Sobre o conteúdo de segurança da Atualização de Software do iOS 4.2.7 para iPhone

Este documento descreve o conteúdo da Atualização de Software do iOS 4.2.7.

Este documento descreve o conteúdo de segurança da Atualização de Software do iOS 4.2.7, que pode ser transferido e instalado pelo iTunes.

Para garantir a proteção de nossos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a Segurança do produto Apple, consulte o site Segurança do produto da Apple.

Para informações sobre a Chave PGP de Segurança do Produto Apple, consulte "Como usar a chave PGP de Segurança do Produto Apple".

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras Atualizações de segurança, consulte "Atualizações de segurança da Apple".

Atualização de Software do iOS 4.2.7 para iPhone

  • Política de confiabilidade dos certificados

    Disponível para: iOS 4.2.5 até 4.2.6 para iPhone 4 (CDMA)

    Impacto: um invasor com uma posição de rede privilegiada pode interceptar credenciais do usuário ou outras informações confidenciais

    Descrição: vários certificados SSL fraudulentos foram emitidos por uma autoridade de registro da filial Comodo. Isso pode permitir que um invasor do tipo "man in the middle" redirecione as conexões e intercepte credenciais do usuário ou outras informações confidenciais. Esse problema foi solucionado pela colocação dos certificados fraudulentos em uma lista negra.

    Nota: nos sistemas Mac OS X, esse problema foi solucionado com a Atualização de Segurança 2011-002. Nos sistemas Windows, o Safari depende do armazenamento de certificado do sistema operacional do host para identificar se um certificado do servidor SSL é confiável. Aplicar a atualização descrita no Artigo 2524375 da Base de Conhecimento da Microsoft fará com que o Safari considere esses certificados como não confiáveis. O artigo está disponível em http://support.microsoft.com/kb/2524375

  • QuickLook

    Disponível para: iOS 4.2.5 até 4.2.6 para iPhone 4 (CDMA)

    Impacto: visualizar um arquivo do Microsoft Office criado com códigos mal-intencionados pode causar o encerramento inesperado de um aplicativo ou a execução arbitrária de códigos

    Descrição: ocorriam problemas de memória corrompida durante o processamento de arquivos do Microsoft Office pelo QuickLook. Visualizar um arquivo do Microsoft Office criado com códigos mal-intencionados pode causar o encerramento inesperado de um aplicativo ou a execução arbitrária de códigos.

    ID de CVE

    CVE-2011-1417: Charlie Miller e Dion Blazakis, que trabalham na Zero Day Initiative da TippingPoint

  • WebKit

    Disponível para: iOS 4.2.5 até 4.2.6 para iPhone 4 (CDMA)

    Impacto: acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: ocorria um estouro de inteiro durante o processamento de nodesets. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos.

    ID de CVE

    CVE-2011-1290: Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp Weinmann e um pesquisador anônimo, que trabalham na Zero Day Initiative da TippingPoint

  • WebKit

    Disponível para: iOS 4.2.5 até 4.2.6 para iPhone 4 (CDMA)

    Impacto: acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: ocorria um problema do tipo "uso após livre" no processamento de nós de texto. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos.

    ID de CVE

    CVE-2011-1344: Vupen Security, que trabalha na Zero Day Initiative da TippingPoint, e Martin Barbella

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Os riscos são inerentes ao uso da internet. Entre em contato com o fornecedor para obter mais informações. Nomes de outras empresas e produtos podem ser marcas registradas de seus respectivos proprietários.

Data da publicação: