Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.
Para obter mais informações sobre segurança, consulte a página Segurança do produto Apple. É possível criptografar as comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
iOS 9.3.3
Lançado em 18 de julho de 2016
Calendário
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: o convite de um calendário criado com códigos maliciosos pode fazer com que um dispositivo reinicie inesperadamente
Descrição: um problema de cancelamento de referência de ponteiro nulo foi resolvido por meio de melhorias no processamento da memória.
CVE-2016-4605: Henry Feldman MD do Beth Israel Deaconess Medical Center
CFNetwork Credentials
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um invasor em uma posição de rede privilegiada pode causar o vazamento de informações confidenciais do usuário
Descrição: havia um problema de downgrade com credenciais de autenticação HTTP salvas nas Chaves. Esse problema foi solucionado por meio do armazenamento dos tipos de autenticação com as credenciais.
CVE-2016-4644: Jerry Decime com coordenação do CERT
CFNetwork Proxies
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um invasor em uma posição de rede privilegiada pode causar o vazamento de informações confidenciais do usuário
Descrição: havia um problema de validação na análise de 407 respostas. Esse problema foi solucionado por meio de melhorias na validação de respostas.
CVE-2016-4643: Xiaofeng Zheng da Blue Lotus Team, Tsinghua University; Jerry Decime com coordenação do CERT
CFNetwork Proxies
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um aplicativo pode enviar involuntariamente uma senha sem criptografia pela rede
Descrição: uma autenticação de proxy informava que proxies HTTP recebiam credenciais com segurança. Esse problema foi solucionado por meio de melhorias nos avisos.
CVE-2016-4642: Jerry Decime com coordenação do CERT
CoreGraphics
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um invasor remoto pode executar códigos arbitrários
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2016-4637: Tyler Bohan da Cisco Talos (talosintel.com/vulnerability-reports)
FaceTime
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um invasor em uma posição de rede privilegiada pode fazer com que uma chamada retransmitida continue transmitindo áudio embora pareça ter sido encerrada
Descrição: havia inconsistências na interface de usuário no processamento de chamadas retransmitidas. Esses problemas foram solucionados por meio de melhorias na lógica de exibição do FaceTime.
CVE-2016-4635: Martin Vigo
GasGauge
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de kernel
Descrição: havia um problema de memória corrompida no kernel. Esse problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2016-7576: qwertyoruiop
Entrada adicionada em 27 de setembro de 2016
ImageIO
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um invasor remoto pode causar uma negação de serviço
Descrição: um problema de consumo de memória foi solucionado por meio de melhorias no processamento da memória.
CVE-2016-4632: Evgeny Sidorov da Yandex
ImageIO
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um invasor remoto pode executar códigos arbitrários
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.
CVE-2016-4631: Tyler Bohan da Cisco Talos (talosintel.com/vulnerability-reports)
ImageIO
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: processar uma imagem criada com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2016-7705: Craig Young da Tripwire VERT
Entrada adicionada em 30 de novembro de 2017
IOAcceleratorFamily
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um usuário local pode ler a memória do kernel
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na verificação de limites.
CVE-2016-4628: Ju Zhu da Trend Micro
IOAcceleratorFamily
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um usuário local pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de cancelamento de referência de ponteiro nulo foi resolvido por meio de melhorias na validação.
CVE-2016-4627: Ju Zhu da Trend Micro
IOHIDFamily
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um usuário local pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de cancelamento de referência de ponteiro nulo foi resolvido por meio de melhorias na validação de entradas.
CVE-2016-4626: Stefan Esser da SektionEins
Kernel
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um usuário local pode executar códigos arbitrários com privilégios de kernel
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.
CVE-2016-1863: Ian Beer do Google Project Zero
CVE-2016-4653: Ju Zhu da Trend Micro
CVE-2016-4582: Shrek_wzw e Proteas da Qihoo 360 Nirvan Team
Kernel
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um usuário local pode causar uma negação de serviço do sistema
Descrição: um problema de cancelamento de referência de ponteiro nulo foi resolvido por meio de melhorias na validação de entradas.
CVE-2016-1865: CESG, Marco Grassi (@marcograss) do KeenLab (@keen_lab), Tencent
Libc
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um invasor remoto pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: ocorria um estouro de buffer dentro da função "link_ntoa()" do linkaddr.c. Esse problema foi resolvido por meio de outras verificações de limites.
CVE-2016-6559: Apple
Entrada adicionada em 10 de janeiro de 2017
libxml2
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: várias vulnerabilidades no libxml2
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.
CVE-2015-8317: Hanno Boeck
CVE-2016-1836: Wei Lei e Liu Yang da Nanyang Technological University
CVE-2016-4447: Wei Lei e Liu Yang da Nanyang Technological University
CVE-2016-4448: Apple
CVE-2016-4483: Gustavo Grieco
CVE-2016-4614: Nick Wellnhofer
CVE-2016-4615: Nick Wellnhofer
CVE-2016-4616: Michael Paddon
Entrada atualizada em 4 de junho de 2017
libxml2
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: analisar um documento XML criado com códigos maliciosos pode levar à divulgação das informações do usuário
Descrição: havia um problema de acesso na análise de arquivos XML criados com códigos maliciosos. Esse problema foi resolvido por meio de melhorias na validação de entradas.
CVE-2016-4449: Kostya Serebryany
libxslt
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: diversas vulnerabilidades no libxslt
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.
CVE-2016-1683: Nicolas Grégoire
CVE-2016-1684: Nicolas Grégoire
CVE-2016-4607: Nick Wellnhofer
CVE-2016-4608: Nicolas Grégoire
CVE-2016-4609: Nick Wellnhofer
CVE-2016-4610: Nick Wellnhofer
Entrada atualizada em 11 de abril de 2017
Safari
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: acessar um site malicioso pode levar à falsificação da interface de usuário
Descrição: o redirecionamento de respostas para portas inválidas pode ter permitido que um site malicioso exibisse um domínio arbitrário enquanto mostrava conteúdo arbitrário. Esse problema foi resolvido por meio de melhorias na lógica de exibição de URL.
CVE-2016-4604: xisigr do Xuanwu Lab da Tencent (www.tencent.com)
Perfis de área restrita
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um aplicativo local pode ter acesso à lista de projetos
Descrição: havia um problema de acesso com chamadas de API privilegiadas. Esse problema foi resolvido por meio de restrições adicionais.
CVE-2016-4594: Stefan Esser da SektionEins
Contatos da Siri
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: uma pessoa com acesso físico a um dispositivo pode ver informações privadas do contato
Descrição: havia um problema de privacidade no processamento dos cartões de contato. Esse problema foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2016-4593: Pedro Pinheiro (facebook.com/pedro.pinheiro.1996)
Web Media
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: a visualização de um vídeo no modo de Navegação Privada do Safari exibe o URL do vídeo fora do modo de Navegação Privada
Descrição: havia um problema de privacidade no processamento de dados do usuário ocasionado pelo Controle de Visualização do Safari. Esse problema foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2016-4603: Brian Porter (@portex33)
WebKit
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: acessar um site criado com códigos maliciosos pode resultar na divulgação de memória do processo
Descrição: um problema de inicialização de memória foi resolvido por meio de melhorias no processamento da memória.
CVE-2016-4587: Apple
WebKit
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: acessar um site malicioso pode divulgar dados de imagem de outro site
Descrição: havia um problema de tempo no processamento de SVG. Esse problema foi resolvido por meio de melhorias na validação.
CVE-2016-4583: Roeland Krak
WebKit
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: acessar um site criado com códigos maliciosos pode levar ao vazamento de dados confidenciais
Descrição: havia um problema de permissões no processamento da variável de localização. Isso foi resolvido por meio da adição de outras verificações de propriedade.
CVE-2016-4591: ma.la da LINE Corporation
WebKit
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: acessar um site criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.
CVE-2016-4589: Tongbo Luo e Bo Qu da Palo Alto Networks
CVE-2016-4622: Samuel Gross em parceria com a Zero Day Initiative da Trend Micro
CVE-2016-4623: Apple
CVE-2016-4624: Apple
WebKit
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: acessar um site malicioso pode levar à falsificação da interface de usuário
Descrição: havia um problema de herança de origem na análise de: URLs. Esse problema foi resolvido por meio de melhorias na validação das origens de segurança.
CVE-2016-4590: xisigr do Xuanwu Lab da Tencent (www.tencent.com)
WebKit
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: acessar uma página criada com códigos maliciosos pode levar a uma negação de serviço do sistema
Descrição: um problema de consumo de memória foi solucionado por meio de melhorias no processamento da memória.
CVE-2016-4592: Mikhail
Vinculações de JavaScript do WebKit
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: acessar um site criado com códigos maliciosos pode levar à execução de script no contexto de um serviço que não seja HTTP
Descrição: havia um problema de transmissão de script entre sites e entre protocolos (XPXSS) no Safari ao enviar formulários para serviços que não são HTTP, mas são compatíveis com o HTTP/0.9. Esse problema foi resolvido ao desativar os scripts e plug-ins em recursos carregados por HTTP/0.9.
CVE-2016-4651: Obscure
Carregamento de página do WebKit
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: um site malicioso pode extrair dados de origem cruzada
Descrição: havia um problema de transmissão de script entre sites no redirecionamento de URL do Safari. Esse problema foi resolvido por meio de melhorias na validação de URLs nos redirecionamentos.
CVE-2016-4585: Takeshi Terada da Mitsui Bussan Secure Directions, Inc. (www.mbsd.jp)
Carregamento de página do WebKit
Disponível para: iPhone 4s e posterior, iPod touch (5ª geração) e posterior e iPad 2 e posterior
Impacto: acessar um site criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.
CVE-2016-4584: Chris Vienneau