Sobre o conteúdo de segurança do iOS 9.1

Este documento descreve o conteúdo de segurança do iOS 9.1.

Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre Segurança do Produto Apple, consulte o site Segurança do Produto Apple.

Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte Como usar a Chave PGP de Segurança do Produto Apple.

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras atualizações de segurança, consulte Atualizações de segurança da Apple.

iOS 9.1

  • Accelerate Framework

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: acessar um site criado com códigos maliciosos pode causar a execução arbitrária de códigos

    Descrição: havia um problema de corrupção de memória no Accelerate Framework do modo multithreading. Esse problema foi resolvido por meio de melhorias na validação de elementos do assessor e no bloqueio de objetos.

    ID de CVE

    CVE-2015-5940: Apple

  • Bom

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: descompactar um arquivo com códigos maliciosos pode resultar na execução arbitrária de códigos

    Descrição: havia uma vulnerabilidade transversal de arquivos no processamento de arquivos CPIO. Esse problema foi solucionado por meio de melhorias na validação de metadados.

    ID de CVE

    CVE-2015-7006: Mark Dowd da Azimuth Security

  • CFNetwork

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: acessar um site criado com códigos maliciosos pode causar a substituição de cookies

    Descrição: havia um problema de análise ao processar cookies com letras de capitalização diferente. Esse problema foi solucionado por meio de melhorias na análise.

    ID de CVE

    CVE-2015-7023: Marvin Scholz e Michael Lutonsky; Xiaofeng Zheng e Jinjin Liang da Tsinghua University; Jian Jiang da Universidade da Califórnia, Berkeley; Haixin Duan da Tsinghua University e do International Computer Science Institute; Shuo Chen da Microsoft Research Redmond; Tao Wan da Huawei Canada; Nicholas Weaver do International Computer Science Institute e da Universidade da Califórnia, Berkeley, com coordenação do CERT/CC

  • configd

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: um aplicativo criado com códigos maliciosos pode aumentar privilégios

    Descrição: havia problema de sobrecarga de buffer com base em heap na biblioteca do cliente DNS. Um aplicativo malicioso capaz de falsificar respostas do serviço configd local pode ter causado a execução arbitrária de códigos em clientes DNS.

    ID de CVE

    CVE-2015-7015: PanguTeam

  • CoreGraphics

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: acessar um site criado com códigos maliciosos pode causar a execução arbitrária de códigos

    Descrição: havia diversos problemas de corrupção de memória no CoreGraphics. Esses problemas foram resolvidos por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-5925: Apple

    CVE-2015-5926: Apple

  • CoreText

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: processar um arquivo de fonte criado com códigos maliciosos pode resultar na execução arbitrária de códigos

    Descrição: havia diversos problemas de corrupção de memória no processamento de arquivos de fonte. Esses problemas foram solucionados por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2015-6975: John Villamil (@day6reak) da Yahoo Pentest Team

    CVE-2015-6992: John Villamil (@day6reak) da Yahoo Pentest Team

    CVE-2015-7017: John Villamil (@day6reak) da Yahoo Pentest Team

  • Imagens de Disco

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia um problema de corrupção de memória na análise de imagens de disco. Esse problema foi solucionado por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-6995: Ian Beer do Google Project Zero

  • FontParser

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: processar um arquivo de fonte criado com códigos maliciosos pode resultar na execução arbitrária de códigos

    Descrição: havia diversos problemas de corrupção de memória no processamento de arquivos de fonte. Esses problemas foram solucionados por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2015-5927: Apple

    CVE-2015-5942

    CVE-2015-6976: John Villamil (@day6reak) da Yahoo Pentest Team

    CVE-2015-6977: John Villamil (@day6reak) da Yahoo Pentest Team

    CVE-2015-6978: Jaanus Kp da Clarified Security em parceria com a Zero Day Initiative da HP

    CVE-2015-6990: John Villamil (@day6reak) da Yahoo Pentest Team

    CVE-2015-6991: John Villamil (@day6reak) da Yahoo Pentest Team

    CVE-2015-6993: John Villamil (@day6reak) da Yahoo Pentest Team

    CVE-2015-7008: John Villamil (@day6reak) da Yahoo Pentest Team

    CVE-2015-7009: John Villamil (@day6reak) da Yahoo Pentest Team

    CVE-2015-7010: John Villamil (@day6reak) da Yahoo Pentest Team

    CVE-2015-7018: John Villamil (@day6reak) da Yahoo Pentest Team

  • GasGauge

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de kernel

    Descrição: havia um problema de corrupção de memória no kernel. Esse problema foi solucionado por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-6979: PanguTeam

  • Grand Central Dispatch

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: o processamento de um pacote criado com códigos maliciosos pode causar a execução arbitrária de códigos

    Descrição: havia um problema de corrupção de memória no gerenciamento de chamadas de remessa. Esse problema foi solucionado por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-6989: Apple

  • Driver da placa gráfica

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: a execução de um aplicativo malicioso pode resultar na execução arbitrária de códigos dentro do kernel

    Descrição: havia um problema de confusão de tipos no AppleVXD393. Esse problema foi solucionado por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-6986: Proteas da Qihoo 360 Nirvan Team

  • ImageIO

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: visualizar um arquivo de imagem criado com códigos maliciosos pode causar a execução arbitrária de códigos

    Descrição: havia diversos problemas de corrupção de memória na análise dos metadados de imagem. Esses problemas foram resolvidos por meio de melhorias na validação de metadados.

    ID de CVE

    CVE-2015-5935: Apple

    CVE-2015-5936: Apple

    CVE-2015-5937: Apple

    CVE-2015-5939: Apple

  • IOAcceleratorFamily

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia um problema de corrupção de memória no IOAcceleratorFamily. Esse problema foi solucionado por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-6996: Ian Beer do Google Project Zero

  • IOHIDFamily

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de kernel

    Descrição: havia um problema de corrupção de memória no kernel. Esse problema foi solucionado por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-6974: Luca Todesco (@qwertyoruiop)

  • Kernel

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: um aplicativo local pode causar uma negação de serviço

    Descrição: havia um problema de validação de entrada no kernel. Esse problema foi solucionado por meio de melhorias na validação de entradas.

    ID de CVE

    CVE-2015-7004: Sergi Alvarez (pancake) da NowSecure Research Team

  • Kernel

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: um invasor com uma posição de rede privilegiada pode executar códigos arbitrários

    Descrição: havia um problema de memória não inicializada no kernel. Esse problema foi solucionado por meio de melhorias na inicialização da memória.

    ID de CVE

    CVE-2015-6988: The Brainy Code Scanner (m00nbsd)

  • Kernel

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: um aplicativo local pode causar uma negação de serviço

    Descrição: havia um problema ao reutilizar a memória virtual. Esse problema foi solucionado por meio de melhorias na validação.

    ID de CVE

    CVE-2015-6994: Mark Mentovai do Google Inc.

  • mDNSResponder

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: um invasor externo pode conseguir causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: havia vários problemas de corrupção de memória na análise de dados DNS. Esses problemas foram solucionados por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2015-7987: Alexandre Helie

  • mDNSResponder

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: um aplicativo local pode causar uma negação de serviço

    Descrição: um problema de cancelamento de referência de ponteiro nulo foi resolvido por meio de melhoria do processamento de memória.

    ID de CVE

    CVE-2015-7988: Alexandre Helie

  • Central de Notificações

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: notificações do Telefone e Mensagens podem aparecer na tela de bloqueio mesmo quando desativadas

    Descrição: quando a opção "Mostrar na Tela Bloqueada" estava desativada para Telefone ou Mensagens, as alterações de ajustes não eram aplicadas imediatamente. Esse problema foi resolvido por meio da melhoria do gerenciamento de estado.

    ID de CVE

    CVE-2015-7000: William Redwood da Hampton School

  • OpenGL

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: acessar um site criado com códigos maliciosos pode causar a execução arbitrária de códigos

    Descrição: havia um problema de corrupção de memória no OpenGL. Esse problema foi solucionado por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-5924: Apple

  • Segurança

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: o processamento de um certificado criado com códigos maliciosos pode causar a execução arbitrária de códigos

    Descrição: havia diversos problemas de corrupção de memória no decodificador ASN.1. Esses problemas foram solucionados por meio de melhorias na validação de entradas.

    ID de CVE

    CVE-2015-7059: David Keeler da Mozilla

    CVE-2015-7060: Tyson Smith da Mozilla

    CVE-2015-7061: Ryan Sleevi da Google

  • Segurança

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: um aplicativo malicioso pode sobrescrever arquivos arbitrários

    Descrição: havia um problema do tipo "double free" durante o processamento de descritores AtomicBufferedFile. Esse problema foi resolvido por meio de melhorias na validação de descritores AtomicBufferedFile.

    ID de CVE

    CVE-2015-6983: David Benjamin, Greg Kerr, Mark Mentovai e Sergey Ulanov da Chrome Team

  • Segurança

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: um invasor pode fazer com que um certificado revogado seja mostrado como válido

    Descrição: havia um problema de validação no cliente OCSP. Esse problema foi resolvido verificando o horário de expiração do certificado OCSP.

    ID de CVE

    CVE-2015-6999: Apple

  • Segurança

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: uma avaliação de confiança configurada para exigir a verificação da revogação pode obter sucesso mesmo em caso de falha na verificação da revogação

    Descrição: a sinalização kSecRevocationRequirePositiveResponse era especificada, mas não implementada. Esse problema foi resolvido implementando a sinalização.

    ID de CVE

    CVE-2015-6997: Apple

  • Telefonia

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: um aplicativo malicioso pode causar vazamento de informações confidenciais do usuário

    Descrição: havia um problema nas verificações de autorização para consultar o status de uma chamada telefônica. Esse problema foi resolvido por meio de consultas de estado de autorização adicionais.

    ID de CVE

    CVE-2015-7022: Andreas Kurtz da NESO Security Labs

  • WebKit

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior, iPad 2 e posterior

    Impacto: acessar um site criado com códigos maliciosos pode causar a execução arbitrária de códigos

    Descrição: havia diversos problemas de memória corrompida no WebKit. Esses problemas foram resolvidos por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-5928: Apple

    CVE-2015-5929: Apple

    CVE-2015-5930: Apple

    CVE-2015-6981

    CVE-2015-6982

    CVE-2015-7002: Apple

    CVE-2015-7005: Apple

    CVE-2015-7012: Apple

    CVE-2015-7014

    CVE-2015-7104: Apple

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Os riscos são inerentes ao uso da internet. Entre em contato com o fornecedor para obter mais informações. Nomes de outras empresas e produtos podem ser marcas registradas de seus respectivos proprietários.

Data da publicação: