Sobre o conteúdo de segurança do iOS 7

Este documento descreve o conteúdo de segurança do iOS 7.

Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a Segurança do produto Apple, consulte o site Segurança do produto da Apple.

Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte Como usar a chave PGP de Segurança do Produto Apple.

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras Atualizações de segurança, consulte Atualizações de segurança da Apple.

iOS 7

  • Política de confiabilidade dos certificados

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: certificados raiz foram atualizados

    Descrição: vários certificados foram adicionados à lista de raízes do sistema ou removidos dela.

  • CoreGraphics

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: a visualização de um arquivo de PDF criado com códigos mal-intencionados pode levar ao encerramento inesperado de aplicativos ou à execução de códigos arbitrários

    Descrição: existia um estouro de buffer no processamento de dados codificados do JBIG2 nos arquivos PDF. Este problema foi resolvido por meio de verificações de limites adicionais.

    ID de CVE

    CVE-2013-1025: Felix Groebert da Equipe de Segurança do Google

  • CoreMedia

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: reproduzir um arquivo de vídeo criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: havia um estouro de buffer durante o processamento de arquivos de filme com codificação Sorenson. Este problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2013-1019: Tom Gallagher (Microsoft) e Paul Bates (Microsoft), trabalhando na Zero Day Initiative da HP

  • Proteção de Dados

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: apps conseguiam ignorar restrições de tentativas de códigos de acesso

    Descrição: um problema de separação de privilégios existia na Proteção de Dados. Um app na área de segurança de terceiros tentava de maneira repetida determinar o código de acesso do usuário, independentemente do ajuste "Apagar Dados" do usuário. Este problema foi resolvido com a exigência de verificações de direito adicionais.

    ID de CVE

    CVE-2013-0957: Jin Han do Institute for Infocomm Research trabalhando com Qiang Yan e Su Mon Kywe da Universidade de Administração de Cingapura

  • Segurança de Dados

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: um invasor com uma posição de rede privilegiada pode interceptar credenciais do usuário ou outras informações confidenciais

    Descrição: o TrustWave, um CA de raiz confiável, emitiu e, em seguida, revogou um certificado sub-CA de um de seus âncoras confiáveis. Esse sub-CA facilitava a intercepção de comunicações protegidas pelo protocolo TLS. Essa atualização adiciona o certificado sub-CA envolvido à lista de certificados não confiáveis do OS X.

    ID de CVE

    CVE-2013-5134

  • dyld

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: um invasor que tem execução de código arbitrário em um dispositivo pode ser capaz de persistir na execução de código entre reinicializações

    Descrição: vários estouros de buffer existiam na função openSharedCacheFile() do dyld. Esses problemas foram solucionados por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2013-3950: Stefan Esser

  • Sistema de Arquivos

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: um atacante que monta um sistema de arquivo não HFS pode causar um encerramento inesperado do sistema ou a execução de código arbitrário com privilégios de kernel

    Descrição: um problema de corrupção de memória existia no tratamento de arquivos AppleDouble. Este problema foi resolvido removendo o suporte para arquivos AppleDouble.

    ID de CVE

    CVE-2013-3955: Stefan Esser

  • ImageIO

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: a visualização de um arquivo de PDF criado com códigos mal-intencionados pode levar ao encerramento inesperado de aplicativos ou à execução de códigos arbitrários

    Descrição: existia um estouro de buffer durante o processamento de dados com codificação JPEG2000 em arquivos PDF. Este problema foi resolvido por meio de verificações de limites adicionais.

    ID de CVE

    CVE-2013-1026: Felix Groebert da Equipe de Segurança do Google

  • IOKit

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: aplicativos de segundo plano podiam injetar eventos de interface no app de primeiro plano

    Descrição: era possível para aplicativos de segundo plano injetar eventos de interface de usuário no aplicativo de primeiro plano usando a conclusão de tarefas ou APIs de VoIP. Este problema foi resolvido aplicando controles de acesso nos processos de primeiro e segundo planos que tratam de eventos de interface.

    ID de CVE

    CVE-2013-5137: Mackenzie Straight no Mobile Labs

  • IOKitUser

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: um aplicativo local mal-intencionado podia provocar um encerramento inesperado no sistema

    Descrição: ocorre um desreferenciamento de ponteiro nulo no IOCatalogue. Este problema foi resolvido por meio de verificações de tipos adicionais.

    ID de CVE

    CVE-2013-5138: Will Estes

  • IOSerialFamily

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: a execução de um aplicativo malicioso pode resultar em execução de código arbitrário dentro do kernel

    Descrição: um acesso de array fora do limite existia no driver IOSerialFamily. Este problema foi resolvido por meio de verificações de limites adicionais.

    ID de CVE

    CVE-2013-5139: @dent1zt

  • IPSec

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: um atacante pode interceptar dados protegidos com IPSec Hybrid Auth

    Descrição: o nome DNS de um servidor IPSec Hybrid Auth não achava correspondência no certificado, permitindo que um atacante com um certificado para qualquer servidor assumisse a personalidade de qualquer outro. Este problema foi resolvido com verificação aperfeiçoada de certificado.

    ID de CVE

    CVE-2013-1028: Alexander Traud da www.traud.de

  • Kernel

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: um invasor remoto pode fazer um dispositivo reiniciar inesperadamente

    Descrição: o envio de um fragmento de pacote inválido para um dispositivo pode fazer uma afirmação de kernel disparar, provocando a reinicialização do dispositivo. Este problema foi resolvido por meio de validação adicional de fragmentos de pacotes.

    ID de CVE

    CVE-2013-5140: Joonas Kuorilehto da Codenomicon, um pesquisador anônimo trabalhando com CERT-FI, Antti Levomäki e Lauri Virtanen do Grupo de Análise de Vulnerabilidade, Stonesoft

  • Kernel

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: um aplicativo local mal-intencionado podia travar o dispositivo

    Descrição: uma vulnerabilidade de truncamento de inteiro na interface de soquete de kernel podia ser aproveitada para forçar a CPU a entrar em laço infinito. O problema foi solucionado usando uma variável de tamanho maior.

    ID de CVE

    CVE-2013-5141: CESG

  • Kernel

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: um invasor em uma rede local pode provocar negação de serviço

    Descrição: um atacante em uma rede local pode enviar pacotes de ICMP IPv6 especialmente montados e provocar uma alta carga na CPU. Este problema foi solucionado limitando os pacotes de ICMP antes de verificar sua soma de verificação.

    ID de CVE

    CVE-2011-2391: Marc Heuse

  • Kernel

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: a memória de pilha de kernel pode ser divulgada a usuários locais

    Descrição: existia um problema de divulgação de informações nas APIs msgctl e segctl. Este problema foi solucionado inicializando estruturas de dados devolvidas do kernel.

    ID de CVE

    CVE-2013-5142: Kenzley Alphonse da Kenx Technology, Inc

  • Kernel

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: processos sem privilégio conseguiam acesso ao conteúdo da memória de kernel, o que poderia resultar em escalonamento de privilégios

    Descrição: existia um problema de divulgação de informações na API mach_port_space_info. Este problema foi resolvido inicializando o campo iin_collision em estruturas devolvidas do kernel.

    ID de CVE

    CVE-2013-3953: Stefan Esser

  • Kernel

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: processos sem privilégio podem ser capazes de levar ao encerramento inesperado do sistema ou à execução arbitrária de códigos no kernel

    Descrição: existia um problema de corrupção da memória no tratamento de argumentos para a API posix_spawn API. Este problema foi resolvido por meio de verificações de limites adicionais.

    ID de CVE

    CVE-2013-3954: Stefan Esser

  • Gerenciamento de Kext

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: um processo não autorizado pode modificar o conjunto de extensões de kernel carregadas

    Descrição: existia um problema no tratamento de kextd das mensagens de IPC de usuários não autenticados. Este problema foi solucionado acrescentando verificações de autorização adicionais.

    ID de CVE

    CVE-2013-5145: "Rainbow PRISM"

  • libxml

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: visualizar uma página da Web projetada com códigos mal-intencionados pode causar o encerramento inesperado do aplicativo ou a execução arbitrária do código.

    Descrição: existiam vários problemas de corrupção da memória em libxml. Estes problemas foram solucionados com a atualização de libxml para a versão 2.9.0.

    ID de CVE

    CVE-2011-3102: Jüri Aedla

    CVE-2012-0841

    CVE-2012-2807: Jüri Aedla

    CVE-2012-5134: Equipe de Segurança do Google Chrome (Jüri Aedla)

  • libxslt

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: visualizar uma página da Web projetada com códigos mal-intencionados pode causar o encerramento inesperado do aplicativo ou a execução arbitrária do código.

    Descrição: existiam vários problemas de corrupção da memória em libxslt. Estes problemas foram solucionados com a atualização de libxslt para a versão 1.1.28.

    ID de CVE

    CVE-2012-2825: Nicolas Gregoire

    CVE-2012-2870: Nicolas Gregoire

    CVE-2012-2871: Kai Lu do FortiGuard Labs da Fortnet, Nicolas Gregoire

  • Bloqueio por Código

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: uma pessoa com acesso físico pode ser capaz de ignorar o bloqueio da tela

    Descrição: um problema de condição de corrida existia no tratamento de chamadas telefônicas e ejeção do cartão SIM na tela de bloqueio. Este problema foi solucionado por meio de um gerenciamento aprimorado do estado bloqueado.

    ID de CVE

    CVE-2013-5147: videosdebarraquito

  • Acesso Pessoal

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: um atacante pode se conectar a uma rede de Acesso Pessoal

    Descrição: existia um problema na geração de senhas de Acesso Pessoal, resultando em senhas que poderiam ser previstas pelo atacante para se conectar a um Acesso Pessoal do usuário. O problema foi resolvido gerando senha com maior entropia.

    ID de CVE

    CVE-2013-4616: Andreas Kurtz da NESO Security Labs e Daniel Metz da Universidade Erlangen-Nuremberg

  • Notificações por push

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: o token de notificação por push podia ser revelado a um app contrário à decisão do usuário

    Descrição: um problema de divulgação de informações existia no registro de notificação por push. Os apps solicitando permissão ao acesso de notificação por push recebiam o token antes que o usuário aprovasse o uso de notificações por push do app. Este problema foi resolvido mantendo o acesso ao token até que o usuário tivesse aprovado o acesso.

    ID de CVE

    CVE-2013-5149: Jack Flintermann do Grouper, Inc.

  • Safari

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: um problema de corrupção de memória existia no tratamento de arquivos XML. Este problema foi resolvido por meio de verificações de limites adicionais.

    ID de CVE

    CVE-2013-1036: Kai Lu do FortiGuard Labs da Fortnet

  • Safari

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: o histórico de páginas recém-visitadas em uma aba aberta podia permanecer mesmo depois de o histórico geral ser apagado

    Descrição: apagar o histórico do Safari não apagava o histórico de navegação de abas abertas. Este problema foi resolvido apagando o histórico de navegação.

    ID de CVE

    CVE-2013-5150

  • Safari

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: visualizar arquivos em um site pode resultar na execução de roteiros mesmo quando o servidor envia um cabeçalho "Content-Type: text/plain"

    Descrição: o Mobile Safari algumas vezes tratava arquivos como arquivos HTML mesmo quando o servidor enviava um cabeçalho "Content-Type: text/plain". Isso podia resultar na execução de roteiros entre sites em sites que permitem ao usuário carregar arquivos. Este problema foi resolvido melhorando o tratamento de arquivos quando "Content-Type: text/plain" é definido.

    ID de CVE

    CVE-2013-5151: Ben Toews da Github

  • Safari

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: visitar um site mal-intencionado pode resultar na exibição de URL arbitrário

    Descrição: um problema de falsificação de barra de URL existia no Mobile Safari. Este problema foi tratado por meio de um rastreamento aperfeiçoado de URL.

    ID de CVE

    CVE-2013-5152: Keita Haga da keitahaga.com, Łukasz Pilorz da RBS

  • Área de proteção

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: aplicativos que são roteiros não eram colocados na área de proteção

    Descrição: aplicativos de terceiros que usaram a sintaxe #! para executar um roteiro eram colocados em áreas de proteção baseadas na identidade do intérprete do roteiro, e não na do roteiro. O intérprete pode não ter uma área de proteção definida, fazendo com que o aplicativo fosse executado fora da área de proteção. Este problema foi tratado criando uma área de proteção baseada na identidade do roteiro.

    ID de CVE

    CVE-2013-5154: evad3rs

  • Área de proteção

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: aplicativos podem fazer o sistema travar

    Descrição: aplicativos mal-intencionados de terceiros que gravaram valores específicos ao dispositivo /dev/random podiam forçar a CPU a entrar em um laço infinito. Este problema foi resolvido impedindo que aplicativos de terceiros gravassem em /dev/random.

    ID de CVE

    CVE-2013-5155: CESG

  • Social

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: atividade recente de usuários no Twitter podia ser divulgada em dispositivos sem código de acesso.

    Descrição: existia um problema no qual era possível determinar com quais contas do Twitter um usuário tinha interagido recentemente. Este problema foi resolvido restringindo o acesso ao cache do ícone do Twitter.

    ID de CVE

    CVE-2013-5158: Jonathan Zdziarski

  • Springboard

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: uma pessoa com acesso físico a um dispositivo no modo perdido conseguia ver notificações

    Descrição: existia um problema no tratamento de notificações quando um dispositivo estiver no modo perdido. Esta atualização resolveu o problema com gerenciamento de estado de bloqueio melhorado.

    ID de CVE

    CVE-2013-5153: Daniel Stangroom

  • Telefonia

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: apps mal-intencionados podem interferir com a funcionalidade de telefonia ou controlá-la

    Descrição: existia um problema de controle de acesso no subsistema de telefonia. Ao ignorar APIs suportadas, os apps em áreas de segurança podiam fazer solicitações diretamente a um daemon de sistema interferindo com a funcionalidade de telefonia ou a controlando. Este problema foi resolvido aplicando controles de acesso em interfaces expostas pelo daemon de telefonia.

    ID de CVE

    CVE-2013-5156: Jin Han do Institute for Infocomm Research trabalhando com Qiang Yan e Su Mon Kywe da Universidade de Administração de Cingapura; Tielei Wang, Kangjie Lu, Long Lu, Simon Chung e Wenke Lee do Instituto de Tecnologia da Geórgia

  • Twitter

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: apps em áreas de segurança podiam enviar tweets sem a interação ou permissão do usuário

    Descrição: existia um problema de controle de acesso no subsistema do Twitter. Ao ignorar APIs suportados, os apps em áreas de segurança podiam fazer solicitações diretamente a um daemon de sistema interferindo com a funcionalidade do Twitter ou a controlando. Este problema foi resolvido aplicando controles de acesso em interfaces expostas pelo daemon do Twitter.

    ID de CVE

    CVE-2013-5157: Jin Han do Institute for Infocomm Research trabalhando com Qiang Yan e Su Mon Kywe da Universidade de Administração de Cingapura; Tielei Wang, Kangjie Lu, Long Lu, Simon Chung e Wenke Lee do Instituto de Tecnologia da Geórgia

  • WebKit

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: havia diversos problemas de corrupção de memória no WebKit. Estes problemas foram solucionados por meio de melhorias no processamento de memória.

    ID de CVE

    CVE-2013-0879: Atte Kettunen da OUSPG

    CVE-2013-0991: Jay Civelli da comunidade de desenvolvimento do Chromium

    CVE-2013-0992: Equipe de segurança do Google Chrome (Martin Barbella)

    CVE-2013-0993: Equipe de segurança (Inferno) do Google Chrome

    CVE-2013-0994: David German do Google

    CVE-2013-0995: Equipe de segurança (Inferno) do Google Chrome

    CVE-2013-0996: Equipe de segurança (Inferno) do Google Chrome

    CVE-2013-0997: Vitaliy Toropov que trabalha na Zero Day Initiative da HP

    CVE-2013-0998: pa_kt trabalhando com a Zero Day Initiative da HP

    CVE-2013-0999: pa_kt trabalhando com a Zero Day Initiative da HP

    CVE-2013-1000: Fermin J. Serna da Equipe de segurança do Google

    CVE-2013-1001: Ryan Humenick

    CVE-2013-1002: Sergey Glazunov

    CVE-2013-1003: Equipe de segurança (Inferno) do Google Chrome

    CVE-2013-1004: Equipe de segurança (Martin Barbella) do Google Chrome

    CVE-2013-1005: Equipe de segurança (Martin Barbella) do Google Chrome

    CVE-2013-1006: Equipe de segurança (Martin Barbella) do Google Chrome

    CVE-2013-1007: Equipe de segurança (Inferno) do Google Chrome

    CVE-2013-1008: Sergey Glazunov

    CVE-2013-1010: miaubiz

    CVE-2013-1037: Equipe de Segurança do Google Chrome

    CVE-2013-1038: Equipe de Segurança do Google Chrome

    CVE-2013-1039: own-hero Research trabalhando com iDefense VCP

    CVE-2013-1040: Equipe de Segurança do Google Chrome

    CVE-2013-1041: Equipe de Segurança do Google Chrome

    CVE-2013-1042: Equipe de Segurança do Google Chrome

    CVE-2013-1043: Equipe de Segurança do Google Chrome

    CVE-2013-1044: Apple

    CVE-2013-1045: Equipe de Segurança do Google Chrome

    CVE-2013-1046: Equipe de Segurança do Google Chrome

    CVE-2013-1047: miaubiz

    CVE-2013-2842: Cyril Cattiaux

    CVE-2013-5125: Equipe de Segurança do Google Chrome

    CVE-2013-5126: Apple

    CVE-2013-5127: Equipe de Segurança do Google Chrome

    CVE-2013-5128: Apple

  • WebKit

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: visitar um site mal-intencionado pode resultar na divulgação de informações

    Descrição: existia um problema de divulgação de informações no tratamento da API window.webkitRequestAnimationFrame(). Um site mal-intencionado podia usar um iframe para determinar se outro site usava window.webkitRequestAnimationFrame(). Este problema foi resolvido por meio do tratamento aperfeiçoado do window.webkitRequestAnimationFrame().

    ID de CVE

    CVE-2013-5159

  • WebKit

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: copiar e colar um snippet HTML site mal-intencionado pode resultar em um ataque de scripts em vários sites

    Descrição: havia um problema de scripts em vários sites no processamento de dados copiados e colados em documentos HTML. Este problema foi resolvido por meio de validação adicional de conteúdo colado.

    ID de CVE

    CVE-2013-0926: Aditya Gupta, Subho Halder e Dev Kar da xys3c (xysec.com)

  • WebKit

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: acessar um site criado com códigos mal-intencionados pode resultar em um ataque de transmissão de script entre sites

    Descrição: havia um problema de emissão de scripts entre sites no processamento de iframes. Este problema foi resolvido por meio da melhoria do rastreamento de origem.

    ID de CVE

    CVE-2013-1012: Subodh Iyengar e Erling Ellingsen do Facebook

  • WebKit

    Disponível para iPhone 3GS e versão posterior, iPod touch (4ª geração) e versão posterior, iPad 2 e versão posterior

    Impacto: acessar um site criado com códigos mal-intencionados pode resultar na divulgação de informações

    Descrição: existia um problema de divulgação de informações no XSSAuditor. Este problema foi resolvido por meio do tratamento aperfeiçoado de URLs.

    ID de CVE

    CVE-2013-2848: Egor Homakov

  • WebKit

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: arrastar ou colar uma seleção pode resultar em um ataque de transmissão de script entre sites

    Descrição: arrastar ou colar uma seleção de um site para outro pode permitir que scripts presentes na seleção sejam executados no contexto do novo site. Este problema foi solucionado por meio de validação adicional do conteúdo antes de uma operação de colar ou arrastar e soltar.

    ID de CVE

    CVE-2013-5129: Mario Heiderich

  • WebKit

    Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: acessar um site criado com códigos mal-intencionados pode resultar em um ataque de transmissão de script entre sites

    Descrição: existia um problema de roteiro entre sites no tratamento de URLs. Este problema foi resolvido por meio da melhoria do rastreamento de origem.

    ID de CVE

    CVE-2013-5131: Erling A Ellingsen

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: