Sobre o conteúdo de segurança do iOS 9.2

Este documento descreve o conteúdo de segurança do iOS 9.2.

Para garantir a proteção de nossos clientes, a Apple não divulga, discute ou confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a Segurança do Produto Apple, consulte o site sobre segurança do produto Apple.

Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo Como usar a Chave PGP de Segurança do Produto Apple.

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.

iOS 9.2

  • AppleMobileFileIntegrity

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: um problema de controle de acesso foi resolvido ao evitar a modificação das estruturas de controle de acesso.

    ID de CVE

    CVE-2015-7055: Apple

  • AppSandbox

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um aplicativo com código malicioso pode manter o acesso aos Contatos depois de ter o acesso revogado

    Descrição: havia um problema no processamento de links físicos na área restrita. Esse problema foi resolvido por meio de melhorias na proteção da área restrita do app.

    ID de CVE

    CVE-2015-7001: Razvan Deaconescu e Mihai Bucicoiu da University POLITEHNICA of Bucharest; Luke Deshotels e William Enck da North Carolina State University; Lucas Vincenzo Davi e Ahmad-Reza Sadeghi da TU Darmstadt

  • CFNetwork HTTPProtocol

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um invasor com posição de rede privilegiada pode conseguir ignorar o HSTS

    Descrição: havia um problema de validação de entrada no processamento de URL. Esse problema foi resolvido por meio de melhorias na validação de URL.

    ID de CVE

    CVE-2015-7094: Tsubasa Iinuma (@llamakko_cafe) da Gehirn Inc. e Muneaki Nishimura (nishimunea)

  • Compressão

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: acessar um site criado com códigos maliciosos pode causar a execução arbitrária de códigos

    Descrição: havia um problema de acesso à memória não inicializada no zlib. Esse problema foi resolvido por meio de melhorias na inicialização da memória e na validação adicional de fluxos de zlib.

    ID de CVE

    CVE-2015-7054: j00ru

  • CoreGraphics

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: o processamento de um arquivo de fonte criado com códigos maliciosos pode resultar na execução arbitrária de códigos

    Descrição: havia um problema de corrupção de memória no processamento de arquivos de fonte. Esse problema foi resolvido por meio de melhorias na validação de entrada.

    ID de CVE

    CVE-2015-7105: John Villamil (@day6reak), Yahoo Pentest Team

  • CoreMedia Playback

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: acessar um site criado com códigos maliciosos pode causar a execução arbitrária de códigos

    Descrição: havia vários problemas de corrupção de memória no processamento de arquivos de mídia inválidos. Esses problemas foram resolvidos por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-7074: Apple

    CVE-2015-7075

  • dyld

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia vários problemas de validação de segmento no dyld. Esses problemas foram resolvidos por meio de melhorias na limpeza do ambiente.

    ID de CVE

    CVE-2015-7072: Apple

    CVE-2015-7079: PanguTeam

  • GPUTools Framework

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia vários problemas de validação de caminho no Mobile Replayer. Esses problemas foram resolvidos por meio de melhorias na limpeza do ambiente.

    ID de CVE

    CVE-2015-7069: Luca Todesco (@qwertyoruiop)

    CVE-2015-7070: Luca Todesco (@qwertyoruiop)

  • iBooks

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: analisar um arquivo malicioso do iBooks pode levar à divulgação de informações do usuário

    Descrição: havia um problema de referência à entidade externa XML na análise de iBooks. Esse problema foi resolvido por meio de melhorias na análise.

    ID de CVE

    CVE-2015-7081: Behrouz Sadeghipour (@Nahamsec) e Patrik Fehrenbach (@ITSecurityguard)

  • ImageIO

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: o processamento de uma imagem criada com códigos maliciosos pode causar a execução arbitrária de códigos

    Descrição: havia um problema de corrupção de memória no ImageIO. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-7053: Apple

  • IOHIDFamily

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia vários problemas de corrupção de memória no API IOHIDFamily. Esses problemas foram resolvidos por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-7111: beist e ABH da BoB

    CVE-2015-7112: Ian Beer do Google Project Zero

  • IOKit SCSI

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um aplicativo com código malicioso pode causar a execução arbitrária de códigos com privilégios de kernel

    Descrição: havia um problema de cancelamento de referência de ponteiro nulo no processamento de determinados tipos de userclient. Esse problema foi resolvido por meio de melhorias na validação.

    ID de CVE

    CVE-2015-7068: Ian Beer do Google Project Zero

  • Kernel

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um aplicativo local pode causar uma negação de serviço

    Descrição: vários problemas de negação de serviço foram resolvidos por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-7040: Lufeng Li da Qihoo 360 Vulcan Team

    CVE-2015-7041: Lufeng Li da Qihoo 360 Vulcan Team

    CVE-2015-7042: Lufeng Li da Qihoo 360 Vulcan Team

    CVE-2015-7043: Tarjei Mandt (@kernelpool)

  • Kernel

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um usuário local pode causar a execução arbitrária de códigos com privilégios de kernel

    Descrição: havia vários problemas de corrupção de memória no kernel. Esses problemas foram resolvidos por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-7083: Ian Beer do Google Project Zero

    CVE-2015-7084: Ian Beer do Google Project Zero

  • Kernel

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um usuário local pode causar a execução arbitrária de códigos com privilégios de kernel

    Descrição: havia um problema na análise de mensagens mach. Esse problema foi resolvido por meio de melhorias na validação de mensagens mach.

    ID de CVE

    CVE-2015-7047: Ian Beer do Google Project Zero

  • LaunchServices

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia um problema de corrupção de memória no processamento de plists inválidas. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-7113: Olivier Goguel da Free Tools Association

  • libarchive

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: acessar um site criado com códigos maliciosos pode causar a execução arbitrária de códigos

    Descrição: havia um problema de corrupção de memória no processamento de arquivos. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2011-2895: @practicalswift

  • libc

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: o processamento de um pacote criado com códigos maliciosos pode causar a execução arbitrária de códigos

    Descrição: havia vários estouros de buffer na biblioteca padrão C. Esses problemas foram resolvidos por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2015-7038: Brian D. Wells de E. W. Scripps; Narayan Subramanian da Symantec Corporation/Veritas LLC

    CVE-2015-7039: Maksymilian Arciemowicz (CXSECURITY.COM)

    Entrada atualizada em 3 de março de 2017

  • libxml2

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: analisar um documento XML criado com códigos maliciosos pode levar à divulgação das informações do usuário

    Descrição: havia um problema de corrupção de memória na análise de arquivos XML. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-7115: Wei Lei e Liu Yang da Nanyang Technological University

    CVE-2015-7116: Wei Lei e Liu Yang da Nanyang Technological University

  • MobileStorageMounter

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia um problema de tempo no carregamento do cache confiável. Esse problema foi resolvido com a validação do ambiente de sistema antes de carregar o cache confiável.

    ID de CVE

    CVE-2015-7051: PanguTeam

  • OpenGL

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: acessar um site criado com códigos maliciosos pode causar a execução arbitrária de códigos

    Descrição: havia vários problemas de corrupção de memória no OpenGL. Esses problemas foram resolvidos por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-7064: Apple

    CVE-2015-7065: Apple

    CVE-2015-7066: Tongbo Luo e Bo Qu da Palo Alto Networks

  • Fotos

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um invasor pode usar o sistema de backup para acessar áreas restritas do sistema de arquivos

    Descrição: havia um problema de validação de caminhos no Mobile Backup. Esse problema foi resolvido por meio de melhorias na limpeza do ambiente.

    ID de CVE

    CVE-2015-7037: PanguTeam

  • QuickLook

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: abrir um arquivo do iWork criado com códigos maliciosos pode resultar na execução arbitrária de códigos

    Descrição: havia um problema de corrupção de memória no processamento de arquivos do iWork. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-7107

  • Safari

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: acessar um site malicioso pode levar à falsificação da interface de usuário

    Descrição: um problema pode ter permitido que um site exibisse conteúdo com o URL de um site diferente. Esse problema foi resolvido por meio de melhorias no gerenciamento de URLs.

    ID de CVE

    CVE-2015-7093: xisigr da Tencent's Xuanwu LAB (www.tencent.com)

  • Área restrita

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um aplicativo com código malicioso com privilégios raiz pode ignorar o ASLR (Address Space Layout Randomization) de kernel

    Descrição: havia um problema de separação insuficiente de privilégio no xnu. Esse problema foi resolvido por meio de melhorias nas verificações de autorização.

    ID de CVE

    CVE-2015-7046: Apple

  • Segurança

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um invasor remoto pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: havia um problema de corrupção de memória no processamento de handshake de SSL. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-7073: Benoit Foucher da ZeroC, Inc.

  • Segurança

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um aplicativo com código malicioso pode obter acesso aos itens das Chaves de um usuário

    Descrição: havia um problema na validação das listas de controle de acesso de itens das Chaves. Esse problema foi resolvido por meio de melhorias na verificação das listas de controle de acesso.

    ID de CVE

    CVE-2015-7058

  • Siri

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: uma pessoa com acesso físico a um dispositivo iOS pode usar a Siri para ler notificações de conteúdo definidas para não serem exibidas na tela bloqueada

    Descrição: quando uma solicitação era feita à Siri, as restrições do cliente não eram verificadas pelo servidor. Esse problema foi resolvido por meio de melhorias na verificação de restrições.

    ID de CVE

    CVE-2015-7080: Or Safran (www.linkedin.com/profile/view?id=33912591)

  • WebKit

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: acessar um site criado com códigos maliciosos pode causar a execução arbitrária de códigos

    Descrição: havia vários problemas de corrupção de memória no WebKit. Esses problemas foram resolvidos por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-7048: Apple

    CVE-2015-7095: Apple

    CVE-2015-7096: Apple

    CVE-2015-7097: Apple

    CVE-2015-7098: Apple

    CVE-2015-7099: Apple

    CVE-2015-7100: Apple

    CVE-2015-7101: Apple

    CVE-2015-7102: Apple

    CVE-2015-7103: Apple

  • WebKit

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: acessar um site criado com códigos maliciosos pode exibir o histórico de navegação de um usuário

    Descrição: havia um problema de validação de entrada insuficiente no bloqueio de conteúdo. Esse problema foi resolvido por meio de melhorias na análise de extensão de conteúdo.

    ID de CVE

    CVE-2015-7050: Luke Li e Jonathan Metzman

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: