Sobre o conteúdo de segurança do iPhone 2.0 e iPod touch 2.0.

Este documento descreve o conteúdo de segurança do iPhone 2.0 e iPod touch 2.0

Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e as correções ou versões necessárias estejam disponíveis. Para saber mais sobre a segurança dos produtos Apple, acesse o site Segurança dos produtos Apple.

Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo "Como usar a Chave PGP de Segurança do Produto Apple".

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras Atualizações de Segurança, consulte "Atualizações de Segurança da Apple".

iPhone 2.0 e iPod touch 2.0

  • CFNetwork

    CVE-ID: CVE-2008-0050

    Disponibilidade: do iPhone 1.0 a 1.1.4, do iPod touch 1.1 a 1.1.4

    Impacto: um servidor proxy malicioso pode interceptar sites seguros

    Descrição: um servidor proxy HTTPS criado com códigos maliciosos pode gerar dados arbitrários ao CFNetwork em um erro de Gateway inválido 502, o que poderia permitir a interceptação de um site seguro. Esta atualização resolve o problema por não gerar os dados fornecidos pelo proxy em uma condição de erro.

  • Kernel

    CVE-ID: CVE-2008-0177

    Disponibilidade: do iPhone 1.0 a 1.1.4, do iPod touch 1.1 a 1.1.4

    Impacto: um invasor remoto pode causar uma reinicialização inesperada do dispositivo

    Descrição: há uma condição de falha não detectada no processamento de pacotes com cabeçalho IPComp. Enviar um pacote criado com códigos maliciosos a um sistema configurado para usar IPSec ou IPv6 pode causar a redefinição inesperada do dispositivo. Esta atualização resolve o problema por meio da detecção correta da condição de falha.

  • Safari

    CVE-ID: CVE-2008-1588

    Disponibilidade: do iPhone 1.0 a 1.1.4, do iPod touch 1.1 a 1.1.4

    Impacto: espaços ideográficos Unicode podem ser usados para interceptar um site

    Descrição: quando o Safari exibe o URL atual na barra de endereço, os espaços ideográficos Unicode são processados. Isso permite que um site criado com códigos maliciosos direcione o usuário a um site interceptado que visualmente parece ser um domínio legítimo. Esta atualização resolve o problema por não processar os espaços ideográficos Unicode na barra de endereço.

  • Safari

    CVE-ID: CVE-2008-1589

    Disponibilidade: do iPhone 1.0 a 1.1.4, do iPod touch 1.1 a 1.1.4

    Impacto: acessar um site criado com códigos maliciosos pode causar a divulgação de informações confidenciais

    Descrição: quando o Safari acessa um site que usa um certificado autoassinado ou inválido, ele solicita ao usuário que aceite ou rejeite o certificado. Se o usuário pressionar o botão do menu durante a solicitação, no próximo acesso ao site, o certificado será aceito sem solicitação. Isso pode levar à divulgação de informações confidenciais. Esta atualização resolve o problema por meio da melhoria no tratamento de certificados. Agradecemos a Hiromitsu Takagi por comunicar o problema.

  • Safari

    CVE-ID: CVE-2008-2303

    Disponibilidade: do iPhone 1.0 a 1.1.4, do iPod touch 1.1 a 1.1.4

    Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: um problema de assinatura no processamento de índices de matriz do JavaScript pelo Safari pode resultar em um acesso à memória fora dos limites. Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esta atualização resolve o problema por meio de uma validação adicional de índices de matriz do JavaScript. Agradecemos a SkyLined do Google por comunicar o problema.

  • Safari

    CVE-ID: CVE-2006-2783

    Disponibilidade: do iPhone 1.0 a 1.1.4, do iPod touch 1.1 a 1.1.4

    Impacto: acessar um site criado com códigos maliciosos pode causar a emissão de scripts entre sites

    Descrição: o Safari ignora sequências de marcação de ordem de bytes Unicode ao analisar páginas da Internet. Determinados filtros de sites e de conteúdo da Internet tentam limpar a entrada bloqueando tags HTML específicas. Esse método de filtragem pode ser ignorado, o que pode causar a emissão de scripts entre sites ao encontrar tags HTML criadas com códigos maliciosos que contêm sequências de marcação de ordem de bytes. Esta atualização resolve o problema por meio do processamento aprimorado de sequências de marcação de ordem de bytes. Agradecemos a Chris Weber da Casaba Security LLC por comunicar o problema.

  • Safari

    CVE-ID: CVE-2008-2307

    Disponibilidade: do iPhone 1.0 a 1.1.4, do iPod touch 1.1 a 1.1.4

    Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: existe um problema de memória corrompida no processamento do WebKit em relação a conjuntos de JavaScript. Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esta atualização resolve o problema por meio de uma verificação de limites aprimorada. Agradecemos a James Urquhart por comunicar o problema.

  • Safari

    CVE-ID: CVE-2008-2317

    Disponibilidade: do iPhone 1.0 a 1.1.4, do iPod touch 1.1 a 1.1.4

    Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: existe um problema de memória corrompida no processamento de elementos de folha de estilo pelo WebCore. Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esta atualização resolve o problema por meio da coleta aprimorada de lixo. Agradecemos a um pesquisador anônimo, em parceria com a Zero Day Initiative da TippingPoint, por comunicar o problema.

  • Safari

    CVE-ID: CVE-2007-6284

    Disponibilidade: do iPhone 1.0 a 1.1.4, do iPod touch 1.1 a 1.1.4

    Impacto: o processamento de um documento XML pode causar uma negação de serviço

    Descrição: existe um problema de consumo de memória no processamento de documentos XML com sequências UTF-8 inválidas, o que pode causar uma negação de serviço. Esta atualização resolve o problema por meio da atualização da biblioteca de sistema libxml2 para a versão 2.6.16.

  • Safari

    CVE-ID: CVE-2008-1767

    Disponibilidade: do iPhone 1.0 a 1.1.4, do iPod touch 1.1 a 1.1.4

    Impacto: o processamento de um documento XML pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: existe um problema de memória corrompida na biblioteca libxslt. Visualizar uma página HTML criada com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Informações adicionais sobre a correção aplicada podem ser encontradas no site da xmlsoft.org (http://xmlsoft.org/XSLT/). Agradecemos a Anthony de Almeida Lopes, da Outpost24 AB, e a Chris Evans, da Google Security Team, por comunicar o problema.

  • WebKit

    CVE-ID: CVE-2008-1590

    Disponibilidade: do iPhone 1.0 a 1.1.4, do iPod touch 1.1 a 1.1.4

    Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: existe um problema de memória corrompida no processamento da coleta de lixo de tempo de execução pelo JavaScriptCore. Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esta atualização resolve o problema por meio da coleta aprimorada de lixo. Agradecemos a Itzik Kotler e a Jonathan Rom, da Radware, por comunicar o problema.

  • WebKit

    CVE-ID: CVE-2008-1025

    Disponibilidade: do iPhone 1.0 a 1.1.4, do iPod touch 1.1 a 1.1.4

    Impacto: acessar um URL criado com códigos maliciosos pode resultar na emissão de script entre sites

    Descrição: existe um problema no processamento que o WebKit faz de URLs com o caractere dois pontos no nome do host. Acessar um URL criado com códigos maliciosos pode causar um ataque de emissão de script entre os sites. Esta atualização resolve o problema por meio do processamento aprimorado de URLs. Agradecemos a Robert Swiecki, da Google Security Team, e a David Bloom por comunicarem o problema.

  • WebKit

    CVE-ID: CVE-2008-1026

    Disponibilidade: do iPhone 1.0 a 1.1.4, do iPod touch 1.1 a 1.1.4

    Impacto: visualizar uma página da Internet criada com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: ocorre um estouro de buffer de pilha na forma como o WebKit lida com as expressões regulares do Java. O problema pode ser acionado via JavaScript ao processar expressões regulares com grandes contagens de repetição aninhadas. Isso pode levar a um encerramento inesperado do aplicativo ou à execução arbitrária de códigos. Essa atualização soluciona o problema por meio de uma validação adicional de expressões regulares JavaScript. Agradecemos a Charlie Miller da Independent Security Evaluators por comunicar o problema.

Importante: a menção a sites e produtos de terceiros tem fins somente informativos e não constitui aprovação nem recomendação. A Apple não assume responsabilidade pela seleção, pelo desempenho nem pelo uso de informações ou produtos disponíveis em sites de terceiros. A Apple fornece essas informações somente como cortesia para os usuários. A Apple não testou as informações disponíveis nesses sites e não garante sua precisão ou confiabilidade. O uso de quaisquer informações ou produtos disponíveis na Internet implica riscos, pelos quais a Apple não se responsabiliza. É importante compreender que sites de terceiros são independentes da Apple e que a Apple não tem controle sobre o conteúdo neles exibido. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: