Sobre o conteúdo de segurança do iOS 8.2

Este documento descreve o conteúdo de segurança do iOS 8.2.

Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a Segurança do produto Apple, consulte o site Segurança do produto da Apple.

Para mais informações sobre a Chave PGP de Segurança do Produto Apple, consulte Como usar a Chave PGP de Segurança do Produto Apple.

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras Atualizações de segurança, consulte Atualizações de segurança da Apple.

iOS 8.2

• CoreTelephony

  Disponível para: iPhone 4s e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

  Impacto: um invasor remoto pode fazer um dispositivo reiniciar inesperadamente

  Descrição: ocorria um problema de deferência de ponteiro nula no processamento de mensagens SMS Classe 0 no CoreTelephony. Esse problema foi solucionado por meio de melhorias na validação de mensagens.

  ID de CVE

  CVE-2015-1063 : Roman Digerberg, Suécia

• Chaves do iCloud

  Disponível para: iPhone 4s e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

  Impacto: um invasor com uma posição de rede privilegiada pode executar um código arbitrário

  Descrição: vários estouros de buffer ocorriam durante o processamento de dados durante a recuperação das Chaves do iCloud. Esses problemas foram solucionados através de melhorias na verificação de limites.

  ID de CVE

  CVE-2015-1065 : Andrey Belenko do NowSecure

• IOSurface

  Disponível para: iPhone 4s e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

  Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema

  Descrição: um problema do tipo confusão ocorria na manipulação de objetos serializados do IOSurface. Esse problema foi resolvido por meio de verificações de tipos adicionais.

  ID de CVE

  CVE - 2015-1061 : Ian Beer do Google Project Zero

• MobileStorageMounter

  Disponível para: iPhone 4s e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

  Impacto: um aplicativo malicioso pode criar pastas em locais confiáveis no sistema de arquivos

  Descrição: ocorria um problema na lógica de montagem de disco de desenvolvedor que resultava na não exclusão de pastas de imagem de disco inválidas. Isso foi solucionado por meio de melhoria no tratamento de erros.

  ID de CVE

  CVE-2015-1062 : TaiG Jailbreak Team

• Transporte seguro

  Disponível para: iPhone 4s e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

  Impacto: um invasor com uma posição de rede privilegiada pode interceptar as conexões SSL/TLS

  Descrição: o transporte seguro aceitou chaves RSA efêmeras curtas, em geral usadas somente para exportação de conjuntos de codificação de RSA fortes em conexões usando toda a força dos conjuntos de codificação RSA. Esse problema, também conhecido como FREAK, afetava apenas conexões de servidores compatíveis com a exportação de conjuntos de codificação de segurança RSA fortes e foi corrigido por meio da remoção do suporte para chaves RSA efêmeras.

  ID de CVE

  CVE-2015-1067 : Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti e Jean Karim Zinzindohoue da Prosecco em Inria, Paris

• Springboard

  Disponível para: iPhone 4s e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

  Impacto: uma pessoa com acesso físico ao dispositivo pode ver a tela de início dele mesmo se desativado

  Descrição: o encerramento inesperado de aplicativos durante a ativação pode tê-lo levado a mostrar a tela de Início. O problema foi resolvido através da melhoria no tratamento de erros durante a ativação.

  ID de CVE

  CVE-2015-1064