Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e as correções ou versões necessárias estejam disponíveis. Para saber mais sobre a Segurança do produto Apple, consulte o site Segurança do produto Apple.
Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo Como usar a Chave PGP de Segurança do Produto Apple.
Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.
Para saber mais sobre outras atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.
iOS 8.3
- AppleKeyStore
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um aplicativo com código malicioso pode adivinhar o código de acesso do usuário
Descrição: o iOS concedia o acesso a uma interface que permitia tentativas de verificar o código de acesso do usuário. Esse problema foi resolvido por meio de melhorias na verificação de direitos.
ID de CVE
CVE-2015-1085: Elias Limneos
Entrada atualizada em 17 de maio de 2017
- Drivers de áudio
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema
Descrição: havia um problema de validação nos objetos IOKit usados por um driver de áudio. Esse problema foi resolvido por meio de melhorias na validação de metadados.
ID de CVE
CVE-2015-1086
- Backup
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um invasor pode usar o sistema de backup para acessar áreas restritas do sistema de arquivos
Descrição: havia um problema na lógica de avaliação do caminho relativo do sistema de backup. Esse problema foi resolvido por meio de melhorias na avaliação de caminhos.
ID de CVE
CVE-2015-1087: TaiG Jailbreak Team
- Política de confiabilidade dos certificados
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: atualização para a política de confiabilidade dos certificados
Descrição: a política de confiabilidade dos certificados foi atualizada. Veja a lista completa de certificados em https://support.apple.com/pt-br/HT204132
- CFNetwork
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: cookies pertencentes a uma origem podem ser enviados a outra
Descrição: havia um problema de cookie de domínio cruzado ao lidar com o redirecionamento. Os cookies definidos em uma resposta de redirecionamento podiam ser transmitidos a um destino de redirecionamento pertencente a outra origem. Esse problema foi resolvido por meio de melhorias no processamento de redirecionamento.
ID de CVE
CVE-2015-1089: Niklas Keller (http://kelunik.com)
- CFNetwork
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um usuário pode não conseguir apagar totalmente o histórico de navegação
Descrição: limpar o histórico do Safari não apagava o estado Strict Transport Security do HTTP salvo. Esse problema foi resolvido por meio de melhorias no apagamento de dados.
ID de CVE
CVE-2015-1090
- Sessão do CFNetwork
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: as credenciais de autenticação podem ser enviadas a um servidor em outra origem
Descrição: havia um problema de cabeçalhos de solicitação de HTTP de domínios cruzados no processamento de redirecionamentos. Os cabeçalhos de solicitação de HTTP enviados em uma resposta de redirecionamento podiam ser transmitidos a outra origem. Esse problema foi resolvido por meio de melhorias no processamento de redirecionamentos.
ID de CVE
CVE-2015-1091: Diego Torres (http://dtorres.me)
- CFURL
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: acessar um site criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: havia um problema de validação de entrada no processamento de URL. Esse problema foi resolvido por meio de melhorias na validação de URL.
ID de CVE
CVE-2015-1088
- Foundation
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um aplicativo usando o NSXMLParser pode ser usado incorretamente para divulgar informações
Descrição: havia um problema na Entidade Externa XML no processamento de NSXMLParser do XML. Esse problema foi resolvido ao não carregar entidades externas nas origens.
ID de CVE
CVE-2015-1092: Ikuya Fukumoto
- FontParser
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: processar um arquivo de fonte criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: havia vários problemas de corrupção de memória no processamento de arquivos de fonte. Esses problemas foram resolvidos por meio de melhorias na verificação de limites.
ID de CVE
CVE-2015-1093: Marc Schoenefeld
- IOAcceleratorFamily
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um aplicativo com código malicioso pode determinar o layout de memória do kernel
Descrição: havia um problema no IOAcceleratorFamily que causava a divulgação do conteúdo da memória do kernel. Esse problema foi resolvido com a remoção de códigos desnecessários.
ID de CVE
CVE-2015-1094: Cererdlong da Alibaba Mobile Security Team
- IOHIDFamily
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um dispositivo HID com código malicioso pode causar a execução arbitrária de códigos
Descrição: havia um problema de corrupção de memória em uma API IOHIDFamily. Esse problema foi resolvido por meio de melhorias no processamento da memória.
ID de CVE
CVE-2015-1095: Andrew Church
- IOHIDFamily
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um aplicativo com código malicioso pode determinar o layout de memória do kernel
Descrição: havia um problema no IOHIDFamily que causava a divulgação do conteúdo da memória do kernel. Esse problema foi resolvido por meio de melhorias na verificação de limites.
ID de CVE
CVE-2015-1096: Ilja van Sprundel da IOActive
- IOMobileFramebuffer
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um aplicativo com código malicioso pode determinar o layout de memória do kernel
Descrição: havia um problema no MobileFrameBuffer que causava a divulgação do conteúdo da memória do kernel. Esse problema foi resolvido por meio de melhorias na verificação de limites.
ID de CVE
CVE-2015-1097: Barak Gabai, da IBM X-Force Application Security Research Team
- iWork Viewer
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: abrir um arquivo do iWork criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: havia um problema de corrupção de memória no processamento de arquivos do iWork. Esse problema foi resolvido por meio de melhorias no processamento da memória.
ID de CVE
CVE-2015-1098: Christopher Hickstein
- Kernel
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um aplicativo com código malicioso pode causar a negação de serviço do sistema
Descrição: havia uma condição de corrida na chamada de sistema setreuid do kernel. Esse problema foi resolvido por meio de melhorias no gerenciamento de estados.
ID de CVE
CVE-2015-1099: Mark Mentovai da Google Inc.
- Kernel
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um aplicativo com código malicioso pode escalonar privilégios usando um serviço comprometido destinado a ser executado com privilégios reduzidos
Descrição: as chamadas de sistema setreuid e setregid falharam em remover os privilégios permanentemente. Esse problema foi resolvido ao remover os privilégios corretamente.
ID de CVE
CVE-2015-1117: Mark Mentovai da Google Inc.
- Kernel
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um aplicativo com código malicioso pode causar o encerramento inesperado do sistema ou ler a memória do kernel
Descrição: havia um problema de acesso à memória fora dos limites no kernel. Esse problema foi resolvido por meio de melhorias no processamento da memória.
ID de CVE
CVE-2015-1100: Maxime Villard do m00nbsd
- Kernel
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema
Descrição: havia um problema de corrupção de memória no kernel. Esse problema foi resolvido por meio de melhorias no processamento da memória.
ID de CVE
CVE-2015-1101: lokihardt@ASRT em parceria com a Zero Day Initiative da HP
- Kernel
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um invasor com posição de rede privilegiada pode causar uma negação de serviço
Descrição: havia uma inconsistência de estado no processamento dos cabeçalhos TCP. Esse problema foi resolvido por meio de melhorias no processamento de estado.
ID de CVE
CVE-2015-1102: Andrey Khudyakov e Maxim Zhuravlev do Kaspersky Lab
- Kernel
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um invasor com posição de rede privilegiada pode redirecionar o tráfego de usuários para hosts arbitrários
Descrição: o redirecionamento de ICMP estava ativado por padrão no iOS. Esse problema foi resolvido por meio da desativação de redirecionamentos de ICMP.
ID de CVE
CVE-2015-1103: Zimperium Mobile Security Labs
- Kernel
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um invasor remoto pode ignorar os filtros de rede
Descrição: o sistema tratava alguns pacotes IPv6 de interfaces de rede remota como pacotes locais. Esse problema foi resolvido ao rejeitar esses pacotes.
ID de CVE
CVE-2015-1104: Stephen Roettger da Equipe de Segurança do Google
- Kernel
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um invasor remoto pode causar uma negação de serviço
Descrição: havia um problema de inconsistência de estado ao gerenciar TCP fora dos dados de faixa. Esse problema foi resolvido por meio de melhorias no gerenciamento de estados.
ID de CVE
CVE-2015-1105: Kenton Varda da Sandstorm.io
- Teclados
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: o QuickType pode aprender os códigos de acesso dos usuários
Descrição: ao usar teclados Bluetooth, o QuickType podia aprender os códigos de acesso dos usuários. Esse problema foi resolvido evitando que o QuickType seja exibido na tela bloqueada.
ID de CVE
CVE-2015-1106: Jarrod Dwenger, Steve Favorito e Paul Reedy, da ConocoPhillips, Pedro Tavares do departamento de Biofísica Molecular da UCIBIO/FCT/UNL, De Paul Sunny e Christian Still, da Evolve Media, Canadá
- libnetcore
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: processar um perfil de configuração malicioso pode causar o encerramento inesperado de aplicativos
Descrição: havia um problema de corrupção de memória no processamento de perfis de configuração. Esse problema foi resolvido por meio de melhorias na verificação de limites.
ID de CVE
CVE-2015-1118: Zhaofeng Chen, Hui Xue, Yulong Zhang e Tao Wei, da FireEye, Inc.
- Tela Bloqueada
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um invasor com um dispositivo pode evitar o apagamento do dispositivo depois de falhas nas tentativas de inserir o código de acesso
Descrição: em alguns casos, o dispositivo poderia não ser apagado depois de falhas nas tentativas de inserir o código de acesso. Esse problema foi resolvido com uma aplicação adicional de apagamento.
ID de CVE
CVE-2015-1107: Brent Erickson e Stuart Ryan, da University of Technology, Sydney
- Tela Bloqueada
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um invasor com um dispositivo pode exceder o número máximo de tentativas incorretas de digitar um código
Descrição: em alguns casos, o limite de tentativas incorretas de digitar um código não foi cumprido. Esse problema foi resolvido com outra imposição desse limite.
ID de CVE
CVE-2015-1108
- NetworkExtension
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um invasor com um dispositivo pode recuperar credenciais de VPN
Descrição: havia um problema no processamento dos registros de configuração de VPN. Esse problema foi resolvido com a remoção dos registros de credenciais.
ID de CVE
CVE-2015-1109: Josh Tway, da IPVanish
- Podcasts
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: informações desnecessárias podem ser enviadas a servidores externos ao fazer download de ativos de podcasts
Descrição: ao fazer download de ativos de podcasts assinados pelo usuário, identificadores exclusivos eram enviados a servidores externos. Esse problema foi resolvido com a remoção desses identificadores.
ID de CVE
CVE-2015-1110: Alex Selivanov
- Safari
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um usuário pode não conseguir apagar totalmente o histórico de navegação
Descrição: limpar o histórico do Safari não apagava as "abas fechadas recentemente". Esse problema foi resolvido por meio de melhorias no apagamento de dados.
ID de CVE
CVE-2015-1111: Frode Moe, da LastFriday.no
- Safari
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: o histórico de navegação do usuário pode não ser completamente eliminado
Descrição: havia um problema de gerenciamento de estados no Safari que fazia com que o histórico de navegação do usuário não fosse eliminado de history.plist. Esse problema foi resolvido por meio de melhorias no gerenciamento de estados.
ID de CVE
CVE-2015-1112: William Breuer, Países Baixos
- Perfis de área restrita
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um aplicativo com código malicioso pode acessar os números de telefone ou endereços de e-mail de contatos recentes
Descrição: havia um problema de divulgação de informações na área restrita de apps de terceiros. Esse problema foi resolvido por meio de melhorias no perfil da área restrita de terceiros.
ID de CVE
CVE-2015-1113: Andreas Kurtz, da NESO Security Labs, Markus Troßbach, da Heilbronn University
- Perfis de área restrita
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: identificadores de hardware podem ser acessados por apps de terceiros
Descrição: havia um problema de divulgação de informações na área restrita de apps de terceiros. Esse problema foi resolvido por meio de melhorias no perfil da área restrita de terceiros.
ID de CVE
CVE-2015-1114
- Transporte seguro
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: processar um certificado X.509 malicioso pode causar o encerramento inesperado de aplicativos
Descrição: havia um problema de cancelamento de referência de ponteiro NULO no processamento de certificados X.509. Esse problema foi resolvido por meio de melhorias na validação de entradas.
ID de CVE
CVE-2015-1160: Elisha Eshed, Roy Iarchy e Yair Amit da Skycure Security Research
- Telefonia
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um aplicativo com código malicioso pode acessar funções de telefonia restritas
Descrição: havia um problema de controle de acesso no subsistema de telefonia. Apps de área restrita podiam acessar funções de telefonia restritas. Esse problema foi resolvido por meio de melhorias na verificação de direitos.
ID de CVE
CVE-2015-1115: Andreas Kurtz, da NESO Security Labs, Markus Troßbach, da Heilbronn University
- UIKit View
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: dados confidenciais podem ser expostos em capturas de tela de aplicativos apresentadas no Task Switcher
Descrição: havia um problema no UIKit que não desfocava capturas de tela de aplicativos contendo dados confidenciais no Task Switcher. Esse problema foi resolvido ao desfocar corretamente a captura de tela.
ID de CVE
CVE-2015-1116: equipe de apps móveis da HP Security Voltage, Aaron Rogers, da Mint.com, David Edwards, da Tech4Tomorrow, David Zhang, da Dropbox
- WebKit
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: uma interface de usuário inconsistente pode impedir que os usuários identificassem um ataque de phishing
Descrição: havia uma inconsistência na interface de usuário no Safari que permitia que um invasor adulterasse o URL. Esse problema foi resolvido por meio de melhorias nas verificações de consistência da interface de usuário.
ID de CVE
CVE-2015-1084: Apple
- WebKit
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: acessar um site criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: havia vários problemas de corrupção de memória no WebKit. Esses problemas foram resolvidos por meio de melhorias no processamento da memória.
ID de CVE
CVE-2015-1068: Apple
CVE-2015-1069: lokihardt@ASRT, em parceria com a Zero Day Initiative da HP
CVE-2015-1070: Apple
CVE-2015-1071: Apple
CVE-2015-1072
CVE-2015-1073: Apple
CVE-2015-1074: Apple
CVE-2015-1076
CVE-2015-1077: Apple
CVE-2015-1078: Apple
CVE-2015-1079: Apple
CVE-2015-1080: Apple
CVE-2015-1081: Apple
CVE-2015-1082: Apple
CVE-2015-1083: Apple
CVE-2015-1119: Renata Hodovan, da University of Szeged / Samsung Electronics
CVE-2015-1120: Apple
CVE-2015-1121: Apple
CVE-2015-1122: Apple
CVE-2015-1123: Randy Luecke e Anoop Menon, da Google Inc.
CVE-2015-1124: Apple
- WebKit
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: acessar um site criado com códigos maliciosos pode fazer com que o usuário acione o clique em outro site
Descrição: havia um problema ao processar eventos de toque. Um toque podia se propagar para outro site. Esse problema foi resolvido por meio de melhorias no processamento de eventos.
ID de CVE
CVE-2015-1125: Phillip Moon e Matt Weston, da www.sandfield.co.nz
- WebKit
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: acessar um site criado com códigos maliciosos pode levar ao acesso de recursos de outra origem
Descrição: havia um problema no WebKit ao processar credenciais em URLs de FTP. Esse problema foi resolvido por meio de melhorias na decodificação.
ID de CVE
CVE-2015-1126: Jouko Pynnonen, da Klikki Oy
Wi-Fi
Impacto: a senha de um usuário pode ser enviada a um ponto de acesso Wi-Fi não confiável
Descrição: a tela que informa um certificado Wi-Fi não confiável tinha apenas um botão para confiar no certificado. Se o usuário não quisesse usar o ponto de acesso Wi-Fi, precisaria pressionar o botão de Início ou de bloqueio para sair da tela. Esse problema foi resolvido com a adição de um botão "Cancelar" visível.
ID de CVE
CVE-2015-5762: Michael Santos