Para garantir a proteção de nossos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a Segurança do produto Apple, consulte o site Segurança do produto da Apple.
Para mais informações sobre a Chave PGP de Segurança do Produto Apple, consulte Como usar a chave PGP de Segurança do Produto Apple.
Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.
Para saber mais sobre outras Atualizações de segurança, consulte Atualizações de segurança da Apple.
iOS 8.1.3
AppleFileConduit
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior
Impacto: um comando afc criado com códigos mal-intencionados pode permitir acesso a partes protegidas do sistema de arquivos
Descrição: havia uma vulnerabilidade no mecanismo de ligação simbólica do afc. Esse problema foi resolvido por meio de verificações adicionais de caminho.
ID de CVE
CVE-2014-4480 : TaiG Jailbreak Team
CoreGraphics
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior
Impacto: abrir um arquivo PDF criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução de códigos arbitrários
Descrição: ocorria uma sobrecarga de inteiros durante o processamento de arquivos PDF. Esse problema foi solucionado por meio de melhorias na verificação de limites.
ID de CVE
CVE-2014-4481 : Felipe Andres Manzano da Binamuse VRT, por meio do Programa iSIGHT Partners GVP
dyld
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior
Impacto: um usuário local pode conseguir executar código não assinado
Descrição: havia um problema de gerenciamento de estado no processamento de arquivos executáveis Mach-O com segmentos sobrepostos. Esse problema foi solucionado por meio de melhorias na validação de tamanhos de segmentos.
ID de CVE
CVE-2014-4455 : TaiG Jailbreak Team
FontParser
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior
Impacto: abrir um arquivo PDF criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução de códigos arbitrários
Descrição: ocorria um estouro de buffer durante o processamento de arquivos de fonte. Esse problema foi solucionado por meio de melhorias na verificação de limites.
ID de CVE
CVE-2014-4483 : Apple
FontParser
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior
Impacto: o processamento de um arquivo .dfont criado com códigos mal-intencionados pode causar o encerramento inesperado de um aplicativo ou a execução de códigos arbitrários
Descrição: havia um problema de corrupção de memória durante o processamento de arquivos .dfont. Esse problema foi solucionado por meio de melhorias na verificação de limites.
ID de CVE
CVE-2014-4484 : Gaurav Baruah em parceria com a Zero Day Initiative da HP
Foundation
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior
Impacto: a visualização de um arquivo XML criado com códigos mal-intencionados pode causar um encerramento inesperado de um aplicativo ou à execução de códigos arbitrários
Descrição: ocorria um estouro de buffer no analisador do XML. Esse problema foi solucionado por meio de melhorias na verificação de limites.
ID de CVE
CVE-2014-4485 : Apple
IOAcceleratorFamily
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior
Impacto: um aplicativo com códigos mal-intencionados pode executar códigos arbitrários com privilégios de sistema
Descrição: havia um problema de cancelamento de referência de ponteiro nulo quando o IOAcceleratorFamily processava listas de recursos. Esse problema foi resolvido por meio da remoção de códigos desnecessários.
ID de CVE
CVE-2014-4486 : Ian Beer do Google Project Zero
IOHIDFamily
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior
Impacto: um aplicativo com códigos mal-intencionados pode executar códigos arbitrários com privilégios de sistema
Descrição: ocorria um estouro de buffer no IOHIDFamily. Esse problema foi resolvido por meio da melhoria da validação de tamanhos.
ID de CVE
CVE-2014-4487 : TaiG Jailbreak Team
IOHIDFamily
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior
Impacto: um aplicativo com códigos mal-intencionados pode executar códigos arbitrários com privilégios de sistema
Descrição: havia um problema de validação quando o IOHIDFamily processava metadados da fila de recurso. Esse problema foi solucionado por meio de melhorias na validação de metadados.
ID de CVE
CVE-2014-4488 : Apple
IOHIDFamily
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior
Impacto: um aplicativo com códigos mal-intencionados pode executar códigos arbitrários com privilégios de sistema
Descrição: havia um problema de cancelamento de referência de ponteiro nulo quando o IOHIDFamily processava filas de evento. Esse problema foi resolvido por meio da melhoria da validação.
ID de CVE
CVE-2014-4489 : @beist
iTunes Store
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior
Impacto: um site pode ignorar restrições de área de segurança usando a iTunes Store
Descrição: havia um problema no processamento de URLs redirecionados do Safari para a iTunes Store que podia permitir que um site com códigos mal-intencionados ignorasse as restrições de área de segurança do Safari. O problema foi resolvido por meio da melhoria da filtragem de URLs abertos pela iTunes Store.
ID de CVE
CVE-2014-8840 : lokihardt@ASRT em parceria com a Zero Day Initiative da HP
Kerberos
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior
Impacto: um aplicativo com códigos mal-intencionados pode executar códigos arbitrários com privilégios de sistema
Descrição: a biblioteca libgssapi do Kerberos retornava um token de contexto com um ponteiro pendente. Esse problema foi resolvido por meio da melhoria do gerenciamento de estado.
ID de CVE
CVE-2014-5352
Kernel
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior
Impacto: aplicativos do iOS comprometidos ou criados com má intenção podem ser capazes de determinar endereços no kernel
Descrição: havia um problema de divulgação de informações no processamento de APIs relacionadas a extensões de kernel. Respostas com uma chave OSBundleMachOHeaders podem ter incluído endereços kernel, que podem contribuir para ignorar a proteção de randomização de layout do espaço de endereço. Esse problema foi resolvido deslizando os endereços antes de retorná-los.
ID de CVE
CVE-2014-4491 : @PanguTeam, Stefan Esser
Kernel
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior
Impacto: um aplicativo com códigos mal-intencionados pode executar códigos arbitrários com privilégios de sistema
Descrição: havia um problema no subsistema de memória compartilhada do kernel que permitia a um invasor escrever na memória que seria estabelecida somente para leitura. Esse problema foi resolvido por meio de uma verificação mais rigorosa das permissões de memória compartilhada.
ID de CVE
CVE-2014-4495 : Ian Beer do Google Project Zero
Kernel
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior
Impacto: aplicativos do iOS comprometidos ou criados com má intenção podem ser capazes de determinar endereços no kernel
Descrição: a interface do kernel mach_port_kobject deixava vazar endereços kernel e valores de permutação do heap, o que poderia contribuir para ignorar a proteção da randomização de layout do espaço de endereço. Isso foi resolvido por meio da desativação da interface mach_port_kobject nas configurações de produção.
ID de CVE
CVE-2014-4496 : TaiG Jailbreak Team
libnetcore
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior
Impacto: um app protegido e mal-intencionado pode comprometer o daemon networkd
Descrição: havia diversos problemas de confusão dos tipos quando o networkd processava a comunicação entre processos. Ao enviar uma mensagem formatada com códigos mal-intencionados para o networkd, era possível executar códigos arbitrários como o processo networkd. O problema foi resolvido por meio de verificações adicionais dos tipos.
ID de CVE
CVE-2014-4492 : Ian Beer do Google Project Zero
MobileInstallation
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior
Impacto: um aplicativo assinado por empresa com códigos mal-intencionados pode assumir o controle do contêiner local para aplicativos que já estão no dispositivo
Descrição: havia uma vulnerabilidade no processo de instalação do aplicativo. Isso foi resolvido impedindo-se que aplicativos corporativos substituam aplicativos existentes em situações específicas.
ID de CVE
CVE-2014-4493 : Hui Xue e Tao Wei da FireEye, Inc.
Springboard
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior
Impacto: aplicativos assinados por empresas podem ser iniciados sem emitir avisos de confiabilidade
Descrição: havia um problema em determinar quando um aviso de confiabilidade seria emitido ao abrir um aplicativo assinado por empresa pela primeira vez. Esse problema foi resolvido por meio da melhoria da validação da assinatura do código.
ID de CVE
CVE-2014-4494 : Song Jin, Hui Xue e Tao Wei da FireEye, Inc.
WebKit
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior
Impacto: visitar um site que incorpora conteúdo mal-intencionado pode causar falsificação de UI
Descrição: ocorria uma falsificação de UI durante o processamento de limites da barra de rolagem. Esse problema foi solucionado por meio de melhorias na verificação de limites.
ID de CVE
CVE-2014-4467 : Jordan Milne
WebKit
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior
Impacto: folhas de estilo são carregadas como sendo de origem cruzada, o que pode permitir a exfiltração de dados
Descrição: um SVG carregado em um elemento img podia carregar um arquivo CSS de origem cruzada. Esse problema foi resolvido por meio da melhoria do bloqueio de referências externas de CSS em SVGs.
ID de CVE
CVE-2014-4465 : Rennie deGraaf da iSEC Partners
WebKit
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior
Impacto: acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução de códigos arbitrários
Descrição: ocorriam diversos problemas de memória corrompida no WebKit. Esses problemas foram solucionados por meio de melhorias no processamento de memória.
ID de CVE
CVE-2014-3192 : cloudfuzzer
CVE-2014-4459
CVE-2014-4466 : Apple
CVE-2014-4468 : Apple
CVE-2014-4469 : Apple
CVE-2014-4470 : Apple
CVE-2014-4471 : Apple
CVE-2014-4472 : Apple
CVE-2014-4473 : Apple
CVE-2014-4474 : Apple
CVE-2014-4475 : Apple
CVE-2014-4476 : Apple
CVE-2014-4477 : lokihardt@ASRT em parceria com a Zero Day Initiative da HP
CVE-2014-4479 : Apple