Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e as correções ou versões necessárias estejam disponíveis. Para saber mais sobre a Segurança do produto Apple, consulte o site Segurança do produto da Apple.
Para saber informações sobre a Chave PGP de Segurança do Produto Apple, consulte Como usar a Chave PGP de Segurança do Produto Apple.
Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.
Para saber mais sobre outras Atualizações de Segurança, consulte o artigo Atualizações de segurança da Apple.
iOS 8
802.1X
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um invasor pode obter credenciais de Wi-Fi
Descrição: um invasor podia falsificar o ponto de acesso Wi-Fi, oferecer a autenticação com LEAP, quebrar o hash MS-CHAPv1 e usar as credenciais derivadas para autenticar o ponto de acesso pretendido, mesmo se tal ponto de acesso tivesse métodos de autenticação mais potentes. O problema foi resolvido por meio da desativação do LEAP por padrão.
ID de CVE
CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax e Wim Lamotte da Universiteit Hasselt
Contas
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um aplicativo malicioso pode identificar o ID Apple do usuário
Descrição: havia um problema na lógica de controle de acesso das contas. Um aplicativo da área restrita podia obter informações sobre a conta do iCloud atualmente ativa, incluindo o nome da conta. O problema foi resolvido por meio da restrição do acesso a determinados tipos de conta por aplicativos não autorizados.
ID de CVE
CVE-2014-4423: Adam Weaver
Acessibilidade
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: o dispositivo poderia não bloquear a tela ao usar o AssistiveTouch
Descrição: havia um problema lógico no processamento de eventos do AssistiveTouch, que resultava no não bloqueio da tela. O problema foi resolvido por meio de melhorias no processamento do temporizador de bloqueio.
ID de CVE
CVE-2014-4368: Hendrik Bettermann
Estrutura das contas
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um invasor com acesso a um dispositivo iOS poderia acessar informações confidenciais do usuário nos registros
Descrição: informações confidenciais do usuário eram salvas nos registros. O problema foi resolvido por meio do registro de menos informações.
ID de CVE
CVE-2014-4357: Heli Myllykoski do OP-Pohjola Group
Agenda
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: uma pessoa com acesso físico a um dispositivo iOS poderia ler a agenda
Descrição: a agenda era criptografada com uma chave protegida somente por um UID de hardware. O problema foi resolvido por meio da codificação da agenda com uma chave protegida pelo UID de hardware e pelo código de acesso do usuário.
ID de CVE
CVE-2014-4352: Jonathan Zdziarski
Instalação de App
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um invasor local pode escalonar privilégios e instalar aplicativos não verificados
Descrição: havia uma condição de corrida na Instalação de App. Um invasor com capacidade de gravar em /tmp poderia instalar um app não verificado. O problema foi resolvido por meio do armazenamento de arquivos para instalação em outro diretório.
ID de CVE
CVE-2014-4386: evad3rs
Instalação de App
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um invasor local pode escalonar privilégios e instalar aplicativos não verificados
Descrição: havia um problema de path traversal na Instalação de App. Um invasor local podia redirecionar a validação da assinatura do código para um pacote diferente do pacote a ser instalado e causar a instalação de um app não verificado. O problema foi resolvido por meio da detecção e do impedimento de path traversal determinando qual assinatura de código precisava ser verificada.
ID de CVE
CVE-2014-4384: evad3rs
Ativos
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um invasor em uma posição de rede privilegiada poderia fazer um dispositivo iOS acreditar estar atualizado, mesmo não estando
Descrição: havia um problema de validação no processamento das respostas de verificação da atualização. Datas falsas nos cabeçalhos de resposta de Última modificação definidos para datas futuras eram usadas para verificações de Modificado desde nas solicitações de atualizações subsequentes. O problema foi resolvido por meio da validação do cabeçalho de Última modificação.
ID de CVE
CVE-2014-4383: Raul Siles da DinoSec
Bluetooth
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: o Bluetooth é ativado inesperadamente por padrão após a atualização do iOS
Descrição: o Bluetooth era ativado automaticamente após a atualização do iOS. O problema foi resolvido por meio da ativação do Bluetooth somente em atualizações de versões principais ou secundárias.
ID de CVE
CVE-2014-4354: Maneet Singh, Sean Bluestein
Política de confiabilidade dos certificados
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: atualização para a política de confiabilidade dos certificados
Descrição: a política de confiabilidade dos certificados foi atualizada. Veja a lista completa de certificados em https://support.apple.com/pt-br/HT5012.
CoreGraphics
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: abrir um arquivo PDF criado com códigos maliciosos poderia causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: havia um problema de estouro de inteiros durante o processamento de arquivos PDF. Esse problema foi solucionado por meio de melhorias na verificação de limites.
ID de CVE
CVE-2014-4377: Felipe Andres Manzano da Binamuse VRT em parceria com o Programa GVP da iSIGHT Partners
CoreGraphics
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: abrir um arquivo PDF criado com códigos maliciosos poderia causar o encerramento inesperado de aplicativos ou a divulgação de informações
Descrição: ocorria um problema de leitura de memória fora dos limites durante o processamento de arquivos PDF. Esse problema foi solucionado por meio de melhorias na verificação de limites.
ID de CVE
CVE-2014-4378: Felipe Andres Manzano da Binamuse VRT em parceria com o Programa GVP da iSIGHT Partners
Detectores de dados
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: tocar em um link do FaceTime no Mail acionava uma chamada de áudio do FaceTime sem ser solicitada
Descrição: o Mail não consultava o usuário antes de iniciar URLs facetime-audio://. O problema foi resolvido por meio da adição de um aviso de confirmação.
ID de CVE
CVE-2013-6835: Guillaume Ross
Foundation
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um aplicativo usando o NSXMLParser poderia ser usado incorretamente para divulgar informações
Descrição: havia um problema na Entidade Externa XML no processamento de NSXMLParser do XML. O problema foi resolvido por meio do não carregamento de entidades externas nas origens.
ID de CVE
CVE-2014-4374: George Gal da VSR (http://www.vsecurity.com/)
Início e Tela Bloqueada
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um app em segundo plano pode determinar qual app está em primeiro plano
Descrição: a API privada para determinar o app em primeiro plano não tinha controle de acesso suficiente. O problema foi resolvido por meio de controle de acesso adicional.
ID de CVE
CVE-2014-4361: Andreas Kurtz da NESO Security Labs e Markus Troßbach da Heilbronn University
iMessage
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: anexos poderiam continuar armazenados após o iMessage ou MMS principal serem apagados
Descrição: havia uma condição de corrida na forma como os anexos eram apagados. O problema foi resolvido por meio de verificações adicionais para determinar se um anexo foi apagado.
ID de CVE
CVE-2014-4353: Silviu Schiau
- IOAcceleratorFamily
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um aplicativo poderia causar o encerramento inesperado do sistema
Descrição: havia um problema de cancelamento de referência de ponteiro nulo no processamento de argumentos da API IOAcceleratorFamily. O problema foi resolvido por meio de melhorias na validação de argumentos da API IOAcceleratorFamily.
ID de CVE
CVE-2014-4369: Sarah, também conhecida como winocm, e Cererdlong da Alibaba Mobile Security Team
Entrada atualizada em 3 de fevereiro de 2020 IOAcceleratorFamily
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: o dispositivo poderia reiniciar inesperadamente
Descrição: havia um problema de cancelamento de referência de ponteiro nulo no driver IntelAccelerator. O problema foi resolvido por meio de melhorias no processamento de erros.
ID de CVE
CVE-2014-4373: cunzhang do Adlab da Venustech
IOHIDFamily
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um aplicativo malicioso pode ler ponteiros de kernel, que podiam ser usados para ignorar a randomização de layout do espaço de endereço de kernel
Descrição: havia um problema de leitura fora dos limites no processamento de uma função do IOHIDFamily. Esse problema foi solucionado por meio de melhorias na verificação de limites.
ID de CVE
CVE-2014-4379: Ian Beer do Google Project Zero
IOHIDFamily
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de sistema
Descrição: havia um problema de estouro de buffer de pilha no processamento de propriedades de mapeamento de chave do IOHIDFamily. Esse problema foi solucionado por meio de melhorias na verificação de limites.
ID de CVE
CVE-2014-4404: Ian Beer do Google Project Zero
IOHIDFamily
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de sistema
Descrição: havia um problema de cancelamento de referência de ponteiro nulo no processamento das propriedades de mapeamento de chave no IOHIDFamily. O problema foi resolvido por meio de melhorias na validação das propriedades de mapeamento de chave do IOHIDFamily.
ID de CVE
CVE-2014-4405: Ian Beer do Google Project Zero
IOHIDFamily
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de kernel
Descrição: havia um problema de gravação fora dos limites na extensão do kernel de IOHIDFamily. Esse problema foi solucionado por meio de melhorias na verificação de limites.
ID de CVE
CVE-2014-4380: cunzhang do Adlab da Venustech
IOKit
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um aplicativo malicioso pode ler dados não inicializados da memória do kernel
Descrição: havia um problema de acesso à memória não inicializada durante o processamento das funções de IOKit. O problema foi resolvido por meio de melhorias na inicialização da memória
ID de CVE
CVE-2014-4407: @PanguTeam
IOKit
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de sistema
Descrição: havia um problema de validação no processamento de determinados campos de metadados dos objetos de IODataQueue. O problema foi resolvido por meio de melhorias na validação de metadados.
ID de CVE
CVE-2014-4418: Ian Beer do Google Project Zero
IOKit
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de sistema
Descrição: havia um problema de validação no processamento de determinados campos de metadados dos objetos de IODataQueue. O problema foi resolvido por meio de melhorias na validação de metadados.
ID de CVE
CVE-2014-4388: @PanguTeam
IOKit
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de sistema
Descrição: havia um problema de estouro de inteiros durante o processamento das funções de IOKit. O problema foi resolvido por meio de melhorias na validação de argumentos da API IOKit.
ID de CVE
CVE-2014-4389: Ian Beer do Google Project Zero
Kernel
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um usuário local pode definir o layout de memória do kernel
Descrição: havia diversos problemas de memória não inicializada na interface de estatísticas de rede, que levavam à divulgação do conteúdo da memória do kernel. O problema foi resolvido por meio de uma inicialização adicional da memória.
ID de CVE
CVE-2014-4371: Fermin J. Serna da Google Security Team
CVE-2014-4419: Fermin J. Serna da Google Security Team
CVE-2014-4420: Fermin J. Serna da Google Security Team
CVE-2014-4421: Fermin J. Serna da Google Security Team
Kernel
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: uma pessoa em uma posição de rede privilegiada poderia causar uma negação de serviço
Descrição: havia um problema de condição de corrida no processamento de pacotes IPv6. O problema foi resolvido por meio de melhorias na verificação de estado bloqueado.
ID de CVE
CVE-2011-2391: Marc Heuse
Kernel
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um usuário local pode causar o encerramento inesperado do sistema ou a execução arbitrária de códigos no kernel
Descrição: havia um problema do tipo "double free" durante o processamento de portas de Mach. O problema foi resolvido por meio de melhorias na validação de portas de Mach.
ID de CVE
CVE-2014-4375: pesquisador anônimo
Kernel
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um usuário local pode causar o encerramento inesperado do sistema ou a execução arbitrária de códigos no kernel
Descrição: havia um problema de leitura fora dos limites no rt_setgate. Isso podia levar à divulgação de memória ou ao corrompimento dela. Esse problema foi solucionado por meio de melhorias na verificação de limites.
ID de CVE
CVE-2014-4408
Kernel
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: algumas medidas de proteção de kernel poderiam ser ignoradas
Descrição: o gerador de número aleatório usado para medidas de proteção de kernel no início do processo de inicialização não era seguro em termos de criptografia. Alguns resultados eram deduzíveis no espaço do usuário, permitindo ignorar medidas de proteção. O problema foi resolvido por meio do uso de um algoritmo seguro em termos de criptografia.
ID de CVE
CVE-2014-4422: Tarjei Mandt da Azimuth Security
Libnotify
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios raiz
Descrição: havia um problema de gravação fora dos limites no Libnotify. Esse problema foi solucionado por meio de melhorias na verificação de limites.
ID de CVE
CVE-2014-4381: Ian Beer do Google Project Zero
Bloqueio
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um dispositivo pode ser manipulado para exibir incorretamente a tela de Início quando o dispositivo está bloqueado
Descrição: havia um problema no comportamento de desbloqueio que fazia o dispositivo prosseguir para a tela de Início, mesmo quando deveria estar em estado de ativação bloqueada. O problema foi resolvido por meio da alteração das informações verificadas por um dispositivo durante uma solicitação de desbloqueio.
ID de CVE
CVE-2014-1360
Mail
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: credenciais de início de sessão podem ser enviadas em texto sem formatação, mesmo que o servidor tenha anunciado o recurso LOGINDISABLED IMAP
Descrição: o Mail enviava o comando LOGIN aos servidores, mesmo quando eles anunciavam o recurso LOGINDISABLED IMAP. Esse problema é preocupante principalmente ao estabelecer conexão com servidores configurados para aceitar conexões não criptografadas que anunciam LOGINDISABLED. O problema foi resolvido por meio do cumprimento do recurso LOGINDISABLED IMAP.
ID de CVE
CVE-2014-4366: Mark Crispin
Mail
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: uma pessoa com acesso físico a um dispositivo iOS poderia ler anexos de e-mails
Descrição: havia um problema de lógica no uso de proteção de dados do Mail em anexos de e-mail. O problema foi resolvido por meio da configuração correta da classe de proteção de dados para anexos de e-mail.
ID de CVE
CVE-2014-1348: Andreas Kurtz do NESO Security Labs
Perfis
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: a Discagem por Voz é ativada inesperadamente após atualizar o iOS
Descrição: a Discagem por Voz era ativada automaticamente após atualizar o iOS. Esse problema foi resolvido por meio de melhorias no gerenciamento de estados.
ID de CVE
CVE-2014-4367: Sven Heinemann
Safari
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: as credenciais do usuário poderiam ser divulgadas acidentalmente em um site por meio do preenchimento automático
Descrição: o Safari podia preencher automaticamente nomes de usuário e senha em um quadro secundário de um domínio diferente daquele do quadro principal. O problema foi resolvido por meio de melhorias no rastreamento de origem.
ID de CVE
CVE-2013-5227: Niklas Malmgren da Klarna AB
Safari
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um invasor em uma posição de rede privilegiada poderia interceptar credenciais do usuário
Descrição: senhas salvas eram preenchidas automaticamente em sites http, em sites https com segurança violada e em iframes. O problema foi resolvido por meio da restrição do preenchimento automático de senha no quadro principal de sites https com cadeias de certificado válidas.
ID de CVE
CVE-2014-4363: David Silver, Suman Jana e Dan Boneh da Stanford University em parceria com Eric Chen e Collin Jackson da Carnegie Mellon University
Safari
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um invasor em uma posição de rede privilegiada poderia falsificar URLs no Safari
Descrição: havia uma inconsistência na interface de usuário no Safari em dispositivos MDM. O problema foi resolvido por meio de melhorias nas verificações de consistência da interface do usuário.
ID de CVE
CVE-2014-8841: Angelo Prado da Salesforce Product Security
Perfis de área restrita
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: informações do ID Apple ficam acessíveis a apps de terceiros
Descrição: havia um problema de divulgação de informações na área restrita de apps de terceiros. O problema foi resolvido por meio do aprimoramento do perfil da área restrita de terceiros.
ID de CVE
CVE-2014-4362: Andreas Kurtz da NESO Security Labs e Markus Troßbach da Heilbronn University
Ajustes
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: pré-visualizações de mensagens de texto poderiam ser exibidas na tela bloqueada mesmo que esse recurso estivesse desativado
Descrição: havia um problema na pré-visualização das notificações de mensagens de texto na tela bloqueada. Assim, o conteúdo das mensagens recebidas era exibido na tela bloqueada, mesmo com as pré-visualizações desativadas em Ajustes. O problema foi resolvido por meio de melhorias no cumprimento desse ajuste.
ID de CVE
CVE-2014-4356: Mattia Schirinzi de San Pietro Vernotico (BR), Itália
syslog
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um usuário local pode alterar permissões de arquivos arbitrários
Descrição: o syslogd seguia links simbólicos enquanto alterava permissões em arquivos. O problema foi resolvido por meio de melhorias no processamento de links simbólicos.
ID de CVE
CVE-2014-4372: Tielei Wang e YeongJin Jang da Georgia Tech Information Security Center (GTISC)
Tempo
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: as informações da localização eram enviadas sem criptografia
Descrição: havia um problema de divulgação de informações na API usada para determinar o clima local. O problema foi resolvido por meio da mudança das APIs.
WebKit
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um site malicioso pode rastrear usuários mesmo com a navegação privada ativada
Descrição: um aplicativo da web poderia armazenar dados em cache do aplicativo HTML 5 durante a navegação normal e então ler os dados durante a navegação privada. O problema foi resolvido por meio da desativação do acesso ao cache do aplicativo durante a navegação privada.
ID de CVE
CVE-2014-4409: Yosuke Hasegawa (NetAgent Co., Led.)
WebKit
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: ocorriam diversos problemas de memória corrompida no WebKit. Esses problemas foram resolvidos por meio de melhorias no processamento da memória.
ID de CVE
CVE-2013-6663: Atte Kettunen da OUSPG
CVE-2014-1384: Apple
CVE-2014-1385: Apple
CVE-2014-1387: Google Chrome Security Team
CVE-2014-1388: Apple
CVE-2014-1389: Apple
CVE-2014-4410: Eric Seidel do Google
CVE-2014-4411: Google Chrome Security Team
CVE-2014-4412: Apple
CVE-2014-4413: Apple
CVE-2014-4414: Apple
CVE-2014-4415: Apple
Wi-Fi
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um dispositivo poderia ser rastreado passivamente pelo endereço MAC do Wi-Fi
Descrição: havia um problema de divulgação de informações porque um endereço MAC estável era usado para buscar redes Wi-Fi. O problema foi resolvido por meio da randomização do endereço MAC para verificações passivas de Wi-Fi.
Nota:
O iOS 8 contém modificações em alguns recursos de diagnóstico. Para mais informações, consulte o artigo https://support.apple.com/pt-br/HT6331
Agora, o iOS 8 permite aos dispositivos remover a confiança de todos os computadores que eram confiáveis. Veja mais instruções em https://support.apple.com/pt-br/HT5868
O FaceTime não está disponível em todos os países ou regiões.