Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e as correções ou versões necessárias estejam disponíveis. Para saber mais sobre a Segurança do produto Apple, consulte o site Segurança do produto Apple.
Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte "Como usar a Chave PGP de Segurança do Produto Apple".
Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.
Para saber mais sobre outras Atualizações de segurança, consulte "Atualizações de segurança da Apple".
iOS 6.1
Serviços de identidade
Disponível para: iPhone 3GS e posterior, iPod touch (4ª geração) e posterior, iPad 2 e posterior
Impacto: autenticações que dependem da autenticação do ID Apple com base em certificado podem ser ignoradas
Descrição: havia um problema no processamento de erros nos Serviços de identidade. Quando ocorria uma falha na validação do certificado do ID Apple do usuário, esse ID Apple era considerado uma string vazia. Se vários sistemas pertencentes a diferentes usuários entrassem nesse estado, os aplicativos que dependessem da determinação de identidade poderiam estender a confiança erroneamente. O problema foi resolvido por meio da garantia de que NULL seja gerado em vez de uma string vazia.
ID de CVE
CVE-2013-0963
Componentes Internacionais para Unicode
Disponível para: iPhone 3GS e posterior, iPod touch (4ª geração) e posterior, iPad 2 e posterior
Impacto: acessar um site criado com códigos mal-intencionados pode resultar em um ataque de transmissão de script entre sites
Descrição: havia um problema de padronização no processamento da codificação EUC-JP, que poderia resultar em um ataque de transmissão de script entre sites em sites codificados por EUC-JP. O problema foi resolvido por meio da atualização da tabela de mapeamento de EUC-JP.
ID de CVE
CVE-2011-3058: Masato Kinugawa
Kernel
Disponível para: iPhone 3GS e posterior, iPod touch (4ª geração) e posterior, iPad 2 e posterior
Impacto: um processo de modo de usuário pode acessar a primeira página da memória de kernel
Descrição: o kernel do iOS realiza verificações para garantir que o ponteiro e o comprimento do modo do usuário passados para as funções copyin e copyout não permitam que um processo de modo de usuário consiga acessar diretamente a memória de kernel. As verificações não eram feitas quando o comprimento era inferior a uma página. O problema foi resolvido por meio de validação adicional dos argumentos para copyin e copyout.
ID de CVE
CVE-2013-0964: Mark Dowd da Azimuth Security
Segurança
Disponível para: iPhone 3GS e posterior, iPod touch (4ª geração) e posterior, iPad 2 e posterior
Impacto: um invasor com uma posição de rede privilegiada pode interceptar credenciais do usuário ou outras informações confidenciais
Descrição: vários certificados de CA intermediários foram emitidos por engano pelo TURKTRUST. Isso pode permitir que um invasor do tipo "man in the middle" redirecione as conexões e intercepte credenciais do usuário ou outras informações confidenciais. O problema foi resolvido por meio da não permissão dos certificados SSL incorretos.
StoreKit
Disponível para: iPhone 3GS e posterior, iPod touch (4ª geração) e posterior, iPad 2 e posterior
Impacto: o JavaScript pode ser ativado no Mobile Safari sem interação do usuário
Descrição: se um usuário desativasse o JavaScript nas Preferências do Safari, acessar um site que exibisse um Banner de Smart App reativava o JavaScript sem avisar o usuário. O problema foi resolvido por meio da não ativação do JavaScript ao acessar um site com um Banner de Smart App.
ID de CVE
CVE-2013-0974: Andrew Plotkin da Zarfhome Software Consulting, Ben Madison da BitCloud, Marek Durcek
WebKit
Disponível para: iPhone 3GS e posterior, iPod touch (4ª geração) e posterior, iPad 2 e posterior
Impacto: acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: ocorriam diversos problemas de memória corrompida no WebKit. Esses problemas foram resolvidos por meio de melhorias no processamento da memória.
ID de CVE
CVE-2012-2857: Arthur Gerkis
CVE-2012-3606: Abhishek Arya (Inferno) da Google Chrome Security Team
CVE-2012-3607: Abhishek Arya (Inferno) da Google Chrome Security Team
CVE-2012-3621: Skylined da Google Chrome Security Team
CVE-2012-3632: Abhishek Arya (Inferno) da Google Chrome Security Team
CVE-2012-3687: kuzzcc
CVE-2012-3701: Abhishek Arya (Inferno) da Google Chrome Security Team
CVE-2013-0948: Abhishek Arya (Inferno) da Google Chrome Security Team
CVE-2013-0949: Abhishek Arya (Inferno) da Google Chrome Security Team
CVE-2013-0950: Abhishek Arya (Inferno) da Google Chrome Security Team
CVE-2013-0951: Apple
CVE-2013-0952: Abhishek Arya (Inferno) da Google Chrome Security Team
CVE-2013-0953: Abhishek Arya (Inferno) da Google Chrome Security Team
CVE-2013-0954: Dominic Cooney do Google e Martin Barbella da Google Chrome Security Team
CVE-2013-0955: Apple
CVE-2013-0956: equipe responsável pela segurança de produtos Apple
CVE-2012-2824: miaubiz
CVE-2013-0958: Abhishek Arya (Inferno) da Google Chrome Security Team
CVE-2013-0959: Abhishek Arya (Inferno) da Google Chrome Security Team
CVE-2013-0968: Aaron Nelson
WebKit
Disponível para: iPhone 3GS e posterior, iPod touch (4ª geração) e posterior, iPad 2 e posterior
Impacto: copiar e colar conteúdo em um site malicioso pode resultar em um ataque de transmissão de script entre sites
Descrição: havia um problema de scripts de vários sites no processamento de conteúdo colado de outra origem. O problema foi resolvido por meio de validação adicional de conteúdo colado.
ID de CVE
CVE-2013-0962: Mario Heiderich da Cure53
WebKit
Disponível para: iPhone 3GS e posterior, iPod touch (4ª geração) e posterior, iPad 2 e posterior
Impacto: acessar um site criado com códigos mal-intencionados pode resultar em um ataque de transmissão de script entre sites
Descrição: havia um problema de transmissão de script entre sites no processamento de elementos de quadros. O problema foi resolvido por meio de melhorias no rastreamento de origem.
ID de CVE
CVE-2012-2889: Sergey Glazunov
Wi-Fi
Disponível para: iPhone 3GS, iPhone 4, iPod touch (4ª geração), iPad 2
Impacto: um invasor remoto na mesma rede Wi-Fi pode desativar temporariamente o Wi-Fi
Descrição: há um problema de leitura fora dos limites no processamento do firmware BCM4325 e BCM4329 da Broadcom de elementos de informação de 802.11i. O problema foi resolvido por meio de validação adicional de elementos de informação de 802.11i.
ID de CVE
CVE-2012-2619: Andres Blanco e Matias Eissler da Core Security