Sobre o conteúdo de segurança da Atualização de Software do iOS 6.1

Este documento descreve o conteúdo de segurança do iOS 6.1.

Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a Segurança do produto Apple, consulte o site Segurança do produto Apple.

Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte "Como usar a Chave PGP de Segurança do Produto Apple".

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras Atualizações de segurança, consulte "Atualizações de segurança da Apple".

iOS 6.1

  • Serviços de identidade

    Disponível para iPhone 3GS e posteriores, iPod touch (4ª geração) e posteriores, iPad 2 e posteriores

    Impacto: autenticações que dependam da autenticação do ID Apple baseada em certificado pode ser ignorada

    Descrição: Havia um problema com o processamento de erros em Serviços de identidade. Quando havia falha na validação do certificado do ID Apple do usuário, esse ID Apple era considerado uma sequência de caracteres vazia. Se vários sistemas pertencentes a diferentes usuários entrassem nesse estado, os aplicativos que dependessem da determinação de identidade poderiam estender a confiança erroneamente. Esse problema foi resolvido garantindo que NULL seja retornado em vez de uma sequência de caracteres vazia.

    ID de CVE

    CVE-2013-0963

  • Componentes Internacionais para Unicode

    Disponível para iPhone 3GS e posteriores, iPod touch (4ª geração) e posteriores, iPad 2 e posteriores

    Impacto: acessar um site criado com códigos mal-intencionados pode resultar em um ataque de transmissão de script entre sites

    Descrição: havia um problema de canonicalização no processamento da codificação EUC-JP, que poderia resultar em um ataque de script em vários sites em sites codificados de EUC-JP. Esse problema foi resolvido através da atualização da tabela de mapeamento de EUC-JP.

    ID de CVE

    CVE-2011-3058: Masato Kinugawa

  • Kernel

    Disponível para iPhone 3GS e posteriores, iPod touch (4ª geração) e posteriores, iPad 2 e posteriores

    Impacto: um processo de modo de usuário pode ser capaz de acessar a primeira página da memória de kernel

    Descrição: o kernel do iOS realiza verificações para garantir que o ponteiro e o comprimento do modo do usuário passados para as funções copyin e copyout não façam com que um processo de modo de usuário possa acessar diretamente a memória de kernel. As verificações não eram feitas quando o comprimento era inferior a uma página. Esse problema foi resolvido através de validação adicional dos argumentos para copyin e copyout.

    ID de CVE

    CVE-2013-0964: Mark Dowd da Azimuth Security

  • Segurança

    Disponível para iPhone 3GS e posteriores, iPod touch (4ª geração) e posteriores, iPad 2 e posteriores

    Impacto: um invasor com uma posição de rede privilegiada pode interceptar credenciais do usuário ou outras informações confidenciais

    Descrição: vários certificados de CA intermediários foram emitidos por engano pelo TURKTRUST. Isso pode permitir que um invasor do tipo "man in the middle" redirecione as conexões e intercepte credenciais do usuário ou outras informações confidenciais. Esse problema foi resolvido ao não permitir os certificados SSL incorretos.

  • StoreKit

    Disponível para iPhone 3GS e posteriores, iPod touch (4ª geração) e posteriores, iPad 2 e posteriores

    Impacto: o JavaScript pode ser habilitado no Mobile Safari sem interação do usuário

    Descrição: se um usuário desativasse o JavaScript nas Preferências do Safari, visitar um site que exibisse um Banner de Smart App reabilitaria o JavaScript sem avisar o usuário. Esse problema foi resolvido ao não habilitar o JavaScript ao visitar um site com um Banner de Smart App.

    ID de CVE

    CVE-2013-0974: Andrew Plotkin da Zarfhome Software Consulting, Ben Madison da BitCloud, Marek Durcek

  • WebKit

    Disponível para iPhone 3GS e posteriores, iPod touch (4ª geração) e posteriores, iPad 2 e posteriores

    Impacto: acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: ocorriam diversos problemas de memória corrompida no WebKit. Esses problemas foram solucionados por meio de melhorias no processamento de memória.

    ID de CVE

    CVE-2012-2857: Arthur Gerkis

    CVE-2012-3606: Abhishek Arya (Inferno) da equipe de segurança do Google Chrome

    CVE-2012-3607: Abhishek Arya (Inferno) da equipe de segurança do Google Chrome

    CVE-2012-3621: Skylined da equipe de segurança do Google Chrome

    CVE-2012-3632: Abhishek Arya (Inferno) da equipe de segurança do Google Chrome

    CVE-2012-3687: kuzzcc

    CVE-2012-3701: Abhishek Arya (Inferno) da equipe de segurança do Google Chrome

    CVE-2013-0948: Abhishek Arya (Inferno) da equipe de segurança do Google Chrome

    CVE-2013-0949: Abhishek Arya (Inferno) da equipe de segurança do Google Chrome

    CVE-2013-0950: Abhishek Arya (Inferno) da equipe de segurança do Google Chrome

    CVE-2013-0951: Apple

    CVE-2013-0952: Abhishek Arya (Inferno) da equipe de segurança do Google Chrome

    CVE-2013-0953: Abhishek Arya (Inferno) da equipe de segurança do Google Chrome

    CVE-2013-0954: Dominic Cooney do Google e Martin Barbella da equipe de segurança do Google Chrome

    CVE-2013-0955: Apple

    CVE-2013-0956: Segurança do Produto da Apple

    CVE-2012-2824: miaubiz

    CVE-2013-0958: Abhishek Arya (Inferno) da equipe de segurança do Google Chrome

    CVE-2013-0959: Abhishek Arya (Inferno) da equipe de segurança do Google Chrome

    CVE-2013-0968: Aaron Nelson

  • WebKit

    Disponível para iPhone 3GS e posteriores, iPod touch (4ª geração) e posteriores, iPad 2 e posteriores

    Impacto: copiar e colar conteúdo em um site mal-intencionado pode resultar em um ataque de scripts em vários sites

    Descrição: havia um problema de scripts de vários sites no processamento de conteúdo colado de outra origem. Esse problema foi resolvido através de validação adicional de conteúdo colado.

    ID de CVE

    CVE-2013-0962: Mario Heiderich da Cure53

  • WebKit

    Disponível para iPhone 3GS e posteriores, iPod touch (4ª geração) e posteriores, iPad 2 e posteriores

    Impacto: acessar um site criado com códigos mal-intencionados pode resultar em um ataque de transmissão de script entre sites

    Descrição: havia um problema de emissão de scripts entre sites no processamento de elementos de quadros. Esse problema foi solucionado através do aprimoramento no rastreamento de origem.

    ID de CVE

    CVE-2012-2889: Sergey Glazunov

  • Wi-Fi

    Disponível para: iPhone 3GS, iPhone 4, iPod touch (4ª geração), iPad 2

    Impacto: um invasor remoto na mesma rede Wi-Fi pode ser capaz de desabilitar temporariamente a Wi-Fi

    Descrição: há um problema de leitura fora dos limites no processamento do firmware BCM4325 e BCM4329 da Broadcom de elementos de informação de 802.11i. Esse problema foi resolvido através de validação adicional de elementos de informação de 802.11i.

    ID de CVE

    CVE-2012-2619: Andres Blanco e Matias Eissler da Core Security

 

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Os riscos são inerentes ao uso da internet. Entre em contato com o fornecedor para obter mais informações. Nomes de outras empresas e produtos podem ser marcas registradas de seus respectivos proprietários.

Data da publicação: