Acerca dos conteúdos de segurança do iOS 14.5 e do iPadOS 14.5

Este documento descreve os conteúdos de segurança do iOS 14.5 e do iPadOS 14.5.

Acerca das atualizações de segurança da Apple

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação e não estiverem disponíveis as correções ou os lançamentos necessários. Os lançamentos recentes são apresentados na página Atualizações de segurança da Apple.

Sempre que possível, os documentos de segurança da Apple designam as vulnerabilidades através de ID CVE.

Para obter mais informações acerca da segurança, consulte a página Segurança dos produtos Apple.

iOS 14.5 e iPadOS 14.5

Data de lançamento: 26 de abril de 2021

Accessibility

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: uma pessoa com acesso físico a um dispositivo iOS poderá conseguir aceder às notas a partir do ecrã bloqueado

Descrição: este problema foi resolvido através de verificações melhoradas.

CVE-2021-1835: videosdebarraquito

App Store

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: um atacante com uma posição privilegiada na rede poderá conseguir alterar o tráfego de rede

Descrição: foi resolvido um problema de validação de certificados.

CVE-2021-1837: Aapo Oksman da Nixu Cybersecurity

Apple Neural Engine

Disponível para: iPhone 8 e posterior, iPad Pro (3.ª geração) e posterior, e iPad Air (3.ª geração) e posterior

Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios do kernel

Descrição: foi resolvido um problema de leitura fora dos limites através da validação melhorada da entrada.

CVE-2021-1867: Zuozhi Fan (@pattern_F_) e Wish Wu (吴潍浠) do Ant Group Tianqiong Security Lab

AppleMobileFileIntegrity

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: uma aplicação maliciosa poderá conseguir contornar as preferências de privacidade

Descrição: foi resolvido um problema na validação da assinatura de código através de verificações melhoradas.

CVE-2021-1849: Siguza

Assets

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: um utilizador local poderá criar ou modificar ficheiros privilegiados

Descrição: foi resolvido um problema de lógica através de restrições melhoradas.

CVE-2021-1836: um investigador anónimo

Audio

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: uma app poderá conseguir ler a memória restrita

Descrição: foi resolvido um problema de corrupção de memória através da validação melhorada.

CVE-2021-1808: JunDong Xie do Ant Security Light-Year Lab

Audio

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: o processamento de um ficheiro de áudio criado com intuito malicioso poderá provocar a execução de um código arbitrário

Descrição: foi resolvido um problema de consumo de memória através do processamento melhorado da memória.

CVE-2021-30742: Mickey Jin da Trend Micro em colaboração com o programa Zero Day Initiative da Trend Micro

Entrada adicionada a 21 de julho de 2021

CFNetwork

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá divulgar informações confidenciais do utilizador

Descrição: foi resolvido um problema de inicialização de memória através do processamento melhorado da memória.

CVE-2021-1857: um investigador anónimo

Compression

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: o processamento de uma imagem criada com intuito malicioso poderá provocar a execução de um código arbitrário

Descrição: foi resolvido um problema de leitura fora dos limites através da validação melhorada da entrada.

CVE-2021-30752: Ye Zhang (@co0py_Cat) da Baidu Security

Entrada adicionada a 28 de maio de 2021

CoreAudio

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: o processamento de um ficheiro criado com intuito malicioso poderá provocar a execução de um código arbitrário

Descrição: foi resolvido um problema de escrita fora dos limites através da verificação melhorada dos limites.

CVE-2021-30664: JunDong Xie do Ant Security Light-Year Lab

Entrada adicionada a 28 de maio de 2021

CoreAudio

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: o processamento de um ficheiro criado com intuito malicioso poderá provocar a execução de um código arbitrário

Descrição: foi resolvido um problema de escrita fora dos limites através da verificação melhorada dos limites.

CVE-2021-30664: JunDong Xie do Ant Security Light-Year Lab

Entrada adicionada a 6 de maio de 2021

CoreAudio

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: o processamento de um ficheiro de áudio criado com intuito malicioso poderá divulgar memória restrita

Descrição: foi resolvido um problema de leitura fora dos limites através da validação melhorada da entrada.

CVE-2021-1846: JunDong Xie do Ant Security Light-Year Lab

CoreAudio

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: uma aplicação maliciosa poderá conseguir ler a memória restrita

Descrição: foi resolvido um problema de corrupção de memória através da validação melhorada.

CVE-2021-1809: JunDong Xie do Ant Security Light-Year Lab

CoreFoundation

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: uma app maliciosa poderá conseguir divulgar informações confidenciais do utilizador

Descrição: foi resolvido um problema de validação através da lógica melhorada.

CVE-2021-30659: Thijs Alkemade da Computest

Core Motion

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

Descrição: foi resolvido um problema de lógica através da validação melhorada.

CVE-2021-1812: Siddharth Aeri (@b1n4r1b01)

Entrada adicionada a 28 de maio de 2021

CoreText

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: o processamento de um tipo de letra criado com intuito malicioso poderá provocar a divulgação da memória de processamento

Descrição: foi resolvido um problema de lógica através da gestão melhorada do estado.

CVE-2021-1811: Xingwei Lin do Ant Security Light-Year Lab

FaceTime

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: silenciar uma chamada do CallKit enquanto toca poderá não desativar o som

Descrição: foi resolvido um problema de lógica através da gestão melhorada do estado.

CVE-2021-1872: Siraj Zaneer do Facebook

FontParser

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: o processamento de um ficheiro de tipo de letra criado com intuito malicioso poderá provocar a execução de um código arbitrário

Descrição: foi resolvido um problema de leitura fora dos limites através da validação melhorada da entrada.

CVE-2021-1881: um investigador anónimo, Xingwei Lin do Ant Security Light-Year Lab, Mickey Jin da Trend Micro e Hou JingYi (@hjy79425575) da Qihoo 360

Foundation

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: uma app poderá conseguir obter privilégios elevados

Descrição: foi resolvido um problema de corrupção de memória através da validação melhorada.

CVE-2021-1882: Gabe Kirkpatrick (@gabe_k)

Foundation

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: uma aplicação maliciosa poderá conseguir obter privilégios de raiz

Descrição: foi resolvido um problema de validação através da lógica melhorada.

CVE-2021-1813: Cees Elzinga

GPU Drivers

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: uma aplicação maliciosa poderá conseguir determinar o esquema de memória do kernel

Descrição: um problema de acesso foi resolvido através da melhoria da gestão da memória.

CVE-2021-30656: Justin Sherman da Universidade de Maryland, Condado de Baltimore

Heimdal

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: o processamento de mensagens do servidor criadas com intuito malicioso poderá provocar a corrupção da área dinâmica para dados

Descrição: este problema foi resolvido através de verificações melhoradas.

CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)

Heimdal

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: um atacante remoto poderá conseguir provocar uma recusa de serviço

Descrição: foi resolvida uma condição de disputa através do bloqueio melhorado.

CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)

ImageIO

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: o processamento de uma imagem criada com intuito malicioso poderá provocar a execução de um código arbitrário

Descrição: foi resolvido um problema de escrita fora dos limites através da validação melhorada da entrada.

CVE-2021-30743: CFF da Equipa Topsec Alpha, Ye Zhang(@co0py_Cat) da Baidu Security e Jeonghoon Shin(@singi21a) da THEORI em colaboração com o programa Zero Day Initiative da Trend Micro

Entrada adicionada a 28 de maio de 2021

ImageIO

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: o processamento de uma imagem criada com intuito malicioso poderá provocar a execução de um código arbitrário

Descrição: foi resolvido um problema de leitura fora dos limites através da verificação melhorada dos limites.

CVE-2021-1885: CFF da Equipa Topsec Alpha

ImageIO

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: o processamento de uma imagem criada com intuito malicioso poderá provocar a execução de um código arbitrário

Descrição: este problema foi resolvido através de verificações melhoradas.

CVE-2021-30653: Ye Zhang da Baidu Security

CVE-2021-1843: Ye Zhang do Baidu Security

ImageIO

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: o processamento de uma imagem criada com intuito malicioso poderá provocar a execução de um código arbitrário

Descrição: foi resolvido um problema de escrita fora dos limites através da verificação melhorada dos limites.

CVE-2021-1858: Mickey Jin da Trend Micro

ImageIO

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: o processamento de um ficheiro criado com intuito malicioso poderá provocar a execução de um código arbitrário

Descrição: este problema foi resolvido através de verificações melhoradas.

CVE-2021-30764: investigador anónimo em colaboração com o programa Zero Day Initiative da Trend Micro

CVE-2021-30662: anónimo em colaboração com o programa Zero Day Initiative da Trend Micro, Jzhu em colaboração com o programa Zero Day Initiative da Trend Micro

Entrada adicionada a 21 de julho de 2021

iTunes Store

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: um atacante com execução de JavaScript poderá conseguir executar um código arbitrário

Descrição: foi resolvido um problema do tipo "use after free" (utilização após libertação de memória) com a gestão melhorada da memória.

CVE-2021-1864: CodeColorist do Ant-Financial LightYear Labs

Kernel

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: um utilizador local poderá conseguir ler a memória do kernel

Descrição: foi resolvido um problema de leitura fora dos limites através da validação melhorada da entrada.

CVE-2021-1877: Zuozhi Fan (@pattern_F_) do Ant Group Tianqiong Security Lab

CVE-2021-1852: Zuozhi Fan (@pattern_F_) do Ant Group Tianqiong Security Lab

CVE-2021-1830: Tielei Wang do Pangu Lab

Kernel

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel

Descrição: foi resolvido um problema de lógica através da gestão melhorada do estado.

CVE-2021-1874: Zuozhi Fan (@pattern_F_) do Ant Group Tianqiong Security Lab

CVE-2021-1851: @0xalsr

Kernel

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: uma aplicação maliciosa poderá conseguir divulgar a memória do kernel

Descrição: foi resolvido um problema de inicialização de memória através do processamento melhorado da memória.

CVE-2021-1860: @0xalsr

Kernel

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios do kernel

Descrição: foi resolvido um problema de ultrapassagem do limite máximo do buffer através da verificação melhorada dos limites.

CVE-2021-1816: Tielei Wang do Pangu Lab

Kernel

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: os ficheiros copiados podem não ter as permissões de ficheiro esperadas

Descrição: o problema foi resolvido através da lógica melhorada de permissões.

CVE-2021-1832: um investigador anónimo

Kernel

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: uma aplicação maliciosa poderá conseguir divulgar a memória do kernel

Descrição: foi resolvido um problema de leitura fora dos limites através da verificação melhorada dos limites.

CVE-2021-30660: Alex Plaskett

libxpc

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: uma aplicação maliciosa poderá conseguir obter privilégios de raiz

Descrição: foi resolvida uma condição de disputa através de validação adicional.

CVE-2021-30652: James Hutchins

libxslt

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: o processamento de um ficheiro criado com intuito malicioso poderá provocar a corrupção da área dinâmica para dados

Descrição: foi resolvido um problema de libertação dupla através da gestão melhorada da memória.

CVE-2021-1875: detetado por OSS-Fuzz

MobileAccessoryUpdater

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: uma app poderá conseguir obter privilégios elevados

Descrição: este problema foi resolvido através de verificações melhoradas.

CVE-2021-1833: Cees Elzinga

Entrada adicionada a 28 de maio de 2021

MobileInstallation

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: um utilizador local poderá conseguir modificar partes protegidas do sistema de ficheiros

Descrição: foi resolvido um problema de lógica através de restrições melhoradas.

CVE-2021-1822: Bruno Virlet da The Grizzly Labs

Password Manager

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: a palavra-passe de um utilizador poderá ficar visível no ecrã

Descrição: foi resolvido um problema de obscurecimento de palavras-passe em capturas de ecrã através da lógica melhorada.

CVE-2021-1865: Shibin B Shaji da UST

Preferences

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: um utilizador local poderá conseguir modificar partes protegidas do sistema de ficheiros

Descrição: foi resolvido um problema de análise no processamento dos caminhos de diretório com a validação melhorada do caminho.

CVE-2021-1815: Zhipeng Huo (@R3dF09) e Yuebin Sun (@yuebinsun2020) do Tencent Security Xuanwu Lab (xlab.tencent.com)

CVE-2021-1739: Zhipeng Huo (@R3dF09) e Yuebin Sun (@yuebinsun2020) do Tencent Security Xuanwu Lab (xlab.tencent.com)

CVE-2021-1740: Zhipeng Huo (@R3dF09) e Yuebin Sun (@yuebinsun2020) do Tencent Security Xuanwu Lab (xlab.tencent.com)

Quick Response

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: uma pessoa com acesso físico a um dispositivo iOS poderá ser capaz de efetuar chamadas telefónicas para qualquer número de telefone

Descrição: existia um problema com a autenticação da ação desencadeada por uma etiqueta NFC. O problema foi resolvido com a autenticação da ação melhorada.

CVE-2021-1863: REFHAN OZGORUR

Entrada adicionada a 28 de maio de 2021

Safari

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: um utilizador local poderá conseguir escrever ficheiros arbitrários

Descrição: foi resolvido um problema de validação através da limpeza melhorada da entrada.

CVE-2021-1807: David Schütz (@xdavidhu)

Atalhos

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: uma aplicação poderá permitir atalhos para aceder a ficheiros restritos

Descrição: o problema foi resolvido através da lógica melhorada de permissões.

CVE-2021-1831: Bouke van der Bijl

Siri

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: foi resolvido um problema com a pesquisa da Siri no acesso a informações através da lógica melhorada

Descrição: uma pessoa com acesso físico pode conseguir aceder aos contactos.

CVE-2021-1862: Anshraj Srivastava (@AnshrajSrivas14) da UKEF

Entrada adicionada a 6 de maio de 2021 e atualizada a 21 de julho de 2021

Tailspin

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: um atacante local poderá conseguir aumentar os privilégios

Descrição: foi resolvido um problema de lógica através da gestão melhorada do estado.

CVE-2021-1868: Tim Michaud da Zoom Communications

TCC

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: uma app maliciosa poderá conseguir divulgar informações confidenciais do utilizador

Descrição: foi resolvido um problema de validação através da lógica melhorada.

CVE-2021-30659: Thijs Alkemade da Computest

Entrada adicionada a 28 de maio de 2021

Telephony

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: uma rede móvel antiga pode responder automaticamente a uma chamada recebida quando uma chamada em curso termina ou cai.

Descrição: foi resolvido um problema de encerramento de chamadas através da lógica melhorada.

CVE-2021-1854: Steven Thorne da Cspire

UIKit

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: a palavra-passe de um utilizador poderá ficar visível no ecrã

Descrição: foi resolvido um problema de lógica através da gestão melhorada do estado.

CVE-2021-30921: Maximilian Blochberger da Security in Distributed Systems Group da Universidade de Hamburgo

Entrada adicionada a 19 de janeiro de 2022

Carteira

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: um utilizador local poderá ver informações confidenciais no seletor de apps

Descrição: o problema foi resolvido através do processamento da IU melhorado.

CVE-2021-1848: Bradley D’Amato da ActionIQ

WebKit

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar um ataque de execução de scripts entre sites

Descrição: foi resolvido um problema de validação da entrada através da validação melhorada da entrada.

CVE-2021-1825: Alex Camboe do Aon’s Cyber Solutions

WebKit

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar a execução de um código arbitrário

Descrição: foi resolvido um problema de corrupção de memória através da gestão melhorada do estado.

CVE-2021-1817: zhunki

Entrada atualizada a 6 de maio de 2021

WebKit

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar uma execução universal de scripts entre sites

Descrição: foi resolvido um problema de lógica através de restrições melhoradas.

CVE-2021-1826: um investigador anónimo

WebKit

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar a divulgação da memória de processamento

Descrição: foi resolvido um problema de inicialização de memória através do processamento melhorado da memória.

CVE-2021-1820: André Bargull

Entrada atualizada a 6 de maio de 2021

WebKit Storage

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar a execução de um código arbitrário. A Apple tem conhecimento de uma denúncia de que este problema pode ter sido explorado ativamente.

Descrição: foi resolvido um problema do tipo "use after free" (utilização após libertação de memória) com a gestão melhorada da memória.

CVE-2021-30661: yangkang (@dnpushme) da 360 ATA

WebRTC

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: um atacante remoto poderá conseguir causar o encerramento inesperado do sistema ou corromper a memória do kernel

Descrição: foi resolvido um problema do tipo "use after free" (utilização após libertação de memória) com a gestão melhorada da memória.

CVE-2020-7463: Megan2013678

Wi-Fi

Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: se ultrapassar o limite máximo do buffer, poderá ser executado um código arbitrário

Descrição: foi resolvido um problema de lógica através da gestão melhorada do estado.

CVE-2021-1770: Jiska Classen (@naehrdine) do Secure Mobile Networking Lab, TU Darmstadt

Entrada adicionada a 28 de maio de 2021

Agradecimentos adicionais

Accounts Framework

Gostaríamos de agradecer a Ellougani Mohamed da Dr.Phones Recycle Inc. pela sua colaboração.

Entrada adicionada a 6 de maio de 2021

AirDrop

Gostaríamos de agradecer a @maxzks pela sua colaboração.

Entrada adicionada a 6 de maio de 2021

Assets

Gostaríamos de agradecer a Cees Elzinga pela sua colaboração.

Entrada adicionada a 6 de maio de 2021

CoreAudio

Gostaríamos de agradecer a um investigador anónimo pela sua colaboração.

Entrada adicionada a 6 de maio de 2021

CoreCrypto

Gostaríamos de agradecer a Andy Russon do Orange Group pela sua colaboração.

Entrada adicionada a 6 de maio de 2021

File Bookmark

Gostaríamos de agradecer a um investigador anónimo pela sua colaboração.

Entrada adicionada a 6 de maio de 2021

Ficheiros

Gostaríamos de agradecer a Omar Espino (omespino.com) pela sua colaboração.

Entrada adicionada a 25 de maio de 2022

Foundation

Os nossos agradecimentos a CodeColorist do Ant-Financial LightYear Labs pela sua ajuda.

Entrada adicionada a 6 de maio de 2021

Kernel

Gostaríamos de agradecer a Antonio Frighetto do Politecnico di Milano, GRIMM, Keyu Man, Zhiyun Qian, Zhongjie Wang, Xiaofeng Zheng, Youjun Huang, Haixin Duan, Mikko Kenttälä (@Turmio_) da SensorFu, Proteas, Tielei Wang do Pangu Lab e a Zuozhi Fan (@pattern_F_) do Ant Group Tianqiong Security Lab pela respetiva colaboração.

Entrada adicionada a 6 de maio de 2021

Mail

Gostaríamos de agradecer a Lauritz Holtmann (@_lauritz_), Muhammed Korany (facebook.com/MohamedMoustafa4) e a Yiğit Can YILMAZ (@yilmazcanyigit) pela respetiva colaboração.

Entrada adicionada a 6 de maio de 2021

NetworkExtension

Gostaríamos de agradecer a Fabian Hartmann pela sua colaboração.

Entrada adicionada a 6 de maio de 2021

Safari Private Browsing

Gostaríamos de agradecer a Dor Kahana e a Griddaluru Veera Pranay Naidu pela respetiva colaboração.

Entrada adicionada a 6 de maio de 2021

Security

Gostaríamos de agradecer a Xingwei Lin do Ant Security Light-Year Lab e a john (@nyan_satan) pela sua colaboração.

Entrada adicionada a 6 de maio de 2021

sysdiagnose

Gostaríamos de agradecer a Tim Michaud (@TimGMichaud) da Leviathan pela sua colaboração.

Entrada adicionada a 6 de maio de 2021

WebKit

Gostaríamos de agradecer a Emilio Cobos Álvarez da Mozilla pela sua colaboração.

Entrada adicionada a 6 de maio de 2021

WebSheet

Gostaríamos de agradecer a Patrick Clover pela sua colaboração.

Entrada adicionada a 6 de maio de 2021

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Contacte o fornecedor para obter mais informações.

Data de publicação: 03 de novembro de 2023