esse problema foi resolvido ao desativar alguns recursos para páginas do anexo de tipo.

    ID de CVE

    CVE-2015-5921: Mickey Shkatov, da Intel(r) Advanced Threat Research Team, Daoyuan Wu, da Singapore Management University, Rocky K. C. Chang, da Hong Kong Polytechnic University, Łukasz Pilorz, superhei do www.knownsec.com

  • WebKit Canvas

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: acessar um site malicioso pode divulgar dados de imagem de outro site

    Descrição: havia um problema de origem cruzada com imagens de elementos de "tela" no WebKit. Esse problema foi resolvido por meio de melhorias no rastreamento de origens de segurança.

    ID de CVE

    CVE-2015-5788: Apple

  • Carregamento de página do WebKit

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: o WebSockets pode ignorar a imposição da política de conteúdo misto

    • Descrição: um problema de imposição insuficiente de política permitia que o WebSockets carregasse conteúdo misto. Esse problema foi resolvido ao estender a imposição da política de conteúdo misto para o WebSockets.

      Kevin G. Jones, da Higher Logic

O FaceTime não está disponível em todos os países ou regiões.

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: