Acerca do conteúdo de segurança da atualização iPhone v1.0.1
Este documento descreve o conteúdo de segurança da atualização iPhone v1.0.1, que pode ser descarregada e instalada através do iTunes, como descrito abaixo.
Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.
Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte "Como utilizar a chave PGP de segurança dos produtos Apple".
Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.
Para obter mais informações sobre outras atualizações de segurança, consulte "Atualizações de segurança da Apple".
Atualização iPhone v1.0.1
Safari
ID CVE: CVE-2007-2400
Disponível para: iPhone v1.0
Impacto: ao visitar um site malicioso poderá permitir a execução de scripts entre sites.
Descrição: o modelo de segurança do Safari impede que o JavaScript de páginas web remotas modifique páginas fora do respetivo domínio. Uma condição de disputa na atualização de páginas em conjunto com o redirecionamento de HTTP pode permitir que o JavaScript de uma página modifique uma página redirecionada. Isto pode permitir a leitura ou a modificação arbitrária de cookies e páginas. Esta atualização resolve o problema ao corrigir o controlo de acesso às propriedades da janela. Os nossos agradecimentos a Lawrence Lai, Stan Switzer e Ed Rowe da Adobe Systems, Inc. por terem comunicado este problema.
Safari
ID CVE: CVE-2007-3944
Disponível para: iPhone v1.0
Impacto: a visualização de uma página web criada com intuito malicioso poderá provocar a execução de um código arbitrário.
Descrição: existem ultrapassagens do limite máximo do buffer na área dinâmica para dados na biblioteca PCRE (Perl Compatible Regular Expressions) utilizada pelo motor JavaScript no Safari. Ao induzir um utilizador a visitar uma página web criada com intuito malicioso, um atacante poderá desencadear o problema, o que poderá provocar a execução de um código arbitrário. Esta atualização resolve o problema ao efetuar uma validação adicional de expressões regulares de JavaScript. Os nossos agradecimentos a Charlie Miller e Jake Honoroff da Independent Security Evaluators por terem comunicado estes problemas.
WebCore
ID CVE: CVE-2007-2401
Disponível para: iPhone v1.0
Impacto: visitar um site malicioso poderá permitir pedidos entre sites.
Descrição: existe um problema de injeção de HTTP em XMLHttpRequest ao serializar cabeçalhos num pedido de HTTP. Ao aliciar um utilizador a visitar uma página web criada com intuito malicioso, um atacante pode provocar um problema de execução de scripts entre sites. Esta atualização resolve o problema ao efetuar uma validação adicional dos parâmetros do cabeçalho. Os nossos agradecimentos a Richard Moore da Westpoint Ltd. por comunicar este problema.
WebKit
ID CVE: CVE-2007-3742
Disponível para: iPhone v1.0
Impacto: é possível utilizar caracteres semelhantes num URL para mascarar um site.
Descrição: o suporte de IDN (International Domain Name) e os tipos de letra Unicode integrados no Safari podem ser utilizados para criar um URL que contenha caracteres semelhantes. Estes podem ser utilizados num site malicioso para direcionar o utilizador para um site falsificado que visualmente aparenta ser um domínio legítimo. Esta atualização resolve o problema através de uma verificação de validade melhorada do nome de domínio. Os nossos agradecimentos a Tomohito Yoshino da Business Architects Inc. por ter comunicado este problema.
WebKit
ID CVE: CVE-2007-2399
Disponível para: iPhone v1.0
Impacto: aceder a um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário.
Descrição: uma conversão de tipo inválida ao processar conjuntos de fotogramas pode provocar a corrupção da memória. Visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário. Os nossos agradecimentos a Rhys Kidd da Westnet por comunicar este problema.
Nota sobre a instalação
Esta atualização só está disponível através do iTunes, não aparece na aplicação de atualização de software do computador, nem no site de descargas do Suporte Apple. Certifique-se de que tem uma ligação à Internet bem como a versão mais recente do iTunes, que consta em (www.apple.com/itunes).
O iTunes verifica automaticamente o servidor de atualizações da Apple como parte da calendarização semanal. Quando deteta uma atualização, descarrega-a. Quando o iPhone está pousado na base de ligação, o iTunes apresenta ao utilizador a opção de instalação da atualização. Recomendamos que aplique imediatamente a atualização, se possível. Selecionando "Não instalar", a opção ser-lhe-á apresentada da próxima vez que ligar o iPhone ao computador. O processo automático de atualização pode demorar até uma semana, conforme o dia em que o iTunes verifica se há atualizações.
Pode obter a atualização manualmente através do botão ou da opção de menu "Verificar atualizações" no iTunes. Depois de o fazer, a atualização pode ser aplicada quando se liga o iPhone ao computador.
Para verificar se o iPhone foi atualizado:
Navegue até às Definições no iPhone.
Clique em Geral.
Clique em “Acerca”. Depois de aplicar esta atualização, a versão passa a ser "1.0.1 (1C25)".