Sobre o conteúdo de segurança da Atualização do iPhone 1.1.1
Este documento descreve o conteúdo de segurança da Atualização do iPhone 1.1.1.
Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e as correções ou versões necessárias estejam disponíveis. Para saber mais sobre a segurança dos produtos Apple, acesse o site Segurança dos produtos Apple.
Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo "Como usar a Chave PGP de Segurança do Produto Apple".
Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.
Para saber mais sobre outras Atualizações de Segurança, consulte "Atualizações de Segurança da Apple".
Atualização do iPhone 1.1.1
Bluetooth
CVE-ID: CVE-2007-3753
Impacto: um invasor no alcance Bluetooth pode causar o encerramento inesperado de aplicativos ou a execução de códigos arbitrários.
Descrição: existe um problema de validação de entrada no servidor Bluetooth do iPhone. Ao enviar pacotes SDP (Service Discovery Protocol) maliciosamente criados para um iPhone com Bluetooth ativado, um invasor pode desencadear o problema, o que pode levar ao encerramento inesperado do aplicativo ou à execução arbitrária de códigos. Essa atualização soluciona o problema por meio de uma validação adicional de pacotes SDP. Crédito a Kevin Mahaffey e John Hering, da Flexilis Mobile Security, por relatarem esse problema.
CVE-ID: CVE-2007-3754
Impacto: verificar e-mails em redes não confiáveis pode levar à divulgação de informações por meio de um ataque "man-in-the-middle".
Descrição: quando o Mail está configurado para usar SSL para conexões de entrada e saída, ele não avisa o usuário quando a identidade do servidor de e-mail mudou ou não pode ser confiável. Um invasor capaz de interceptar a conexão pode se passar pelo servidor de e-mail do usuário e obter as credenciais de e-mail do usuário ou outras informações confidenciais. Essa atualização soluciona o problema avisando corretamente quando a identidade do servidor de e-mail remoto mudou.
CVE-ID: CVE-2007-3755
Impacto: seguir um link de telefone ("tel:") no Mail discará um número de telefone sem confirmação.
Descrição: o Mail é compatível com links de telefone ("tel:") para discar números de telefone. Ao induzir um usuário a seguir um link telefônico em uma mensagem de e-mail, um invasor pode fazer com que o iPhone faça uma chamada sem a confirmação do usuário. Essa atualização soluciona o problema fornecendo uma janela de confirmação antes de discar um número de telefone por meio de um link telefônico no Mail. Crédito a Andi Baritchi da McAfee por relatar esse problema.
Safari
CVE-ID: CVE-2007-3756
Impacto: acessar um site que contém códigos maliciosos pode levar à divulgação do conteúdo do URL.
Descrição: um problema no design no Safari permite que uma página da web leia o URL que está sendo visualizado na janela principal. Ao induzir um usuário a visitar uma página da web criada com códigos maliciosos, um invasor pode ser capaz de obter a URL de uma página não relacionada. Essa atualização soluciona o problema por meio de uma verificação aprimorada de segurança entre domínios. Crédito a Michal Zalewski da Google Inc. e Secunia Research por relatar esse problema.
Safari
CVE-ID: CVE-2007-3757
Impacto: acessar um site malicioso pode levar a discagem não intencional ou discagem de um número diferente do esperado.
Descrição: o Safari é compatível com links de telefone ("tel:") para discar números de telefone. Quando um link telefônico é selecionado, o Safari confirmará que o número deve ser discado. Um link telefônico criado maliciosamente pode fazer com que um número diferente seja exibido durante a confirmação do que o realmente discado. Sair do Safari durante o processo de confirmação pode resultar em confirmação não intencional. Essa atualização resolve o problema exibindo corretamente o número que será discado e exigindo confirmação para links telefônicos. Crédito a Billy Hoffman e Bryan Sullivan do HP Security Labs (anteriormente SPI Labs) e Eduardo Tang por relatarem esse problema.
Safari
CVE-ID: CVE-2007-3758
Impacto: acessar um site que contém códigos maliciosos pode resultar em scripts entre sites.
Descrição: existe uma vulnerabilidade de scripts entre sites no Safari que permite que sites maliciosos definam propriedades de janela JavaScript de sites processados a partir de um domínio diferente. Ao induzir um usuário a acessar um site criado com códigos maliciosos, um invasor pode acionar o problema, resultando na obtenção ou definição do status da janela e a localização das páginas veiculadas de outros sites. Essa atualização resolve o problema, fornecendo controles de acesso aprimorados nessas propriedades. Crédito a Michal Zalewski da Google Inc. por relatar esse problema.
Safari
CVE-ID: CVE-2007-3759
Impacto: desativar o JavaScript não entra em vigor até que o Safari seja reiniciado.
Descrição: o Safari pode ser configurado para ativar ou desativar o JavaScript. Essa preferência não entra em vigor até a próxima vez que o Safari for reiniciado. Isso geralmente ocorre quando o iPhone é reiniciado. Isso pode induzir os usuários a acreditar que o JavaScript está desativado quando não está. Essa atualização resolve o problema aplicando a nova preferência antes de carregar novas páginas da web.
Safari
CVE-ID: CVE-2007-3760
Impacto: acessar um site que contém códigos maliciosos pode resultar em scripts entre sites.
Descrição: um problema de script entre sites no Safari permite que um site criado com códigos maliciosos ignore a política de mesma origem usando tags "frame". Ao induzir um usuário a acessar uma página da web criada com códigos maliciosos, um invasor pode desencadear o problema, o que pode levar à execução de JavaScript no contexto de outro site. Essa atualização resolve o problema ao não permitir o JavaScript como fonte "iframe" e limitar o JavaScript em tags de "frame" ao mesmo acesso que o site a partir do qual foi atendido. Crédito a Michal Zalewski da Google Inc. e Secunia Research por relatar esse problema.
Safari
CVE-ID: CVE-2007-3761
Impacto: acessar um site que contém códigos maliciosos pode resultar em scripts entre sites.
Descrição: um problema de script entre sites no Safari permite que eventos JavaScript sejam associados ao quadro errado. Ao induzir um usuário a acessar uma página da web criada com códigos maliciosos, um invasor pode causar a execução de JavaScript no contexto de outro site. Essa atualização resolve o problema associando eventos JavaScript ao quadro de origem correto.
Safari
CVE-ID: CVE-2007-4671
Impacto: JavaScript em sites pode acessar ou manipular o conteúdo de documentos atendidos por HTTPS.
Descrição: um problema no Safari permite que o conteúdo processado por HTTP altere ou acesse o conteúdo veiculado por HTTPS no mesmo domínio. Ao induzir um usuário a visitar uma página da web criada de forma mal-intencionada, um invasor pode causar a execução de JavaScript no contexto de páginas da web HTTPS nesse domínio. Essa atualização resolve o problema limitando o acesso entre o JavaScript em execução em quadros HTTP e HTTPS. Crédito a Keigo Yamazaki da LAC Co., Ltd. (Little eArth Corporation Co., Ltd.) por relatar esse problema.
Nota de instalação:
Essa atualização está disponível apenas através do iTunes e não aparecerá no aplicativo de Atualização de Software do seu computador ou no site de Downloads da Apple. Certifique-se de ter uma conexão com a Internet e de ter instalado a versão mais recente do iTunes de www.apple.com/br/itunes.
O iTunes verifica automaticamente o servidor de atualização da Apple em sua programação semanal. Quando uma atualização for detectada, ela será baixada. Quando o iPhone estiver conectado, o iTunes apresentará ao usuário a opção de instalar a atualização. Recomendamos aplicar a atualização imediatamente, se possível. Selecionar "Não instalar" apresentará a opção na próxima vez que você conectar o iPhone.
O processo de atualização automática pode levar até uma semana, dependendo do dia em que o iTunes verificar se há atualizações. Você pode obter a atualização manualmente através do botão "Verificar Atualização" no iTunes. Depois de fazer isso, a atualização pode ser aplicada quando seu iPhone estiver conectado ao seu computador.
Para verificar se o iPhone foi atualizado:
Acesse Ajustes.
Clique em Geral.
Clique em Sobre. A versão após a aplicação dessa atualização será "1.1.1 (3A109a)".