Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a Segurança do produto Apple, consulte o site Segurança do produto da Apple.
Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte Como usar a chave PGP de Segurança do Produto Apple.
Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.
Para saber mais sobre outras Atualizações de segurança, consulte Atualizações de segurança da Apple.
iOS 7
- 

- 

Política de confiabilidade dos certificados

Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

Impacto: certificados raiz foram atualizados

Descrição: vários certificados foram adicionados à lista de raízes do sistema ou removidos dela.

 

- 

- 

CoreGraphics

Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

Impacto: a visualização de um arquivo de PDF criado com códigos mal-intencionados pode levar ao encerramento inesperado de aplicativos ou à execução de códigos arbitrários

Descrição: existia um estouro de buffer no processamento de dados codificados do JBIG2 nos arquivos PDF. Este problema foi resolvido por meio de verificações de limites adicionais.

ID de CVE

CVE-2013-1025: Felix Groebert da Equipe de Segurança do Google

 

- 

- 

CoreMedia

Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

Impacto: reproduzir um arquivo de vídeo criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

Descrição: havia um estouro de buffer durante o processamento de arquivos de filme com codificação Sorenson. Este problema foi solucionado por meio de melhorias na verificação de limites.

ID de CVE

CVE-2013-1019: Tom Gallagher (Microsoft) e Paul Bates (Microsoft), trabalhando na Zero Day Initiative da HP

 

- 

- 

Proteção de Dados

Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

Impacto: apps conseguiam ignorar restrições de tentativas de códigos de acesso

Descrição: um problema de separação de privilégios existia na Proteção de Dados. Um app na área de segurança de terceiros tentava de maneira repetida determinar o código de acesso do usuário, independentemente do ajuste "Apagar Dados" do usuário. Este problema foi resolvido com a exigência de verificações de direito adicionais.

ID de CVE

CVE-2013-0957: Jin Han do Institute for Infocomm Research trabalhando com Qiang Yan e Su Mon Kywe da Universidade de Administração de Cingapura

 

- 

- 

Segurança de Dados

Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

Impacto: um invasor com uma posição de rede privilegiada pode interceptar credenciais do usuário ou outras informações confidenciais

Descrição: o TrustWave, um CA de raiz confiável, emitiu e, em seguida, revogou um certificado sub-CA de um de seus âncoras confiáveis. Esse sub-CA facilitava a intercepção de comunicações protegidas pelo protocolo TLS. Essa atualização adiciona o certificado sub-CA envolvido à lista de certificados não confiáveis do OS X.

ID de CVE

CVE-2013-5134

 

- 

- 

dyld

Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

Impacto: um invasor que tem execução de código arbitrário em um dispositivo pode ser capaz de persistir na execução de código entre reinicializações

Descrição: vários estouros de buffer existiam na função openSharedCacheFile() do dyld. Esses problemas foram solucionados por meio de melhorias na verificação de limites.

ID de CVE

CVE-2013-3950: Stefan Esser

 

- 

- 

Sistema de Arquivos

Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

Impacto: um atacante que monta um sistema de arquivo não HFS pode causar um encerramento inesperado do sistema ou a execução de código arbitrário com privilégios de kernel

Descrição: um problema de corrupção de memória existia no tratamento de arquivos AppleDouble. Este problema foi resolvido removendo o suporte para arquivos AppleDouble.

ID de CVE

CVE-2013-3955: Stefan Esser

 

- 

- 

ImageIO

Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

Impacto: a visualização de um arquivo de PDF criado com códigos mal-intencionados pode levar ao encerramento inesperado de aplicativos ou à execução de códigos arbitrários

Descrição: existia um estouro de buffer durante o processamento de dados com codificação JPEG2000 em arquivos PDF. Este problema foi resolvido por meio de verificações de limites adicionais.

ID de CVE

CVE-2013-1026: Felix Groebert da Equipe de Segurança do Google

 

- 

- 

IOKit

Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

Impacto: aplicativos de segundo plano podiam injetar eventos de interface no app de primeiro plano

Descrição: era possível para aplicativos de segundo plano injetar eventos de interface de usuário no aplicativo de primeiro plano usando a conclusão de tarefas ou APIs de VoIP. Este problema foi resolvido aplicando controles de acesso nos processos de primeiro e segundo planos que tratam de eventos de interface.

ID de CVE

CVE-2013-5137: Mackenzie Straight no Mobile Labs

 

- 

- 

IOKitUser

Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

Impacto: um aplicativo local mal-intencionado podia provocar um encerramento inesperado no sistema

Descrição: ocorre um desreferenciamento de ponteiro nulo no IOCatalogue. Este problema foi resolvido por meio de verificações de tipos adicionais.

ID de CVE

CVE-2013-5138: Will Estes

 

- 

- 

IOSerialFamily

Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

Impacto: a execução de um aplicativo malicioso pode resultar em execução de código arbitrário dentro do kernel

Descrição: um acesso de array fora do limite existia no driver IOSerialFamily. Este problema foi resolvido por meio de verificações de limites adicionais.

ID de CVE

CVE-2013-5139: @dent1zt

 

- 

- 

IPSec

Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

Impacto: um atacante pode interceptar dados protegidos com IPSec Hybrid Auth

Descrição: o nome DNS de um servidor IPSec Hybrid Auth não achava correspondência no certificado, permitindo que um atacante com um certificado para qualquer servidor assumisse a personalidade de qualquer outro. Este problema foi resolvido com verificação aperfeiçoada de certificado.

ID de CVE

CVE-2013-1028: Alexander Traud da www.traud.de

 

- 

- 

Kernel

Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

Impacto: um invasor remoto pode fazer um dispositivo reiniciar inesperadamente

Descrição: o envio de um fragmento de pacote inválido para um dispositivo pode fazer uma afirmação de kernel disparar, provocando a reinicialização do dispositivo. Este problema foi resolvido por meio de validação adicional de fragmentos de pacotes.

ID de CVE

CVE-2013-5140: Joonas Kuorilehto da Codenomicon, um pesquisador anônimo trabalhando com CERT-FI, Antti Levomäki e Lauri Virtanen do Grupo de Análise de Vulnerabilidade, Stonesoft

 

- 

- 

Kernel

Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

Impacto: um aplicativo local mal-intencionado podia travar o dispositivo

Descrição: uma vulnerabilidade de truncamento de inteiro na interface de soquete de kernel podia ser aproveitada para forçar a CPU a entrar em laço infinito. O problema foi solucionado usando uma variável de tamanho maior.

ID de CVE

CVE-2013-5141: CESG

 

- 

- 

Kernel

Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

Impacto: um invasor em uma rede local pode provocar negação de serviço

Descrição: um atacante em uma rede local pode enviar pacotes de ICMP IPv6 especialmente montados e provocar uma alta carga na CPU. Este problema foi solucionado limitando os pacotes de ICMP antes de verificar sua soma de verificação.

ID de CVE

CVE-2011-2391: Marc Heuse

 

- 

- 

Kernel

Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

Impacto: a memória de pilha de kernel pode ser divulgada a usuários locais

Descrição: existia um problema de divulgação de informações nas APIs msgctl e segctl. Este problema foi solucionado inicializando estruturas de dados devolvidas do kernel.

ID de CVE

CVE-2013-5142: Kenzley Alphonse da Kenx Technology, Inc

 

- 

- 

Kernel

Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

Impacto: processos sem privilégio conseguiam acesso ao conteúdo da memória de kernel, o que poderia resultar em escalonamento de privilégios

Descrição: existia um problema de divulgação de informações na API mach_port_space_info. Este problema foi resolvido inicializando o campo iin_collision em estruturas devolvidas do kernel.

ID de CVE

CVE-2013-3953: Stefan Esser

 

- 

- 

Kernel

Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

Impacto: processos sem privilégio podem ser capazes de levar ao encerramento inesperado do sistema ou à execução arbitrária de códigos no kernel

Descrição: existia um problema de corrupção da memória no tratamento de argumentos para a API posix_spawn API. Este problema foi resolvido por meio de verificações de limites adicionais.

ID de CVE

CVE-2013-3954: Stefan Esser

 

- 

- 

Gerenciamento de Kext

Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

Impacto: um processo não autorizado pode modificar o conjunto de extensões de kernel carregadas

Descrição: existia um problema no tratamento de kextd das mensagens de IPC de usuários não autenticados. Este problema foi solucionado acrescentando verificações de autorização adicionais.

ID de CVE

CVE-2013-5145: "Rainbow PRISM"

 

- 

- 

libxml

Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

Impacto: visualizar uma página da Web projetada com códigos mal-intencionados pode causar o encerramento inesperado do aplicativo ou a execução arbitrária do código.

Descrição: existiam vários problemas de corrupção da memória em libxml. Estes problemas foram solucionados com a atualização de libxml para a versão 2.9.0.

ID de CVE

CVE-2011-3102: Jüri Aedla

CVE-2012-0841

CVE-2012-2807: Jüri Aedla

CVE-2012-5134: Equipe de Segurança do Google Chrome (Jüri Aedla)

 

- 

- 

libxslt

Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

Impacto: visualizar uma página da Web projetada com códigos mal-intencionados pode causar o encerramento inesperado do aplicativo ou a execução arbitrária do código.

Descrição: existiam vários problemas de corrupção da memória em libxslt. Estes problemas foram solucionados com a atualização de libxslt para a versão 1.1.28.

ID de CVE

CVE-2012-2825: Nicolas Gregoire

CVE-2012-2870: Nicolas Gregoire

CVE-2012-2871: Kai Lu do FortiGuard Labs da Fortnet, Nicolas Gregoire

 

- 

- 

Bloqueio por Código

Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

Impacto: uma pessoa com acesso físico pode ser capaz de ignorar o bloqueio da tela

Descrição: um problema de condição de corrida existia no tratamento de chamadas telefônicas e ejeção do cartão SIM na tela de bloqueio. Este problema foi solucionado por meio de um gerenciamento aprimorado do estado bloqueado.

ID de CVE

CVE-2013-5147: videosdebarraquito

 

- 

- 

Acesso Pessoal

Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

Impacto: um atacante pode se conectar a uma rede de Acesso Pessoal

Descrição: existia um problema na geração de senhas de Acesso Pessoal, resultando em senhas que poderiam ser previstas pelo atacante para se conectar a um Acesso Pessoal do usuário. O problema foi resolvido gerando senha com maior entropia.

ID de CVE

CVE-2013-4616: Andreas Kurtz da NESO Security Labs e Daniel Metz da Universidade Erlangen-Nuremberg

 

- 

- 

Notificações por push

Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

Impacto: o token de notificação por push podia ser revelado a um app contrário à decisão do usuário

Descrição: um problema de divulgação de informações existia no registro de notificação por push. Os apps solicitando permissão ao acesso de notificação por push recebiam o token antes que o usuário aprovasse o uso de notificações por push do app. Este problema foi resolvido mantendo o acesso ao token até que o usuário tivesse aprovado o acesso.

ID de CVE

CVE-2013-5149: Jack Flintermann do Grouper, Inc.

 

- 

- 

Safari

Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

Descrição: um problema de corrupção de memória existia no tratamento de arquivos XML. Este problema foi resolvido por meio de verificações de limites adicionais.

 
ID de CVE

CVE-2013-1036: Kai Lu do FortiGuard Labs da Fortnet

 

- 

- 

Safari

Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

Impacto: o histórico de páginas recém-visitadas em uma aba aberta podia permanecer mesmo depois de o histórico geral ser apagado

Descrição: apagar o histórico do Safari não apagava o histórico de navegação de abas abertas. Este problema foi resolvido apagando o histórico de navegação.

ID de CVE

CVE-2013-5150

 

- 

- 

Safari

Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

Impacto: visualizar arquivos em um site pode resultar na execução de roteiros mesmo quando o servidor envia um cabeçalho "Content-Type: text/plain"

Descrição: o Mobile Safari algumas vezes tratava arquivos como arquivos HTML mesmo quando o servidor enviava um cabeçalho "Content-Type: text/plain". Isso podia resultar na execução de roteiros entre sites em sites que permitem ao usuário carregar arquivos. Este problema foi resolvido melhorando o tratamento de arquivos quando "Content-Type: text/plain" é definido.

ID de CVE

CVE-2013-5151: Ben Toews da Github

 

- 

- 

Safari

Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

Impacto: visitar um site mal-intencionado pode resultar na exibição de URL arbitrário

Descrição: um problema de falsificação de barra de URL existia no Mobile Safari. Este problema foi tratado por meio de um rastreamento aperfeiçoado de URL.

ID de CVE

CVE-2013-5152: Keita Haga da keitahaga.com, Łukasz Pilorz da RBS

 

- 

- 

Área de proteção

Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

Impacto: aplicativos que são roteiros não eram colocados na área de proteção

Descrição: aplicativos de terceiros que usaram a sintaxe #! para executar um roteiro eram colocados em áreas de proteção baseadas na identidade do intérprete do roteiro, e não na do roteiro. O intérprete pode não ter uma área de proteção definida, fazendo com que o aplicativo fosse executado fora da área de proteção. Este problema foi tratado criando uma área de proteção baseada na identidade do roteiro.

ID de CVE

CVE-2013-5154: evad3rs

 

- 

- 

Área de proteção

Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

Impacto: aplicativos podem fazer o sistema travar

Descrição: aplicativos mal-intencionados de terceiros que gravaram valores específicos ao dispositivo /dev/random podiam forçar a CPU a entrar em um laço infinito. Este problema foi resolvido impedindo que aplicativos de terceiros gravassem em /dev/random.

ID de CVE

CVE-2013-5155: CESG

 

- 

- 

Social

Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

Impacto: atividade recente de usuários no Twitter podia ser divulgada em dispositivos sem código de acesso.

Descrição: existia um problema no qual era possível determinar com quais contas do Twitter um usuário tinha interagido recentemente. Este problema foi resolvido restringindo o acesso ao cache do ícone do Twitter.

ID de CVE

CVE-2013-5158: Jonathan Zdziarski

 

- 

- 

Springboard

Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

Impacto: uma pessoa com acesso físico a um dispositivo no modo perdido conseguia ver notificações

Descrição: existia um problema no tratamento de notificações quando um dispositivo estiver no modo perdido. Esta atualização resolveu o problema com gerenciamento de estado de bloqueio melhorado.

ID de CVE

CVE-2013-5153: Daniel Stangroom

 

- 

- 

Telefonia

Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

Impacto: apps mal-intencionados podem interferir com a funcionalidade de telefonia ou controlá-la

Descrição: existia um problema de controle de acesso no subsistema de telefonia. Ao ignorar APIs suportadas, os apps em áreas de segurança podiam fazer solicitações diretamente a um daemon de sistema interferindo com a funcionalidade de telefonia ou a controlando. Este problema foi resolvido aplicando controles de acesso em interfaces expostas pelo daemon de telefonia.

ID de CVE

CVE-2013-5156: Jin Han do Institute for Infocomm Research trabalhando com Qiang Yan e Su Mon Kywe da Universidade de Administração de Cingapura; Tielei Wang, Kangjie Lu, Long Lu, Simon Chung e Wenke Lee do Instituto de Tecnologia da Geórgia

 

- 

- 

Twitter

Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

Impacto: apps em áreas de segurança podiam enviar tweets sem a interação ou permissão do usuário

Descrição: existia um problema de controle de acesso no subsistema do Twitter. Ao ignorar APIs suportados, os apps em áreas de segurança podiam fazer solicitações diretamente a um daemon de sistema interferindo com a funcionalidade do Twitter ou a controlando. Este problema foi resolvido aplicando controles de acesso em interfaces expostas pelo daemon do Twitter.

ID de CVE

CVE-2013-5157: Jin Han do Institute for Infocomm Research trabalhando com Qiang Yan e Su Mon Kywe da Universidade de Administração de Cingapura; Tielei Wang, Kangjie Lu, Long Lu, Simon Chung e Wenke Lee do Instituto de Tecnologia da Geórgia

 

- 

- 

WebKit

Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

Descrição: havia diversos problemas de corrupção de memória no WebKit. Estes problemas foram solucionados por meio de melhorias no processamento de memória.

ID de CVE

CVE-2013-0879: Atte Kettunen da OUSPG

CVE-2013-0991: Jay Civelli da comunidade de desenvolvimento do Chromium

CVE-2013-0992: Equipe de segurança do Google Chrome (Martin Barbella)

CVE-2013-0993: Equipe de segurança (Inferno) do Google Chrome

CVE-2013-0994: David German do Google

CVE-2013-0995: Equipe de segurança (Inferno) do Google Chrome

CVE-2013-0996: Equipe de segurança (Inferno) do Google Chrome

CVE-2013-0997: Vitaliy Toropov que trabalha na Zero Day Initiative da HP

CVE-2013-0998: pa_kt trabalhando com a Zero Day Initiative da HP

CVE-2013-0999: pa_kt trabalhando com a Zero Day Initiative da HP

CVE-2013-1000: Fermin J. Serna da Equipe de segurança do Google

CVE-2013-1001: Ryan Humenick

CVE-2013-1002: Sergey Glazunov

CVE-2013-1003: Equipe de segurança (Inferno) do Google Chrome

CVE-2013-1004: Equipe de segurança (Martin Barbella) do Google Chrome

CVE-2013-1005: Equipe de segurança (Martin Barbella) do Google Chrome

CVE-2013-1006: Equipe de segurança (Martin Barbella) do Google Chrome

CVE-2013-1007: Equipe de segurança (Inferno) do Google Chrome

CVE-2013-1008: Sergey Glazunov

CVE-2013-1010: miaubiz

CVE-2013-1037: Equipe de Segurança do Google Chrome

CVE-2013-1038: Equipe de Segurança do Google Chrome

CVE-2013-1039: own-hero Research trabalhando com iDefense VCP

CVE-2013-1040: Equipe de Segurança do Google Chrome

CVE-2013-1041: Equipe de Segurança do Google Chrome

CVE-2013-1042: Equipe de Segurança do Google Chrome

CVE-2013-1043: Equipe de Segurança do Google Chrome

CVE-2013-1044: Apple

CVE-2013-1045: Equipe de Segurança do Google Chrome

CVE-2013-1046: Equipe de Segurança do Google Chrome

CVE-2013-1047: miaubiz

CVE-2013-2842: Cyril Cattiaux

CVE-2013-5125: Equipe de Segurança do Google Chrome

CVE-2013-5126: Apple

CVE-2013-5127: Equipe de Segurança do Google Chrome

CVE-2013-5128: Apple

 

- 

- 

WebKit

Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

Impacto: visitar um site mal-intencionado pode resultar na divulgação de informações

Descrição: existia um problema de divulgação de informações no tratamento da API window.webkitRequestAnimationFrame(). Um site mal-intencionado podia usar um iframe para determinar se outro site usava window.webkitRequestAnimationFrame(). Este problema foi resolvido por meio do tratamento aperfeiçoado do window.webkitRequestAnimationFrame().

 CVE-2013-5159



 ID de CVE 

- 

- 

WebKit

Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

Impacto: copiar e colar um snippet HTML site mal-intencionado pode resultar em um ataque de scripts em vários sites

Descrição: havia um problema de scripts em vários sites no processamento de dados copiados e colados em documentos HTML. Este problema foi resolvido por meio de validação adicional de conteúdo colado.

ID de CVE

CVE-2013-0926: Aditya Gupta, Subho Halder e Dev Kar da xys3c (xysec.com)

 

- 

- 

WebKit

Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

Impacto: acessar um site criado com códigos mal-intencionados pode resultar em um ataque de transmissão de script entre sites

Descrição: havia um problema de emissão de scripts entre sites no processamento de iframes. Este problema foi resolvido por meio da melhoria do rastreamento de origem.

ID de CVE

CVE-2013-1012: Subodh Iyengar e Erling Ellingsen do Facebook

 

- 

- 

WebKit

Disponível para iPhone 3GS e versão posterior, iPod touch (4ª geração) e versão posterior, iPad 2 e versão posterior

Impacto: acessar um site criado com códigos mal-intencionados pode resultar na divulgação de informações

Descrição: existia um problema de divulgação de informações no XSSAuditor. Este problema foi resolvido por meio do tratamento aperfeiçoado de URLs.

ID de CVE

CVE-2013-2848: Egor Homakov

 

- 

- 

WebKit

Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

Impacto: arrastar ou colar uma seleção pode resultar em um ataque de transmissão de script entre sites

Descrição: arrastar ou colar uma seleção de um site para outro pode permitir que scripts presentes na seleção sejam executados no contexto do novo site. Este problema foi solucionado por meio de validação adicional do conteúdo antes de uma operação de colar ou arrastar e soltar.

ID de CVE

CVE-2013-5129: Mario Heiderich

 

- 

- 

WebKit

Disponível para: iPhone 4 e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

Impacto: acessar um site criado com códigos mal-intencionados pode resultar em um ataque de transmissão de script entre sites

Descrição: existia um problema de roteiro entre sites no tratamento de URLs. Este problema foi resolvido por meio da melhoria do rastreamento de origem.

ID de CVE

CVE-2013-5131: Erling A Ellingsen