Sobre o conteúdo de segurança do iOS 2.2 e do iOS para iPod touch 2.2

Este documento descreve o conteúdo de segurança do iOS 2.2 e do iOS para iPod touch 2.2.

Para garantir a proteção de seus clientes, a Apple não divulga, discute ou confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a segurança dos produtos Apple, consulte o site Segurança do produto Apple.

Para obter informações sobre a chave de segurança PGP dos produtos Apple, consulte Como usar a chave de segurança PGP do produto Apple.

Sempre que possível, serão usadas IDs de CVE para indicar as vulnerabilidades e permitir que o usuário obtenha informações mais detalhadas.

Para saber mais sobre outras atualizações de segurança, consulte "Atualizações de segurança da Apple".

Esse artigo foi arquivado e não será mais atualizado pela Apple.

iOS 2.2 e iOS para iPod touch 2.2

  • CoreGraphics

    ID de CVE: CVE-2008-2321

    Disponível para: iOS 1.0 até 2.1, iOS para iPod touch 1.1 até 2.1

    Impacto: Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: O CoreGraphics apresenta problemas de corrompimento de memória no processamento de argumentos. A transmissão de entradas não confiáveis para o CoreGraphics através de um aplicativo, como um navegador da web, pode causar o encerramento inesperado de aplicativos ou a execução aleatória de códigos. Esta atualização soluciona o problema através de melhorias na verificação de limites. Agradecemos a Michal Zalewski, da Google, por comunicar esse problema.

  • ImageIO

    ID de CVE: CVE-2008-2327

    Disponível para: iOS 1.0 até 2.1, iOS para iPod touch 1.1 até 2.1

    Impacto: Visualizar uma imagem TIFF criada com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos.

    Descrição: Existem vários problemas de acesso à memória não inicializada no processamento de imagens TIFF com codificação LZW pelo libTIFF. Visualizar uma imagem TIFF criada com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esta atualização soluciona o problema por meio da inicialização adequada da memória e de validação adicional de imagens TIFF.

  • ImageIO

    ID de CVE: CVE-2008-1586

    Disponível para: iOS 1.0 até 2.1, iOS para iPod touch 1.1 até 2.1

    Impacto: Visualizar uma imagem TIFF criada com códigos maliciosos pode causar a reinicialização inesperada do dispositivo

    Descrição: Ocorre um problema de esgotamento de memória no processamento de imagens TIFF. Visualizar uma imagem TIFF criada com códigos maliciosos pode causar a reinicialização inesperada do dispositivo. Esta atualização soluciona o problema limitando a quantidade de memória alocada para abrir uma imagem TIFF. Agradecemos a Sergio 'shadown' Alvarez da Recurity Labs GmbH por comunicar esse problema.

  • Rede

    ID de CVE: CVE-2008-4227

    Disponível para: iOS 1.0 até 2.1, iOS para iPod touch 1.1 até 2.1

    Impacto: O nível de criptografia para conexões de VPN PPTP pode ser mais baixo do que o esperado

    Descrição: O nível de criptografia para conexões de VPN PPTP pode ser revertido para um ajuste anterior mais baixo. Esta atualização soluciona o problema configurando corretamente as preferências de criptografia. Agradecemos Stephen Butler da Universidade de Ilinóis da Urbana-Champaign por comunicar esse problema.

  • Office Viewer

    ID de CVE: CVE-2008-4211

    Disponível para: iOS 1.0 até 2.1, iOS para iPod touch 1.1 até 2.1

    Impacto: Visualizar um arquivo do Microsoft Excel criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: Há um problema de assinatura no processamento de colunas em arquivos do Microsoft Excel pelo Office Viewer que pode resultar em um acesso de memória fora do limite. Visualizar um arquivo do Microsoft Excel criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos Esta atualização soluciona o problema garantindo que os valores de índice afetados não são negativos. Agradecemos à Apple.

  • Bloqueio por Código de Acesso

    ID de CVE: CVE-2008-4228

    Disponível para: iOS 1.0 até 2.1, iOS para iPod touch 1.1 até 2.1

    Impacto: Chamadas de emergência não são restritas a números de emergência

    Descrição: O iPhone oferece o recurso de fazer uma chamada de emergência quando está bloqueado. Atualmente, é possível fazer uma chamada de emergência para qualquer número. Uma pessoa com acesso físico ao iPhone pode tirar vantagem desse recurso e fazer chamadas aleatórias que serão cobradas do proprietário do iPhone. Esta atualização soluciona o problema restringindo chamadas de emergência a uma quantidade limitada de números de telefone.

  • Bloqueio por Código de Acesso

    ID de CVE: CVE-2008-4229

    Disponível para: iOS 1.0 até 2.1, iOS para iPod touch 1.1 até 2.1

    Impacto: Restaurar um dispositivo a partir de um backup pode não reativar o Bloqueio por Código de Acesso

    Descrição: O recurso Bloqueio por Código de Acesso é desenvolvido para evitar que aplicativos sejam iniciados a menos que o código de acesso correto seja inserido. Uma condição de corrida no processamento de ajustes do dispositivos pode fazer com que o Bloqueio por Código de Acesso seja removido quando o dispositivo é restaurado a partir de um backup. Isso pode permitir que uma pessoa com acesso físico ao dispositivo inicie aplicativos sem o código de aceso. Esta atualização soluciona o problema através de melhorias na capacidade de o sistema reconhecer preferências que estejam faltando. Esse problema não afeta sistemas anteriores ao iOS 2.0 ou iOS para iPod touch 2.0. Agradecemos a Nolen Scaife por comunicar esse problema.

  • Bloqueio por Código de Acesso

    ID de CVE: CVE-2008-4230

    Disponível para: iOS 1.0 até 2.1, iOS para iPod touch 1.1 até 2.1

    Impacto: Mensagens SMS podem ser reveladas antes de o código de acesso ser digitado

    Descrição: Se uma mensagem SMS chegar enquanto a tela de chamada de emergência estiver visível, a mensagem SMS completa é exibida mesmo que a preferência "Pré-visualizar SMS" esteja ajustada como desativada. Esta atualização soluciona o problema mostrando, nessa circunstância, somente uma notificação de que a mensagem SMS chegou e não seu conteúdo.

  • Safari

    ID de CVE: CVE-2008-4231

    Disponível para: iOS 1.0 até 2.1, iOS para iPod touch 1.1 até 2.1

    Impacto: Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: Existe um corrompimento de memória no processamento de elementos de tabela HTML. Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esta atualização soluciona o problema através de melhorias no processamento de elementos de tabela HTML. Agradecemos Haifei Li da FortiGuard Global Security Research Team da Fortinet por comunicar esse problema.

  • Safari

    ID de CVE: CVE-2008-4232

    Disponível para: iOS 1.0 até 2.1, iOS para iPod touch 1.1 até 2.1

    Impacto: Sites com elementos de iframe incorporados podem ser vulneráveis a spoofing de interface de usuário

    Descrição: O Safari permite que um elementos de iframe exiba conteúdo além de seus limites, o que pode resultar em spoofing de interface de usuário. Esta atualização soluciona o problema proibindo de que elementos de iframe exibam conteúdo além de seus limites. Esse problema não afeta sistemas anteriores ao iOS 2.0 ou iOS para iPod touch 2.0. Agradecemos a John Resig da Mozilla Corporation por comunicar esse problema.

  • Safari

    ID de CVE: CVE-2008-4233

    Disponível para: iOS 1.0 até 2.1, iOS para iPod touch 1.1 até 2.1

    Impacto: Acessar um site criado com códigos maliciosos pode iniciar uma chamada telefônica sem interação do usuário

    Descrição: Se um aplicativo é iniciado no Safari enquanto uma caixa de diálogo de aprovação de chamada está exibida, a chamada será realizada. Isso pode permitir que um site criado com códigos maliciosos inicie uma chamada telefônica sem interação do usuário. Além disso, em determinadas circunstâncias, pode ser possível que um site criado com códigos maliciosos impeça que o usuário cancele a discagem por um curto período de tempo. Esta atualização soluciona o problema dispensando a caixa de diálogo de aprovação do Safari quando um aplicativo está sendo iniciado no Safari. Agradecemos a Collin Mulliner da Fraunhofer SIT por comunicar esse problema. 
  • Webkit

    ID de CVE: CVE-2008-3644

    Disponível para: iOS 1.0 até 2.1, iOS para iPod touch 1.1 até 2.1

    Impacto: Informações confidenciais podem ser divulgadas a uma pessoa com acesso físico a um dispositivo desbloqueado.

    Descrição: Desativar o preenchimento automático em um campo de um formulário pode não impedir que os dados no campo sejam armazenados na página de cache do navegador. Isso pode causar a divulgação de informações confidenciais a uma pessoa com acesso físico a um dispositivo desbloqueado. Esta atualização soluciona o problema limpando adequadamente os dados do formulário. Agradecemos a um pesquisador anônimo por comunicar esse problema.

Importante: As informações sobre produtos de outros fabricantes destinam-se apenas a fins informativos e não constituem nenhum tipo de aval ou recomendação da Apple. Para obter informações adicionais, entre em contato com o fornecedor.

Data da publicação: