Sobre o conteúdo de segurança da Atualização de Software iOS 4.2.7 para iPhone

Este documento descreve o conteúdo de segurança da Atualização de Software iOS 4.2.7.

Este documento descreve o conteúdo de segurança da Atualização de Software iOS 4.2.7, que pode ser baixada e instalada usando o iTunes.

Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e as correções ou versões necessárias estejam disponíveis. Para saber mais sobre a segurança dos produtos Apple, acesse o site Segurança dos produtos Apple.

Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo Como usar a Chave PGP de Segurança do Produto Apple.

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário tenha mais informações.

Para saber mais sobre outras Atualizações de Segurança, consulte "Atualizações de Segurança da Apple".

Atualização de Software iOS 4.2.7 para iPhone

• Certificate Trust Policy

  Disponível para: do iOS 4.2.5 ao 4.2.6 para iPhone 4 (CDMA)

  Impacto: um invasor com uma posição de rede privilegiada pode interceptar credenciais de usuários ou outras informações confidenciais

  Descrição: vários certificados SSL fraudulentos foram emitidos por uma autoridade de registro afiliada da Comodo. Isso pode permitir que um invasor do tipo "man-in-the-middle" redirecione as conexões e intercepte credenciais do usuário ou outras informações confidenciais. Esse problema foi resolvido colocando os certificados fraudulentos na lista de desaprovação.

  Nota: para sistemas Mac OS X, esse problema foi resolvido com a Atualização de Segurança 2011-002. Para sistemas Windows, o Safari depende do armazenamento de certificados do sistema operacional host para determinar se um certificado de servidor SSL é confiável. A aplicação da atualização descrita no Artigo 2524375 da Base de Conhecimento da Microsoft fará com que o Safari considere esses certificados como não confiáveis. O artigo está disponível em http://support.microsoft.com/kb/2524375

• QuickLook

  Disponível para: do iOS 4.2.5 ao 4.2.6 para iPhone 4 (CDMA)

  Impacto: ver um arquivo do Microsoft Office criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

  Descrição: existiam problemas de memória corrompida no processamento de arquivos do Microsoft Office pelo QuickLook. Ver um arquivo do Microsoft Office criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos.

  CVE-ID

  CVE-2011-1417: Charlie Miller e Dion Blazakis em parceria com a Zero Day Initiative da TippingPoint

• WebKit

  Disponível para: do iOS 4.2.5 ao 4.2.6 para iPhone 4 (CDMA)

  Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

  Descrição: havia um problema de estouro de inteiro no processamento de conjuntos de nós. Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos.

  CVE-ID

  CVE-2011-1290: Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp Weinmann e um pesquisador anônimo em parceria com a Zero Day Initiative da TippingPoint

• WebKit

  Disponível para: do iOS 4.2.5 ao 4.2.6 para iPhone 4 (CDMA)

  Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

  Descrição: existia um problema de "uso após liberação" no processamento de nós de texto. Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos.

  CVE-ID

  CVE-2011-1344: Vupen Security, em parceria com a Zero Day Initiative da TippingPoint, e Martin Barbella