Sobre o conteúdo de segurança da Atualização de Software do iOS 5.1

Este documento descreve o conteúdo de segurança da Atualização de Software do iOS 5.1.

Este documento descreve o conteúdo de segurança da Atualização de Software do iOS 5.1, que pode ser baixado e instalado pelo iTunes.

Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a Segurança do produto Apple, consulte o site Segurança do produto da Apple.

Para informações sobre a Chave PGP de Segurança do Produto Apple, consulte "Como usar a Chave PGP de Segurança do Produto Apple".

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras Atualizações de segurança, consulte "Atualizações de segurança da Apple".

Atualização de Software do iOS 5.1

  • CFNetwork

    Disponível para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3ª geração) e posterior, iPad, iPad 2

    Impacto: visitar um site criado com códigos mal-intencionados pode causar a divulgação de informações confidenciais.

    Descrição: ocorre um problema durante o processamento de URLs malformadas pelo CFNetwork. Quando estiver acessando um URL criado com códigos maliciosos, o CFNetwork pode enviar cabeçalhos de solicitação inesperados.

    ID de CVE

    CVE-2012-0641 : Erling Ellingsen, do Facebook

  • HFS

    Disponível para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3ª geração) e posterior, iPad, iPad 2

    Impacto: carregar uma imagem de disco criada com códigos maliciosos pode causar o desligamento do dispositivo ou a execução arbitrária de códigos

    Descrição: ocorreu um problema de estouro de inteiro durante o processamento de arquivos de catálogo HFS.

    ID de CVE

    CVE-2012-0642: pod2g

  • Kernel

    Disponível para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3ª geração) e posterior, iPad, iPad 2

    Impacto: um programa criado com códigos maliciosos pode ignorar restrições do sandbox

    Descrição: ocorreu um problema lógico durante o processamento de depuração de chamadas do sistema. Isso pode permitir que um programa criado com códigos maliciosos obtenha execução de códigos em outros programas com os mesmos privilégios do usuário.

    ID de CVE

    CVE-2012-0643: Equipe Jailbreak Dream do iOS 2012

  • libresolv

    Disponível para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3ª geração) e posterior, iPad, iPad 2

    Impacto: aplicativos que usam a biblioteca libresolv podem estar vulneráveis a um encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: ocorreu um estouro de inteiro no processamento de registros de recursos DNS, que pode levar à corrupção de memória de pilha.

    ID de CVE

    CVE-2011-3453 : Ilja van Sprundel da IOActive

  • Bloqueio por Código

    Disponível para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3ª geração) e posterior, iPad, iPad 2

    Impacto: uma pessoa com acesso físico pode ser capaz de ignorar o bloqueio da tela

    Descrição: ocorreu um problema de condição de corrida durante o processamento de slides para gestos de discagem. Isso pode permitir que uma pessoa com acesso físico ao dispositivo ignore a tela Bloqueio por Código.

    ID de CVE

    CVE-2012-0644: Roland Kohler do Ministério Federal de Economia e Tecnologia da Alemanha

  • Safari

    Disponível para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3ª geração) e posterior, iPad, iPad 2

    Impacto: as visitas às páginas da Web podem ser registradas no histórico do navegador mesmo quando a Navegação Privada está ativa

    Descrição: a Navegação Privada do Safari foi desenvolvida para impedir o registro de uma sessão de navegação. As páginas visitadas como resultado do uso dos métodos JavaScript pushState ou replaceState por um site foram registradas no histórico do navegador, mesmo quando a Navegação Privada estava ativa. Esse problema foi resolvido ao não registrar essas visitas quando a Navegação Privada estiver ativa.

    ID de CVE

    CVE-2012-0585 : Eric Melville da American Express

  • Siri

    Disponível para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3ª geração) e posterior, iPad, iPad 2

    Impacto: um invasor com acesso físico a um telefone bloqueado pode obter acesso a mensagem de e-mail mais a frente

    Descrição: ocorreu um problema de design nas restrições de tela de bloqueio do Siri. Se o Siri estiver ativado para uso na tela de bloqueio e o Mail estiver aberto com uma mensagem selecionada atrás da tela de bloqueio, um comando de voz poderá ser usado para enviar essa mensagem para um destinatário arbitrário. Esse problema foi solucionado ao desativar o encaminhamento de mensagens ativadas a partir da tela de bloqueio.

    ID de CVE

    CVE-2012-0645

  • VPN

    Disponível para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3ª geração) e posterior, iPad, iPad 2

    Impacto: um arquivo de configuração de sistema criado com códigos maliciosos pode levar à execução arbitrária de código com privilégios do sistema

    Descrição: ocorreu uma vulnerabilidade de sequência de formato durante o processamento de arquivos de configuração racoon.

    ID de CVE

    CVE-2012-0646: pod2g

  • WebKit

    Disponível para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3ª geração) e posterior, iPad, iPad 2

    Impacto: visitar um site criado com códigos maliciosos pode causar a divulgação de cookies

    Descrição: existia um problema de origem cruzada no WebKit, que permitia a divulgação de cookies entre origens.

    ID de CVE

    CVE-2011-3887 : Sergey Glazunov

  • WebKit

    Disponível para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3ª geração) e posterior, iPad, iPad 2

    Impacto: tanto visitar um site criado com códigos maliciosos quanto arrastar o conteúdo com o mouse pode levar a um ataque de script entre sites

    Descrição: existia um problema de origem cruzada no WebKit, que permitia que o conteúdo fosse arrastado e solto entre origens.

    ID de CVE

    CVE-2012-0590 : Adam Barth da Google Chrome Security Team

  • WebKit

    Disponível para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3ª geração) e posterior, iPad, iPad 2

    Impacto: acessar um site criado com códigos mal-intencionados pode resultar em um ataque de transmissão de script entre sites

    Descrição: ocorreram vários problemas de origem cruzada no WebKit.

    ID de CVE

    CVE-2011-3881 : Sergey Glazunov

    CVE-2012-0586 : Sergey Glazunov

    CVE-2012-0587 : Sergey Glazunov

    CVE-2012-0588 : Jochen Eisinger da Equipe do Google Chrome

    CVE-2012-0589 : Alan Austin do polyvore.com

  • WebKit

    Disponível para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3ª geração) e posterior, iPad, iPad 2

    Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: havia diversos problemas de corrupção de memória no WebKit.

    ID de CVE

    CVE-2011-2825 : wushi da team509 que trabalha na Zero Day Initiative da TippingPoint

    CVE-2011-2833 : Apple

    CVE-2011-2846: Arthur Gerkis, miaubiz

    CVE-2011-2847: miaubiz, Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer

    CVE-2011-2854 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer

    CVE-2011-2855: Arthur Gerkis, wushi da team509 que trabalha na iDefense VCP

    CVE-2011-2857 : miaubiz

    CVE-2011-2860 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer

    CVE-2011-2867 : Dirk Schulze

    CVE-2011-2868 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer

    CVE-2011-2869 : Cris Neckar da Equipe de Segurança do Google Chrome usando o AddressSanitizer

    CVE-2011-2870 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer

    CVE-2011-2871 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer

    CVE-2011-2872 : Abhishek Arya (Inferno) e Cris Neckar da Equipe de Segurança do Google Chrome usando o AddressSanitizer

    CVE-2011-2873 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer

    CVE-2011-2877 : miaubiz

    CVE-2011-3885 : miaubiz

    CVE-2011-3888 : miaubiz

    CVE-2011-3897: pa_kt, que trabalha na Zero Day Initiative da TippingPoint

    CVE-2011-3908 : Aki Helin da OUSPG

    CVE-2011-3909: Equipe de Segurança do Google Chrome (scarybeasts) e Chu

    CVE-2011-3928 : wushi da team509 que trabalha na Zero Day Initiative da TippingPoint

    CVE-2012-0591 : miaubiz e Martin Barbella

    CVE-2012-0592 : Alexander Gavrun que trabalha na Zero Day Initiative da TippingPoint

    CVE-2012-0593 : Lei Zhang da comunidade de desenvolvimento do Chromium

    CVE-2012-0594 : Adam Klein da comunidade de desenvolvimento do Chromium

    CVE-2012-0595 : Apple

    CVE-2012-0596 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer

    CVE-2012-0597 : miaubiz

    CVE-2012-0598 : Sergey Glazunov

    CVE-2012-0599 : Dmytro Gorbunov do SaveSources.com

    CVE-2012-0600: Marshall Greenblatt, Dharani Govindan do Google Chrome, miaubiz, Aki Helin do OUSPG, Apple

    CVE-2012-0601 : Apple

    CVE-2012-0602 : Apple

    CVE-2012-0603 : Apple

    CVE-2012-0604 : Apple

    CVE-2012-0605 : Apple

    CVE-2012-0606 : Apple

    CVE-2012-0607 : Apple

    CVE-2012-0608 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer

    CVE-2012-0609 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer

    CVE-2012-0610 : miaubiz, Martin Barbella usando AddressSanitizer

    CVE-2012-0611 : Martin Barbella usando AddressSanitizer

    CVE-2012-0612 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer

    CVE-2012-0613 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer

    CVE-2012-0614 : miaubiz, Martin Barbella usando AddressSanitizer

    CVE-2012-0615 : Martin Barbella usando AddressSanitizer

    CVE-2012-0616 : miaubiz

    CVE-2012-0617 : Martin Barbella usando AddressSanitizer

    CVE-2012-0618 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer

    CVE-2012-0619 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer

    CVE-2012-0620 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer

    CVE-2012-0621 : Martin Barbella usando AddressSanitizer

    CVE-2012-0622 : Dave Levin e Abhishek Arya da Equipe de Segurança do Google Chrome

    CVE-2012-0623 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer

    CVE-2012-0624 : Martin Barbella usando AddressSanitizer

    CVE-2012-0625 : Martin Barbella

    CVE-2012-0626 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer

    CVE-2012-0627 : Apple

    CVE-2012-0628 : Slawomir Blazek, miaubiz, Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer

    CVE-2012-0629 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome

    CVE-2012-0630 : Sergio Villar Senin da Igalia

    CVE-2012-0631 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome

    CVE-2012-0632 : Cris Neckar da Equipe de Segurança do Google Chrome usando AddressSanitizer

    CVE-2012-0633 : Apple

    CVE-2012-0635 : Julien Chaffraix da comunidade de desenvolvimento do Chromium, Martin Barbella usando AddressSanitizer

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Os riscos são inerentes ao uso da internet. Entre em contato com o fornecedor para obter mais informações. Nomes de outras empresas e produtos podem ser marcas registradas de seus respectivos proprietários.

Data da publicação: