Sobre o conteúdo de segurança do iPhone 1.1.1 Update

Este documento descreve o conteúdo de segurança do iPhone v1.1.1 Update.

Para fins de proteção de nossos clientes, a Apple não divulga, discute ou confirma problemas de segurança até que uma ampla investigação tenha sido feita e que as correções ou versões necessárias estejam disponíveis. Para saber mais sobre segurança do produto Apple, consulte o site sobre Segurança do produto Apple.

Para obter informações sobre a chave PGP de segurança do produto Apple, consulte Como usar a chave PGP de segurança do produto Apple.

Sempre que possível, serão usadas IDs de CVE para indicar as vulnerabilidades e permitir que o usuário obtenha informações mais detalhadas.

Para saber mais sobre outras atualizações de segurança, consulte Atualizações de segurança da Apple.

iPhone v1.1.1 Update

  • Bluetooth

    ID de CVE: CVE-2007-3753

    Impacto: Um atacante dentro da faixa do Bluetooth pode causar a interrupção inesperada do aplicativo ou a execução descontrolada do código

    Descrição: Existe um problema de validação de entrada no servidor Bluetooth do iPhone. Ao enviar pacotes SDP (Service Discovery Protocol) elaborados com códigos maliciosos para um iPhone habilitado para Bluetooth, um atacante pode disparar o problema, que causará a interrupção inesperada do aplicativo ou a execução descontrolada do código. Esta atualização soluciona o problema por meio de uma validação adicional dos pacotes SDP. Agradecemos a Kevin Mahaffey e a John Hering da Flexilis Mobile Security por reportar este problema.

  • Mail

    ID de CVE: CVE-2007-3754

    Impacto: A verificação de e-mails em redes não confiáveis pode causar a divulgação de informações por meio de um ataque MITM (Man-in-the-middle)

    Descrição: Se o Mail estiver configurado para usar SSL para conexões de entrada e de saída, ele não avisará ao usuário quando a identidade do servidor do correio tiver sido alterada ou não for confiável. Um atacante apto a interceptar a conexão pode ser capaz de personificar o servidor do correio do usuário e obter as credenciais de e-mail do usuário ou outras informações confidenciais. Esta atualização soluciona o problema, avisando apropriadamente sempre que a identidade do servidor de e-mails remoto for alterada.

  • Mail

    ID de CVE: CVE-2007-3755

    Impacto: Seguir um link de telefone ("tel:") no Mail discará um número de telefone sem uma confirmação

    Descrição: O Mail suporta links de telefone ("tel:") para discar números de telefone. Ao estimular o usuário a seguir um link de telefone em uma mensagem de correio, um atacante pode permitir que o iPhone faça uma chamada sem a confirmação do usuário. Esta atualização soluciona o problema, exibindo uma janela de confirmação antes de discar um número por meio do link do Mail. Agradecemos a Andi Baritchi, da McAfee, por reportar este problema.

  • Safari

    ID de CVE: CVE-2007-3756

    Impacto: Visitar um site que contém códigos maliciosos pode causar a divulgação do conteúdo do URL

    Descrição: Existe um problema de design no Safari que permite que uma página da Web leia o URL que está sendo visualizado no momento na janela pai. Ao estimular o usuário a visitar uma página da Web elaborada com códigos maliciosos, um atacante pode conseguir obter o URL de outra página (não relacionada). Esta atualização soluciona o problema por meio de uma verificação aprimorada da segurança entre os domínios. Agrademos a Michal Zalewski (Google Inc. e Secunia Research) por reportar este problema.

  • Safari

    ID de CVE: CVE-2007-3757

    Impacto: Visitar um site elaborado com códigos maliciosos pode causar uma discagem não-intencional ou a discagem de um número diferente do esperado

    Descrição: O Safari suporta links de telefone ("tel:") para discar números de telefone. Quando um link de telefone for selecionado, o Safari confirmará que o número precisa ser discado. Um link de telefone elaborado com códigos maliciosos poderá fazer com que seja exibido um número diferente daquele que foi discado durante a confirmação. Sair do Safari durante o processo de confirmação resultará em uma confirmação não intencional. Esta atualização soluciona o problema, exibindo apropriadamente o número que será discado e solicitando uma confirmação dos links de telefone. Agradecemos a Billy Hoffman, Bryan Sullivan (HP Security Labs, antigo SPI Labs) e a Eduardo Tang por reportarem este problema.

  • Safari

    ID de CVE: CVE-2007-3758

    Impacto: Visitar um site Web que contém códigos maliciosos pode causar a emissão de scripts entre os sites

    Descrição: Existe uma vulnerabilidade de emissão de scripts entre sites no Safari que permite que sites da Web elaborados com códigos maliciosos definam propriedades da janela JavaScript de sites Web apresentados em domínios diferentes. Ao estimular o usuário a visitar um site Web elaborado com códigos maliciosos, um atacante pode disparar o problema, o que permitirá que ele possa obter ou configurar o status e a localização das páginas atendidas por outros sites da Web. Esta atualização soluciona o problema, fornecendo controles de acesso melhorados sobre essas propriedades. Agradecemos a Michal Zalewski (Google Inc.) por reportar este problema.

  • Safari

    ID de CVE: CVE-2007-3759

    Impacto: A desativação do JavaScript não entrará em efeito até que o Safari seja reiniciado

    Descrição: O Safari pode ser configurado para ativar ou desativar o JavaScript. Esta preferência só entrará em efeito na próxima vez em que o Safari for reniciado. Geralmente, isso acontece quando o iPhone é reiniciado. Esta falha pode enganar os usuários e levá-los a acreditar que o JavaScript está desativado, quando não está. Esta atualização soluciona o problema, aplicando a nova preferência antes de carregar novas páginas da Web.

  • Safari

    ID de CVE: CVE-2007-3760

    Impacto: Visitar um site Web que contém códigos maliciosos pode causar a emissão de scripts entre os sites

    Descrição: Um problema de emissão de scripts entre os sites no Safari permite que um site Web elaborado com códigos maliciosos desvie a política de origens iguais por meio do uso de tags "frame". Ao estimular o usuário a visitar uma página Web desenvolvida com códigos maliciosos, o atacante pode disparar o problema que causará a execução do JavaScript no contexto de outro site. Esta atualização soluciona o problema por meio da desautorização do JavaScript como uma origem "iframe", limitando o JavaScript das tags frame ao mesmo site a partir do qual foi gerado. Agrademos a Michal Zalewski (Google Inc. e Secunia Research) por reportar este problema.

  • Safari

    ID de CVE: CVE-2007-3761

    Impacto: Visitar um site Web que contém códigos maliciosos pode causar a emissão de scripts entre os sites

    Descrição: Um problema de emissão de scripts entre sites no Safari permite associar eventos JavaScript ao quadro errado. Ao estimular o usuário a visitar uma página Web desenvolvida com códigos maliciosos, o atacante pode causar a execução do JavaScript no contexto de outro site. Esta atualização soluciona o problema, associando os eventos JavaScript ao quadro de origem correto.

  • Safari

    ID de CVE: CVE-2007-4671

    Impacto: O JavaScript nos sites Web pode acessar ou manipular os conteúdos dos documentos apresentados no HTTPS

    Descrição: Um problema no Safari permite que o conteúdo apresentado no HTTP altere ou acesse conteúdos de HTTPS no mesmo domínio. Ao estimular o usuário a visitar uma página Web desenvolvida com códigos maliciosos, o atacante pode causar a execução do JavaScript no contexto de páginas Web HTTPS daquele domínio. Esta atualização soluciona o problema ao limitar o acesso entre o JavaScript em execução no HTTP e os quadros HTTPS. Agradecemos a Keigo Yamazaki da LAC Co., Ltd. (Little eArth Corporation Co., Ltd.) por reportar este problema.

Nota sobre a instalação:

Esta atualização só está disponível pelo iTunes; ela não aparecerá na seção Atualizar Software do computador nem no site de downloads da Apple. Certifique-se de ter uma conexão com a Internet e de ter instalado a última versão do iTunes em www.apple.com/itunes.

O iTunes verificará automaticamente o servidor de atualização da Apple em sua programação semanal. Quando detectar uma atualização, ele a baixará. Quando o iPhone estiver ligado, o iTunes fornecerá ao usuário a opção para instalar a atualização. Recomendamos aplicar imediatamente a atualização, se possível. A seleção de "Não instalar (Don't install)" apresentará a opção da próxima vez que você conectar o iPhone.

O processo de atualização automática pode levar até uma semana, dependendo do dia em que o iTunes fizer a verificação das atualizações. Você pode obter manualmente a atualização por meio do botão "Verificar actualizações (Chech for Update)" no iTunes. Feito isso, a atualização poderá ser aplicada quando o iPhone estiver ligado no computador.

Para verificar se o iPhone foi atualizado:

  1. Navegue até Definições (Settings)
  2. Clique em Geral (General)
  3. Clique em Acerca de (About). Uma vez aplicada a atualização, a versão exibida será "1.1.1 (3A109a)"
Data da publicação: