Sobre o conteúdo de segurança do iOS 9.3.2
Este documento descreve o conteúdo de segurança do iOS 9.3.2.
Para garantir a proteção de nossos clientes, a Apple não divulga, discute ou confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre Segurança do Produto Apple, consulte o site Segurança do Produto Apple.
Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo Como usar a Chave PGP de Segurança do Produto Apple.
Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.
Para saber mais sobre outras atualizações de segurança, consulte Atualizações de segurança da Apple.
iOS 9.3.2
Acessibilidade
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um aplicativo malicioso pode causar o vazamento de informações confidenciais do usuário
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.
ID de CVE
CVE-2016-1790: Rapelly Akhil
CFNetwork Proxies
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um invasor em uma posição de rede privilegiada pode causar o vazamento de informações confidenciais do usuário
Descrição: havia um vazamento de informações no processamento de solicitações de HTTP e HTTPS. Esse problema foi resolvido por meio de melhorias no gerenciamento de URLs.
ID de CVE
CVE-2016-1801: Alex Chapman e Paul Stone da Context Information Security
CommonCrypto
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um aplicativo malicioso pode causar vazamento de informações confidenciais do usuário
Descrição: havia um problema no processamento de valores de retorno no CCCrypt. Esse problema foi resolvido por meio de melhorias no gerenciamento do comprimento das chaves.
ID de CVE
CVE-2016-1802: Klaus Rodewig
CoreCapture
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um aplicativo pode causar a execução arbitrária de códigos com privilégios de kernel
Descrição: um problema de cancelamento de referência de ponteiro nulo foi resolvido por meio de melhorias na validação.
ID de CVE
CVE-2016-1803: Ian Beer do Google Project Zero em parceria com a Zero Day Initiative da Trend Micro
Imagens de Disco
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um invasor local pode ler a memória do kernel
Descrição: uma condição de corrida foi solucionada por meio de melhorias no bloqueio.
ID de CVE
CVE-2016-1807: Ian Beer do Google Project Zero
Imagens de Disco
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um aplicativo pode causar a execução arbitrária de códigos com privilégios de kernel
Descrição: havia um problema de corrompimento de memória na análise de imagens de disco. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2016-1808: Moony Li (@Flyic) e Jack Tang (@jacktang310) da Trend Micro
ImageIO
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: processar uma imagem criada com códigos maliciosos pode causar uma negação de serviço
Descrição: um problema de cancelamento de referência de ponteiro nulo foi resolvido por meio de melhorias na validação.
ID de CVE
CVE-2016-1811: Lander Brandt (@landaire)
IOAcceleratorFamily
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um aplicativo pode causar a execução arbitrária de códigos com privilégios de kernel
Descrição: vários problemas de corrompimento de memória foram resolvidos por meio de melhorias no processamento de memória.
ID de CVE
CVE-2016-1817: Moony Li (@Flyic) e Jack Tang (@jacktang310) da Trend Micro em parceria com a Zero Day Initiative da Trend Micro
CVE-2016-1818: Juwei Lin da TrendMicro, sweetchip@GRAYHASH em parceria com a Zero Day Initiative da Trend Micro
CVE-2016-1819: Ian Beer do Google Project Zero
Entrada atualizada em 13 de dezembro de 2016
IOAcceleratorFamily
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um aplicativo pode causar uma negação de serviço
Descrição: um problema de cancelamento de referência de ponteiro nulo foi resolvido por meio de melhorias no bloqueio.
ID de CVE
CVE-2016-1814: Juwei Lin da TrendMicro
IOAcceleratorFamily
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um aplicativo pode causar a execução arbitrária de códigos com privilégios de kernel
Descrição: um problema de cancelamento de referência de ponteiro nulo foi resolvido por meio de melhorias na validação.
ID de CVE
CVE-2016-1813: Ian Beer do Google Project Zero
IOHIDFamily
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um aplicativo pode causar a execução arbitrária de códigos com privilégios de kernel
Descrição: um problema de corrompimento de memória foi resolvido por meio de melhorias no processamento de memória.
ID de CVE
CVE-2016-1823: Ian Beer do Google Project Zero
CVE-2016-1824: Marco Grassi (@marcograss) da KeenLab (@keen_lab), Tencent
CVE-2016-4650: Peter Pi da Trend Micro em parceria com a HPs Zero Day Initiative
Kernel
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um aplicativo pode causar a execução arbitrária de códigos com privilégios de kernel
Descrição: vários problemas de corrompimento de memória foram resolvidos por meio de melhorias no processamento de memória.
ID de CVE
CVE-2016-1827: Brandon Azad
CVE-2016-1828: Brandon Azad
CVE-2016-1829: CESG
CVE-2016-1830: Brandon Azad
CVE-2016-1831: Brandon Azad
libc
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um invasor externo pode causar o encerramento inesperado de aplicativos inesperadamente ou a execução arbitrária de códigos
Descrição: um problema de corrompimento de memória foi resolvido por meio de melhorias na validação de entradas.
ID de CVE
CVE-2016-1832: Karl Williamson
libxml2
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: o processamento de um arquivo XML criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: vários problemas de corrompimento de memória foram resolvidos por meio de melhorias no processamento de memória.
ID de CVE
CVE-2016-1833: Mateusz Jurczyk
CVE-2016-1834: Apple
CVE-2016-1835: Wei Lei e Liu Yang da Nanyang Technological University
CVE-2016-1836: Wei Lei e Liu Yang da Nanyang Technological University
CVE-2016-1837: Wei Lei e Liu Yang da Nanyang Technological University
CVE-2016-1838: Mateusz Jurczyk
CVE-2016-1839: Mateusz Jurczyk
CVE-2016-1840: Kostya Serebryany
libxslt
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: acessar um site criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema de corrompimento de memória foi resolvido por meio de melhorias no processamento de memória.
ID de CVE
CVE-2016-1841: Sebastian Apelt
MapKit
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um invasor em uma posição de rede privilegiada pode causar o vazamento de informações confidenciais do usuário
Descrição: os links compartilhados eram enviados com HTTP, e não com HTTPS. Isso foi corrigido pela ativação de HTTPS para links compartilhados.
ID de CVE
CVE-2016-1842: Richard Shupak (https://www.linkedin.com/in/rshupak)
OpenGL
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: processar conteúdo da web criado com códigos maliciosos pode resultar na execução arbitrária de códigos
Descrição: vários problemas de corrompimento de memória foram resolvidos por meio de melhorias no processamento de memória.
ID de CVE
CVE-2016-1847: Tongbo Luo e Bo Qu da Palo Alto Networks
Safari
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um usuário poderia não conseguir apagar totalmente o histórico de navegação
Descrição: a opção "Limpar Histórico e Dados dos Sites" não apagava o histórico. Esse problema foi resolvido por meio de melhorias no apagamento de dados.
ID de CVE
CVE-2016-1849: um pesquisador anônimo
Siri
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: uma pessoa com acesso físico a um dispositivo iOS poderia conseguir usar a Siri para acessar contatos e fotos a partir da tela bloqueada
Descrição: havia um problema de gerenciamento de estado ao acessar os resultados da Siri na tela bloqueada. Esse problema foi resolvido por meio da desativação de detectores de dados nos resultados do Twitter quando o dispositivo está bloqueado.
ID de CVE
CVE-2016-1852: videosdebarraquito
WebKit
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: o acesso a um site malicioso pode divulgar dados de outro site
Descrição: um problema de análise por taint tracking insuficiente na análise de imagens svg foi resolvido por meio de melhorias na análise por taint tracking.
ID de CVE
CVE-2016-1858: um pesquisador anônimo
WebKit
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: acessar um site criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: vários problemas de corrompimento de memória foram resolvidos por meio de melhorias no processamento de memória.
ID de CVE
CVE-2016-1854: anônimo em parceria com a Zero Day Initiative da Trend Micro
CVE-2016-1855: Tongbo Luo e Bo Qu da Palo Alto Networks
CVE-2016-1856: lokihardt em parceria com a Zero Day Initiative da Trend Micro
CVE-2016-1857: Jeonghoon Shin@A.D.D e Liang Chen, Zhen Feng, wushi do KeenLab, Tencent em parceria com a Zero Day Initiative da Trend Micro
WebKit Canvas
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: acessar um site criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: vários problemas de corrompimento de memória foram resolvidos por meio de melhorias no processamento de memória.
ID de CVE
CVE-2016-1859: Liang Chen, wushi do KeenLab, Tencent em parceria com a Zero Day Initiative da Trend Micro
As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.