Sobre o conteúdo de segurança da Atualização de Software do iOS 5.0.1

Este documento descreve o conteúdo de segurança do iOS 5.0.1.

Este documento descreve o conteúdo de segurança do iOS 5.0.1, que pode ser transferido e instalado pelo iTunes.

Para garantir a proteção de nossos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a Segurança do produto Apple, consulte o site Segurança do produto da Apple.

Para informações sobre a Chave PGP de Segurança do Produto Apple, consulte "Como usar a chave PGP de Segurança do Produto Apple".

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras Atualizações de segurança, consulte "Atualizações de segurança da Apple".

Atualização de Software do iOS 5.0.1

  • CFNetwork

    Disponível para: iOS 3.0 até 5.0 para iPhone 3GS, iPhone 4 e iPhone 4s, iOS 3.1 até 5.0 para iPod touch (3ª geração) e posterior, iOS 3.2 até 5.0 para iPad e iOS 4.3 até 5.0 para iPad 2

    Impacto: acessar um site criado com códigos mal-intencionados pode causar a divulgação de informações confidenciais

    Descrição: havia um problema na manipulação da CFNetwork de URLs criados com códigos mal-intencionados. Ao acessar um URL HTTP ou HTTPS criado com códigos mal-intencionados, a CFNetwork podia navegar para um servidor incorreto.

    ID de CVE

    CVE-2011-3246: Erling Ellingsen, do Facebook

  • CoreGraphics

    Disponível para: iOS 3.0 até 5.0 para iPhone 3GS, iPhone 4 e iPhone 4s, iOS 3.1 até 5.0 para iPod touch (3ª geração) e posterior, iOS 3.2 até 5.0 para iPad e iOS 4.3 até 5.0 para iPad 2

    Impacto: visualizar um documento contendo uma fonte criada de forma mal-intencionada pode causar a execução de códigos arbitrários

    Descrição: ocorriam vários problemas de memória corrompida no FreeType, sendo que o mais grave pode levar à execução de códigos arbitrários ao processar fontes produzidas de forma mal-intencionada.

    ID de CVE

    CVE-2011-3439: Apple

  • Segurança de Dados

    Disponível para: iOS 3.0 até 5.0 para iPhone 3GS, iPhone 4 e iPhone 4s, iOS 3.1 até 5.0 para iPod touch (3ª geração) e posterior, iOS 3.2 até 5.0 para iPad e iOS 4.3 até 5.0 para iPad 2

    Impacto: um invasor com uma posição de rede privilegiada pode interceptar credenciais do usuário ou outras informações confidenciais

    Descrição: duas autoridades de certificação na lista de certificados raiz confiáveis emitiram, de modo independente, certificados intermediários para a empresa DigiCert, na Malásia. A DigiCert Malásia emitiu certificados com chaves frágeis que não é capaz de revogar. Um invasor com uma posição privilegiada na rede podia interceptar credenciais de usuário ou outras informações confidenciais planejadas para um site com um certificado emitido pela DigiCert Malásia. Esse problema foi resolvido pela configuração dos ajustes de confiança padrão do sistema, de modo que os certificados da DigiCert Malásia não sejam mais considerados confiáveis. Queremos agradecer a Bruce Morton, da Entrust, Inc., por informar esse problema.

  • Kernel

    Disponível para: iOS 3.0 até 5.0 para iPhone 3GS, iPhone 4 e iPhone 4s, iOS 3.1 até 5.0 para iPod touch (3ª geração) e posterior, iOS 3.2 até 5.0 para iPad e iOS 4.3 até 5.0 para iPad 2

    Impacto: um aplicativo pode executar um código não assinado

    Descrição: havia um erro lógico na verificação de combinações de sinalização válidas da chamada de sistema do mmap. Esse problema pode fazer com que as verificações dos sinais de código sejam ignoradas. Tal problema não afeta dispositivos que possuam iOS anterior à versão 4.3.

    ID de CVE

    CVE-2011-3442: Charlie Miller, da Accuvant Labs

  • libinfo

    Disponível para: iOS 3.0 até 5.0 para iPhone 3GS, iPhone 4 e iPhone 4s, iOS 3.1 até 5.0 para iPod touch (3ª geração) e posterior, iOS 3.2 até 5.0 para iPad e iOS 4.3 até 5.0 para iPad 2

    Impacto: acessar um site criado com códigos mal-intencionados pode causar a divulgação de informações confidenciais

    Descrição: existia um problema no manuseio da pesquisa de nomes DNS feito pelo libinfo. Ao resolver um nome de host produzido de modo mal-intencionado, o libinfo podia retornar um resultado incorreto.

    ID de CVE

    CVE-2011-3441: Erling Ellingsen, do Facebook; Per Johansson, da Blocket AB

  • Bloqueio por Código

    Disponível para: iOS 4.3, até 5.0 para iPad 2

    Impacto: uma pessoa com acesso físico a um iPad 2 bloqueado pode conseguir acessar alguns dados do usuário

    Descrição: ao abrir uma Smart Cover enquanto o iPad 2 está confirmando a desativação no estado bloqueado, o iPad não solicita um código de acesso. Isso permite acesso ao iPad, mas os dados protegidos pela Proteção de Dados continuam inacessíveis, e os apps não podem ser iniciados.

    ID de CVE

    CVE-2011-3440

 

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Os riscos são inerentes ao uso da internet. Entre em contato com o fornecedor para obter mais informações. Nomes de outras empresas e produtos podem ser marcas registradas de seus respectivos proprietários.

Data da publicação: