Sobre o conteúdo de segurança do iOS 9.3.2

Este documento descreve o conteúdo de segurança do iOS 9.3.2.

Para garantir a proteção de nossos clientes, a Apple não divulga, discute ou confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre Segurança do Produto Apple, consulte o site Segurança do Produto Apple.

Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo Como usar a Chave PGP de Segurança do Produto Apple.

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras atualizações de segurança, consulte Atualizações de segurança da Apple.

iOS 9.3.2

  • Acessibilidade

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um aplicativo malicioso pode causar o vazamento de informações confidenciais do usuário

    Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.

    ID de CVE

    CVE-2016-1790: Rapelly Akhil

  • CFNetwork Proxies

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um invasor em uma posição de rede privilegiada pode causar o vazamento de informações confidenciais do usuário

    Descrição: havia um vazamento de informações no processamento de solicitações de HTTP e HTTPS. Esse problema foi resolvido por meio de melhorias no gerenciamento de URLs.

    ID de CVE

    CVE-2016-1801: Alex Chapman e Paul Stone da Context Information Security

  • CommonCrypto

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um aplicativo malicioso pode causar vazamento de informações confidenciais do usuário

    Descrição: havia um problema no processamento de valores de retorno no CCCrypt. Esse problema foi resolvido por meio de melhorias no gerenciamento do comprimento das chaves.

    ID de CVE

    CVE-2016-1802: Klaus Rodewig

  • CoreCapture

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um aplicativo pode causar a execução arbitrária de códigos com privilégios de kernel

    Descrição: um problema de cancelamento de referência de ponteiro nulo foi resolvido por meio de melhorias na validação.

    ID de CVE

    CVE-2016-1803: Ian Beer do Google Project Zero em parceria com a Zero Day Initiative da Trend Micro

  • Imagens de Disco

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um invasor local pode ler a memória do kernel

    Descrição: uma condição de corrida foi solucionada por meio de melhorias no bloqueio.

    ID de CVE

    CVE-2016-1807: Ian Beer do Google Project Zero

  • Imagens de Disco

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um aplicativo pode causar a execução arbitrária de códigos com privilégios de kernel

    Descrição: havia um problema de corrompimento de memória na análise de imagens de disco. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2016-1808: Moony Li (@Flyic) e Jack Tang (@jacktang310) da Trend Micro

  • ImageIO

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: processar uma imagem criada com códigos maliciosos pode causar uma negação de serviço

    Descrição: um problema de cancelamento de referência de ponteiro nulo foi resolvido por meio de melhorias na validação.

    ID de CVE

    CVE-2016-1811: Lander Brandt (@landaire)

  • IOAcceleratorFamily

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um aplicativo pode causar a execução arbitrária de códigos com privilégios de kernel

    Descrição: vários problemas de corrompimento de memória foram resolvidos por meio de melhorias no processamento de memória.

    ID de CVE

    CVE-2016-1817: Moony Li (@Flyic) e Jack Tang (@jacktang310) da Trend Micro em parceria com a Zero Day Initiative da Trend Micro

    CVE-2016-1818: Juwei Lin da TrendMicro, sweetchip@GRAYHASH em parceria com a Zero Day Initiative da Trend Micro

    CVE-2016-1819: Ian Beer do Google Project Zero

    Entrada atualizada em 13 de dezembro de 2016

  • IOAcceleratorFamily

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um aplicativo pode causar uma negação de serviço

    Descrição: um problema de cancelamento de referência de ponteiro nulo foi resolvido por meio de melhorias no bloqueio.

    ID de CVE

    CVE-2016-1814: Juwei Lin da TrendMicro

  • IOAcceleratorFamily

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um aplicativo pode causar a execução arbitrária de códigos com privilégios de kernel

    Descrição: um problema de cancelamento de referência de ponteiro nulo foi resolvido por meio de melhorias na validação.

    ID de CVE

    CVE-2016-1813: Ian Beer do Google Project Zero

  • IOHIDFamily

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um aplicativo pode causar a execução arbitrária de códigos com privilégios de kernel

    Descrição: um problema de corrompimento de memória foi resolvido por meio de melhorias no processamento de memória.

    ID de CVE

    CVE-2016-1823: Ian Beer do Google Project Zero

    CVE-2016-1824: Marco Grassi (@marcograss) da KeenLab (@keen_lab), Tencent

    CVE-2016-4650: Peter Pi da Trend Micro em parceria com a HPs Zero Day Initiative

  • Kernel

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um aplicativo pode causar a execução arbitrária de códigos com privilégios de kernel

    Descrição: vários problemas de corrompimento de memória foram resolvidos por meio de melhorias no processamento de memória.

    ID de CVE

    CVE-2016-1827: Brandon Azad

    CVE-2016-1828: Brandon Azad

    CVE-2016-1829: CESG

    CVE-2016-1830: Brandon Azad

    CVE-2016-1831: Brandon Azad

  • libc

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um invasor externo pode causar o encerramento inesperado de aplicativos inesperadamente ou a execução arbitrária de códigos

    Descrição: um problema de corrompimento de memória foi resolvido por meio de melhorias na validação de entradas.

    ID de CVE

    CVE-2016-1832: Karl Williamson

  • libxml2

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: o processamento de um arquivo XML criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: vários problemas de corrompimento de memória foram resolvidos por meio de melhorias no processamento de memória.

    ID de CVE

    CVE-2016-1833: Mateusz Jurczyk

    CVE-2016-1834: Apple

    CVE-2016-1835: Wei Lei e Liu Yang da Nanyang Technological University

    CVE-2016-1836: Wei Lei e Liu Yang da Nanyang Technological University

    CVE-2016-1837: Wei Lei e Liu Yang da Nanyang Technological University

    CVE-2016-1838: Mateusz Jurczyk

    CVE-2016-1839: Mateusz Jurczyk

    CVE-2016-1840: Kostya Serebryany

  • libxslt

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: acessar um site criado com códigos maliciosos pode causar a execução arbitrária de códigos

    Descrição: um problema de corrompimento de memória foi resolvido por meio de melhorias no processamento de memória.

    ID de CVE

    CVE-2016-1841: Sebastian Apelt

  • MapKit

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um invasor em uma posição de rede privilegiada pode causar o vazamento de informações confidenciais do usuário

    Descrição: os links compartilhados eram enviados com HTTP, e não com HTTPS. Isso foi corrigido pela ativação de HTTPS para links compartilhados.

    ID de CVE

    CVE-2016-1842: Richard Shupak (https://www.linkedin.com/in/rshupak)

  • OpenGL

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: processar conteúdo da web criado com códigos maliciosos pode resultar na execução arbitrária de códigos

    Descrição: vários problemas de corrompimento de memória foram resolvidos por meio de melhorias no processamento de memória.

    ID de CVE

    CVE-2016-1847: Tongbo Luo e Bo Qu da Palo Alto Networks

  • Safari

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: um usuário poderia não conseguir apagar totalmente o histórico de navegação

    Descrição: a opção "Limpar Histórico e Dados dos Sites" não apagava o histórico. Esse problema foi resolvido por meio de melhorias no apagamento de dados.

    ID de CVE

    CVE-2016-1849: um pesquisador anônimo

  • Siri

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: uma pessoa com acesso físico a um dispositivo iOS poderia conseguir usar a Siri para acessar contatos e fotos a partir da tela bloqueada

    Descrição: havia um problema de gerenciamento de estado ao acessar os resultados da Siri na tela bloqueada. Esse problema foi resolvido por meio da desativação de detectores de dados nos resultados do Twitter quando o dispositivo está bloqueado.

    ID de CVE

    CVE-2016-1852: videosdebarraquito

  • WebKit

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: o acesso a um site malicioso pode divulgar dados de outro site

    Descrição: um problema de análise por taint tracking insuficiente na análise de imagens svg foi resolvido por meio de melhorias na análise por taint tracking.

    ID de CVE

    CVE-2016-1858: um pesquisador anônimo

  • WebKit

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: acessar um site criado com códigos maliciosos pode causar a execução arbitrária de códigos

    Descrição: vários problemas de corrompimento de memória foram resolvidos por meio de melhorias no processamento de memória.

    ID de CVE

    CVE-2016-1854: anônimo em parceria com a Zero Day Initiative da Trend Micro

    CVE-2016-1855: Tongbo Luo e Bo Qu da Palo Alto Networks

    CVE-2016-1856: lokihardt em parceria com a Zero Day Initiative da Trend Micro

    CVE-2016-1857: Jeonghoon Shin@A.D.D e Liang Chen, Zhen Feng, wushi do KeenLab, Tencent em parceria com a Zero Day Initiative da Trend Micro

  • WebKit Canvas

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior

    Impacto: acessar um site criado com códigos maliciosos pode causar a execução arbitrária de códigos

    Descrição: vários problemas de corrompimento de memória foram resolvidos por meio de melhorias no processamento de memória.

    ID de CVE

    CVE-2016-1859: Liang Chen, wushi do KeenLab, Tencent em parceria com a Zero Day Initiative da Trend Micro

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: