Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.
Para obter mais informações sobre segurança, consulte a página Segurança do produto Apple. É possível criptografar as comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
iOS 10
Lançado em 13 de setembro de 2016
AppleMobileFileIntegrity
Disponível para: iPhone 5 e posterior, iPad 4ª geração e posterior e iPod touch 6ª geração e posterior
Impacto: um aplicativo local pode causar a execução arbitrária de códigos usando privilégios de sistema
Descrição: havia um problema de validação na política de herança da porta de tarefas. Esse problema foi resolvido por meio de melhorias na validação dos direitos de processo e do ID da equipe.
CVE-2016-4698: Pedro Vilaça
Entrada adicionada em 20 de setembro de 2016
Ativos
Disponível para: iPhone 5 e posterior, iPad 4ª geração e posterior e iPod touch 6ª geração e posterior
Impacto: um invasor com posição privilegiada de rede pode impedir um dispositivo de receber atualizações de software
Descrição: havia um problema nas atualizações do iOS que não protegia corretamente as comunicações de usuário. Esse problema foi resolvido usando HTTPS para atualizações de software.
CVE-2016-4741: Raul Siles da DinoSec
Áudio
Disponível para: iPhone 5 e posterior, iPad 4ª geração e posterior e iPod touch 6ª geração e posterior
Impacto: um invasor remoto pode executar códigos arbitrários
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park e Taekyoung Kwon do Information Security Lab, Yonsei University
Entrada adicionada em 20 de setembro de 2016
Política de confiabilidade dos certificados
Disponível para: iPhone 5 e posterior, iPad 4ª geração e posterior e iPod touch 6ª geração e posterior
Impacto: atualização para a política de confiabilidade dos certificados
Descrição: a política de confiabilidade dos certificados foi atualizada. Veja a lista completa de certificados em http://support.apple.com/pt-br/HT204132.
Entrada adicionada em 20 de setembro de 2016
CFNetwork
Disponível para: iPhone 5 e posterior, iPad 4ª geração e posterior e iPod touch 6ª geração e posterior
Impacto: um usuário local pode descobrir sites acessados por outro usuário
Descrição: havia um problema na exclusão do armazenamento local. Esse problema foi resolvido por meio de melhorias na limpeza do armazenamento local.
CVE-2016-4707: um pesquisador anônimo
Entrada adicionada em 20 de setembro de 2016
CFNetwork
Disponível para: iPhone 5 e posterior, iPad 4ª geração e posterior e iPod touch 6ª geração e posterior
Impacto: processar conteúdo da web criado com códigos maliciosos pode comprometer as informações do usuário
Descrição: havia um problema de validação de entrada na análise do cabeçalho Set-Cookie. Esse problema foi resolvido por meio de melhorias na verificação de validações.
CVE-2016-4708: Dawid Czagan do Silesia Security Lab
Entrada adicionada em 20 de setembro de 2016
CommonCrypto
Disponível para: iPhone 5 e posterior, iPad 4ª geração e posterior e iPod touch 6ª geração e posterior
Impacto: um aplicativo usando CCrypt pode divulgar um texto simples confidencial se o buffer de saída e entrada forem os mesmos
Descrição: havia um problema de validação de entrada no corecrypto. Esse problema foi resolvido por meio de melhorias na validação de entradas.
CVE-2016-4711: Max Lohrmann
Entrada adicionada em 20 de setembro de 2016
CoreCrypto
Disponível para: iPhone 5 e posterior, iPad 4ª geração e posterior e iPod touch 6ª geração e posterior
Impacto: um aplicativo pode executar códigos arbitrários
Descrição: um problema de gravação fora dos limites foi resolvido por meio da remoção do código vulnerável.
CVE-2016-4712: Gergo Koteles
Entrada adicionada em 20 de setembro de 2016
FontParser
Disponível para: iPhone 5 e posterior, iPad 4ª geração e posterior e iPod touch 6ª geração e posterior
Impacto: processar uma fonte criada com códigos maliciosos pode causar a divulgação da memória de processo
Descrição: ocorria um estouro de buffer durante o processamento de arquivos de fonte.
Esse problema foi solucionado por meio de melhorias na verificação de limites.
CVE-2016-4718: Apple
Entrada adicionada em 20 de setembro de 2016
GeoServices
Disponível para: iPhone 5 e posterior, iPad 4ª geração e posterior e iPod touch 6ª geração e posterior
Impacto: um aplicativo pode ler informações de localização confidenciais
Descrição: havia um problema de permissões no PlaceData. Esse problema foi resolvido por meio de melhorias na validação de permissões.
CVE-2016-4719: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA of Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)
IDS – Conectividade
Disponível para: iPhone 5 e posterior, iPad 4ª geração e posterior e iPod touch 6ª geração e posterior
Impacto: um invasor em uma posição de rede privilegiada pode causar uma negação de serviço
Descrição: havia um problema de falsificação no processamento de transmissão de chamadas. Esse problema foi resolvido por meio de melhorias na validação de entradas.
CVE-2016-4722: Martin Vigo (@martin_vigo) do salesforce.com
Entrada adicionada em 20 de setembro de 2016
IOAcceleratorFamily
Disponível para: iPhone 5 e posterior, iPad 4ª geração e posterior e iPod touch 6ª geração e posterior
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de cancelamento de referência de ponteiro nulo foi resolvido por meio de melhorias na validação de entradas.
CVE-2016-4724: Cererdlong, Eakerqiu da Team OverSky
Entrada adicionada em 20 de setembro de 2016
IOAcceleratorFamily
Disponível para: iPhone 5 e posterior, iPad 4ª geração e posterior e iPod touch 6ª geração e posterior
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a divulgação da memória de processo
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.
CVE-2016-4725: Rodger Combs da Plex, Inc.
Entrada adicionada em 20 de setembro de 2016
IOAcceleratorFamily
Disponível para: iPhone 5 e posterior, iPad 4ª geração e posterior e iPod touch 6ª geração e posterior
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2016-4726: um pesquisador anônimo
Entrada adicionada em 20 de setembro de 2016
Kernel
Disponível para: iPhone 5 e posterior, iPad 4ª geração e posterior e iPod touch 6ª geração e posterior
Impacto: um aplicativo local pode ter acesso a arquivos restritos
Descrição: um problema de análise no processamento de caminhos do diretório foi resolvido por meio de melhorias na validação de caminhos.
CVE-2016-4771: Balazs Bucsay, Diretor de pesquisa da MRG Effitas
Entrada adicionada em 20 de setembro de 2016
Kernel
Disponível para: iPhone 5 e posterior, iPad 4ª geração e posterior e iPod touch 6ª geração e posterior
Impacto: um invasor remoto pode causar uma negação de serviço
Descrição: um problema no processamento do bloqueio foi resolvido por meio de melhorias no processamento do bloqueio.
CVE-2016-4772: Marc Heuse da mh-sec
Entrada adicionada em 20 de setembro de 2016
Kernel
Disponível para: iPhone 5 e posterior, iPad 4ª geração e posterior e iPod touch 6ª geração e posterior
Impacto: um aplicativo pode identificar o layout de memória do kernel
Descrição: havia vários problemas de leitura fora dos limites que causavam a divulgação de memória do kernel. Esses problemas foram resolvidos por meio de melhorias na validação de entradas.
CVE-2016-4773: Brandon Azad
CVE-2016-4774: Brandon Azad
CVE-2016-4776: Brandon Azad
Entrada adicionada em 20 de setembro de 2016
Kernel
Disponível para: iPhone 5 e posterior, iPad 4ª geração e posterior e iPod touch 6ª geração e posterior
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de cancelamento de referência de ponteiro não confiável foi resolvido por meio da remoção do código afetado.
CVE-2016-4777: Lufeng Li da Qihoo 360 Vulcan Team
Entrada adicionada em 20 de setembro de 2016
Kernel
Disponível para: iPhone 5 e posterior, iPad 4ª geração e posterior e iPod touch 6ª geração e posterior
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.
CVE-2016-4778: CESG
Entrada adicionada em 20 de setembro de 2016
Teclados
Disponível para: iPhone 5 e posterior, iPad 4ª geração e posterior e iPod touch 6ª geração e posterior
Impacto: sugestões de autocorreção do teclado podem revelar informações confidenciais
Descrição: o teclado iOS estava inadvertidamente armazenando informações confidenciais em cache. Esse problema foi resolvido por meio de melhoria na heurística.
CVE-2016-4746: Antoine M da França
libxml2
Disponível para: iPhone 5 e posterior, iPad 4ª geração e posterior e iPod touch 6ª geração e posterior
Impacto: vários problemas no libxml2, sendo que o mais considerável deles pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.
CVE-2016-4658: Nick Wellnhofer
CVE-2016-5131: Nick Wellnhofer
Entrada adicionada em 20 de setembro de 2016
libxslt
Disponível para: iPhone 5 e posterior, iPad 4ª geração e posterior e iPod touch 6ª geração e posterior
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2016-4738: Nick Wellnhofer
Entrada adicionada em 20 de setembro de 2016
Disponível para: iPhone 5 e posterior, iPad 4ª geração e posterior e iPod touch 6ª geração e posterior
Impacto: um invasor com posição de rede privilegiada pode interceptar credenciais de e-mail
Descrição: havia um problema ao processar certificados não confiáveis. Esse problema foi corrigido pelo encerramento de conexões não confiáveis.
CVE-2016-4747: Dave Aitel
Mensagens
Disponível para: iPhone 5 e posterior, iPad 4ª geração e posterior e iPod touch 6ª geração e posterior
Impacto: as mensagens podem ser vistas em um dispositivo que não tem sessão iniciada no Mensagens
Descrição: havia um problema ao usar o Handoff para o Mensagens. Esse problema foi resolvido por meio de melhorias no gerenciamento de estado.
CVE-2016-4740: Step Wallace
Printing UIKit
Disponível para: iPhone 5 e posterior, iPad 4ª geração e posterior e iPod touch 6ª geração e posterior
Impacto: um documento não criptografado pode ser gravado em um arquivo temporário ao usar a pré-visualização do AirPrint
Descrição: havia um problema na pré-visualização do AirPrint. Esse problema foi resolvido por meio de melhorias na limpeza do ambiente.
CVE-2016-4749: Scott Alexander (@gooshy)
Entrada atualizada em 12 de setembro de 2018
S2 Camera
Disponível para: iPhone 5 e posterior, iPad 4ª geração e posterior e iPod touch 6ª geração e posterior
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2016-4750: Jack Tang (@jacktang310) e Moony Li da Trend Micro em parceria com a Zero Day Initiative da Trend Micro
Entrada adicionada em 20 de setembro de 2016
Leitor do Safari
Disponível para: iPhone 5 e posterior, iPad 4ª geração e posterior e iPod touch 6ª geração e posterior
Impacto: ativar o recurso Leitor do Safari em um site criado com códigos maliciosos pode causar a execução universal de scripts entre sites
Descrição: diversos problemas de validação foram resolvidos por meio de melhorias na limpeza de entradas.
CVE-2016-4618: Erling Ellingsen
Entrada adicionada em 20 de setembro de 2016 e atualizada em 23 de setembro de 2016.
Perfis de área restrita
Disponível para: iPhone 5 e posterior, iPad 4ª geração e posterior e iPod touch 6ª geração e posterior
Impacto: um aplicativo com código malicioso pode identificar para quem um usuário está enviando mensagens
Descrição: havia um problema de controle de acesso nos diretórios de rascunho do SMS. Esse problema foi resolvido ao impedir que apps iniciassem nos diretórios afetados.
CVE-2016-4620: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA of Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)
Segurança
Disponível para: iPhone 5 e posterior, iPad 4ª geração e posterior e iPod touch 6ª geração e posterior
Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de sistema
Descrição: havia um problema na validação de imagens de disco assinadas. Esse problema foi resolvido por meio de melhorias na validação de tamanhos.
CVE-2016-4753: Mark Mentovai da Google Inc.
Entrada adicionada em 20 de setembro de 2016
Springboard
Disponível para: iPhone 5 e posterior, iPad 4ª geração e posterior e iPod touch 6ª geração e posterior
Impacto: dados confidenciais podem ser expostos em capturas de tela de aplicativos apresentadas no Task Switcher
Descrição: havia um problema no Springboard em que eram exibidas capturas armazenadas em cache contendo dados confidenciais no Task Switcher. O problema foi resolvido por meio da exibição de capturas atualizadas.
CVE-2016-7759: Fatma Yılmaz do Ptt Genel Müdürlüğü de Ankara
Entrada adicionada em 17 de janeiro de 2017
WebKit
Disponível para: iPhone 5 e posterior, iPad 4ª geração e posterior e iPod touch 6ª geração e posterior
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: havia um problema de análise no processamento de protótipos de erro. Esse problema foi resolvido por meio de melhorias na validação.
CVE-2016-4728: Daniel Divricean
Entrada adicionada em 20 de setembro de 2016
WebKit
Disponível para: iPhone 5 e posterior, iPad 4ª geração e posterior e iPod touch 6ª geração e posterior
Impacto: acessar um site criado com códigos maliciosos pode causar o vazamento de dados confidenciais
Descrição: havia um problema de permissões no processamento da variável de localização. Isso foi resolvido por meio da adição de outras verificações de propriedade.
CVE-2016-4758: Masato Kinugawa da Cure53
Entrada adicionada em 20 de setembro de 2016
WebKit
Disponível para: iPhone 5 e posterior, iPad 4ª geração e posterior e iPod touch 6ª geração e posterior
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.
CVE-2016-4611: Apple
CVE-2016-4729: Apple
CVE-2016-4730: Apple
CVE-2016-4731: Apple
CVE-2016-4734: Natalie Silvanovich do Google Project Zero
CVE-2016-4735: André Bargull
CVE-2016-4737: Apple
CVE-2016-4759: Tongbo Luo da Palo Alto Networks
CVE-2016-4762: Zheng Huang do Baidu Security Lab
CVE-2016-4766: Apple
CVE-2016-4767: Apple
CVE-2016-4768: anônimo trabalhando com a Zero Day Initiative da Trend Micro
Entrada adicionada em 20 de setembro de 2016
WebKit
Disponível para: iPhone 5 e posterior, iPad 4ª geração e posterior e iPod touch 6ª geração e posterior
Impacto: um site malicioso pode conseguir acessar serviços que não são HTTP
Descrição: o suporte do Safari do HTTP/0.9 permitiu exploração entre protocolos de serviços que não são HTTP usando reassociação de DNS. O problema foi solucionado pela restrição de respostas do HTTP/0.9 para portas padrão e pelo cancelamento de cargas de recursos no caso de o documento ter sido carregado com uma versão diferente do protocolo HTTP.
CVE-2016-4760: Jordan Milne
Entrada adicionada em 20 de setembro de 2016
WebKit
Disponível para: iPhone 5 e posterior, iPad 4ª geração e posterior e iPod touch 6ª geração e posterior
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no gerenciamento de estados.
CVE-2016-4733: Natalie Silvanovich do Google Project Zero
CVE-2016-4765: Apple
Entrada adicionada em 20 de setembro de 2016
WebKit
Disponível para: iPhone 5 e posterior, iPad 4ª geração e posterior e iPod touch 6ª geração e posterior
Impacto: um invasor em uma posição privilegiada na rede pode interceptar e alterar o tráfego de rede para aplicativos que usam WKWebView com HTTPS
Descrição: ocorria um problema de validação do certificado durante o processamento do WKWebView. Esse problema foi resolvido por meio de melhorias na validação.
CVE-2016-4763: um pesquisador anônimo
Entrada adicionada em 20 de setembro de 2016
WebKit
Disponível para: iPhone 5 e posterior, iPad 4ª geração e posterior e iPod touch 6ª geração e posterior
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no gerenciamento de estados.
CVE-2016-4764: Apple
Entrada adicionada em 3 de novembro de 2016