Acerca dos conteúdos de segurança da Actualização de software 5 do iOS

Este documento descreve os conteúdos de segurança da Actualização de software 5 do iOS.

Este documento descreve os conteúdos de segurança da Actualização de software 5 do iOS, que pode ser descarregada e instalada através do iTunes.

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.

Para obter informações acerca da chave PGP de segurança dos produtos Apple, consulte o artigo Como utilizar a chave PGP de segurança dos produtos Apple.

Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.

Para obter mais informações acerca de outras atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.

Actualização de software 5 do iOS

  • CalDAV

    Disponível para: iOS 3.0 a 4.3.5 para iPhone 3GS e iPhone 4, iOS 3.1 a 4.3.5 para iPod touch (3.ª geração) e posterior, iOS 3.2 a 4.3.5 para iPad

    Impacto: um atacante com uma posição privilegiada na rede poderá intercetar credenciais de utilizador ou outras informações sensíveis a partir de um servidor de calendário CalDAV

    Descrição: o CalDAV não verificou se o certificado SSL apresentado pelo servidor era fiável.

    ID CVE

    CVE-2011-3253: Leszek Tasiemski da nSense

  • Calendário

    Disponível para: iOS 4.2.0 a 4.3.5 para iPhone 3GS e iPhone 4, iOS 4.2.0 a 4.3.5 para iPod touch (3.ª geração) e posterior, iOS 4.2.0 a 4.3.5 para iPad

    Impacto: visualizar um convite de calendário criado com intuito malicioso poderá injetar um script no domínio local

    Descrição: existia um problema de injeção de scripts no processamento de notas de convite por parte do Calendário. Este problema pode ser resolvido através de uma melhor introdução dos caracteres especiais de escape em notas de convite. Este problema não afeta dispositivos anteriores ao iOS 4.2.0.

    ID CVE

    CVE-2011-3254: Rick Deacon

  • CFNetwork

    Disponível para: iOS 3.0 a 4.3.5 para iPhone 3GS e iPhone 4, iOS 3.1 a 4.3.5 para iPod touch (3.ª geração) e posterior, iOS 3.2 a 4.3.5 para iPad

    Impacto: a palavra-passe do ID Apple do utilizador poderá estar registada num ficheiro local

    Descrição: uma palavra-passe e um nome de utilizador do ID Apple de um utilizador estavam registados num ficheiro legível por aplicações no sistema. Este problema pode ser resolvido se deixar de utilizar estas credenciais.

    ID CVE

    CVE-2011-3255: Peter Quade da qdevelop

  • CFNetwork

    Disponível para: iOS 3.0 a 4.3.5 para iPhone 3GS e iPhone 4, iOS 3.1 a 4.3.5 para iPod touch (3.ª geração) e posterior, iOS 3.2 a 4.3.5 para iPad

    Impacto: visitar um site criado com intuito malicioso poderá provocar a divulgação de informações sensíveis

    Descrição: existia um problema no processamento de cookies HTTP por parte do CFNetwork. O CFNetwork poderá enviar incorretamente os cookies de um domínio para um servidor fora desse domínio, se aceder a um URL HTTPS ou HTTP criado com intuito malicioso.

    ID CVE

    CVE-2011-3246: Erling Ellingsen do Facebook

  • CoreFoundation

    Disponível para: iOS 3.0 a 4.3.5 para iPhone 3GS e iPhone 4, iOS 3.1 a 4.3.5 para iPod touch (3.ª geração) e posterior, iOS 3.2 a 4.3.5 para iPad

    Impacto: visualizar um site ou uma mensagem de e-mail criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de corrupção de memória no processamento de "tokenização" de cadeias por parte do CoreFoundation.

    ID CVE

    CVE-2011-0259: Apple

  • CoreGraphics

    Disponível para: iOS 3.0 a 4.3.5 para iPhone 3GS e iPhone 4, iOS 3.1 a 4.3.5 para iPod touch (3.ª geração) e posterior, iOS 3.2 a 4.3.5 para iPad

    Impacto: visualizar um documento que contenha um tipo de letra criado com intuito malicioso poderá provocar a execução de um código arbitrário

    Descrição: existiam vários problemas de corrupção de memória no freetype, o mais grave dos quais poderá provocar a execução de um código arbitrário durante o processamento de um tipo de letra criado com intuito malicioso.

    ID CVE

    CVE-2011-3256: Apple

  • CoreMedia

    Disponível para: iOS 3.0 a 4.3.5 para iPhone 3GS e iPhone 4, iOS 3.1 a 4.3.5 para iPod touch (3.ª geração) e posterior, iOS 3.2 a 4.3.5 para iPad

    Impacto: visitar um site criado com intuito malicioso poderá provocar a divulgação de dados de vídeo de outro site

    Descrição: existia um problema de cruzamento de origens no processamento de redirecionamentos entre sites por parte do CoreMedia. Este problema é resolvido através de uma melhoria do registo da origem.

    ID CVE

    CVE-2011-0187: Nirankush Panchbhai e Microsoft Vulnerability Research (MSVR)

  • Acesso a dados

    Disponível para: iOS 3.0 a 4.3.5 para iPhone 3GS e iPhone 4, iOS 3.1 a 4.3.5 para iPod touch (3.ª geração) e posterior, iOS 3.2 a 4.3.5 para iPad

    Impacto: um cookie de troca de correio poderá provocar incorretamente a sincronização de dados entre contas diferentes

    Descrição: quando existem várias contas de troca de correio configuradas e ligadas ao mesmo servidor, uma sessão pode receber potencialmente um cookie válido correspondente a uma conta diferente. Este problema pode ser resolvido assegurando que os cookies são separados entre contas diferentes.

    ID CVE

    CVE-2011-3257: Bob Sielken da IBM

  • Segurança de dados

    Disponível para: iOS 3.0 a 4.3.5 para iPhone 3GS e iPhone 4, iOS 3.1 a 4.3.5 para iPod touch (3.ª geração) e posterior, iOS 3.2 a 4.3.5 para iPad

    Impacto: um atacante com uma posição privilegiada na rede poderá intercetar credenciais de utilizador ou outras informações sensíveis

    Descrição: foram emitidos certificados fraudulentos por várias entidades responsáveis pela emissão de certificados sob a alçada da DigiNotar. Este problema poderá ser resolvido através da remoção da DigiNotar da lista de certificados raiz fiáveis, da lista de entidades responsáveis pela emissão de certificados de Validação ampliada (EV) e através da configuração de predefinições de segurança do sistema de modo a que os certificados da DigiNotar, incluindo os que tiverem sido emitidos por outras entidades sob a sua alçada, não sejam considerados fiáveis.

  • Segurança de dados

    Disponível para: iOS 3.0 a 4.3.5 para iPhone 3GS e iPhone 4, iOS 3.1 a 4.3.5 para iPod touch (3.ª geração) e posterior, iOS 3.2 a 4.3.5 para iPad

    Impacto: o suporte de certificados X.509 com indexações MD5 poderá expor os utilizadores a infiltração e divulgação de informações à medida que os ataques melhoram

    Descrição: os certificados assinados através do algoritmo de indexações MD5 foram aceites pelo iOS. Já foram detetadas algumas debilidades criptográficas neste algoritmo. Uma investigação mais aprofundada ou uma entidade de certificação mal configurada poderá permitir a criação de certificados X.509 com valores controlados por atacantes que serão aceites pelo sistema. Desta forma, os protocolos baseados em X.509 poderão ficar expostos a infiltração, ataques "man in the middle" (através de intermediários) e divulgação de informações. Esta atualização desativa o suporte de um certificado X.509 com indexações MD5 para qualquer outra utilização que não a de certificado raiz fiável.

    ID CVE

    CVE-2011-3427

  • Segurança de dados

    Disponível para: iOS 3.0 a 4.3.5 para iPhone 3GS e iPhone 4, iOS 3.1 a 4.3.5 para iPod touch (3.ª geração) e posterior, iOS 3.2 a 4.3.5 para iPad

    Impacto: um atacante poderá decifrar parte de uma ligação SSL

    Descrição: apenas as versões SSLv3 e TLS 1.0 do SSL eram suportadas. Estas versões estão sujeitas a uma debilidade de protocolo quando são utilizadas cifras de bloqueio. Um atacante "man-in-the-middle" (através de intermediários) poderá ter injetado dados inválidos, provocando o encerramento da ligação, mas revelando algumas informações acerca dos dados anteriores. Se a mesma ligação tiver sido tentada repetidamente, o atacante poderá ter conseguido decifrar os dados que estavam a ser enviados, tais como uma palavra-passe. Este problema pode ser resolvido adicionando o suporte de TLS 1.2.

    ID CVE

    CVE-2011-3389

  • Ecrã principal

    Disponível para: iOS 3.0 a 4.3.5 para iPhone 3GS e iPhone 4, iOS 3.1 a 4.3.5 para iPod touch (3.ª geração) e posterior, iOS 3.2 a 4.3.5 para iPad

    Impacto: alternar entre aplicações poderá provocar a divulgação de informações sensíveis de aplicações

    Descrição: quando alterna entre aplicações com o gesto de alternar entre aplicações com quatro dedos, o ecrã poderá revelar o estado da aplicação anterior. Este problema pode ser resolvido assegurando-se de que o sistema ativa devidamente o método "applicationWillResignActive:" quando efetua a transição entre aplicações.

    ID CVE

    CVE-2011-3431: Abe White da Hedonic Software Inc.

  • ImageIO

    Disponível para: iOS 3.0 a 4.3.5 para iPhone 3GS e iPhone 4, iOS 3.1 a 4.3.5 para iPod touch (3.ª geração) e posterior, iOS 3.2 a 4.3.5 para iPad

    Impacto: visualizar uma imagem TIFF criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de ultrapassagem do limite máximo do buffer no processamento de imagens TIFF com codificação CCITT Group 4 por parte do libTIFF.

    ID CVE

    CVE-2011-0192: Apple

  • ImageIO

    Disponível para: iOS 3.0 a 4.3.5 para iPhone 3GS e iPhone 4, iOS 3.1 a 4.3.5 para iPod touch (3.ª geração) e posterior, iOS 3.2 a 4.3.5 para iPad

    Impacto: a visualização de uma imagem TIFF criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de ultrapassagem do limite máximo do buffer da área dinâmica para dados no processamento de imagens TIFF com codificação CCITT Group 4 por parte do ImageIO.

    ID CVE

    CVE-2011-0241: Cyril CATTIAUX da Tessi Technologies

  • Componentes internacionais para Unicode

    Disponível para: iOS 3.0 a 4.3.5 para iPhone 3GS e iPhone 4, iOS 3.1 a 4.3.5 para iPod touch (3.ª geração) e posterior, iOS 3.2 a 4.3.5 para iPad

    Impacto: as aplicações que utilizam ICU poderão estar vulneráveis ao encerramento inesperado de uma aplicação ou à execução de um código arbitrário

    Descrição: existia um problema de ultrapassagem do limite máximo do buffer na geração de códigos, por parte do ICU, de agrupamento de cadeias longas compostas na maioria por letras maiúsculas.

    ID CVE

    CVE-2011-0206: David Bienvenu da Mozilla

  • Kernel

    Disponível para: iOS 3.0 a 4.3.5 para iPhone 3GS e iPhone 4, iOS 3.1 a 4.3.5 para iPod touch (3.ª geração) e posterior, iOS 3.2 a 4.3.5 para iPad

    Impacto: um atacante remoto poderá causar a reposição do dispositivo

    Descrição: o kernel não conseguiu recuperar com rapidez a memória de ligações TCP incompletas. Um atacante com a capacidade para se ligar a um serviço de escuta num dispositivo iOS poderá esgotar os recursos do sistema.

    ID CVE

    CVE-2011-3259: Wouter van der Veer da Topicus I&I e Josh Enders

  • Kernel

    Disponível para: iOS 3.0 a 4.3.5 para iPhone 3GS e iPhone 4, iOS 3.1 a 4.3.5 para iPod touch (3.ª geração) e posterior, iOS 3.2 a 4.3.5 para iPad

    Impacto: um utilizador local poderá conseguir provocar uma reposição do sistema

    Descrição: existia um problema de não referência nula no processamento das opções de socket de IPV6.

    ID CVE

    CVE-2011-1132: Thomas Clement da Intego

  • Teclados

    Disponível para: iOS 3.0 a 4.3.5 para iPhone 3GS e iPhone 4, iOS 3.1 a 4.3.5 para iPod touch (3.ª geração) e posterior, iOS 3.2 a 4.3.5 para iPad

    Impacto: um utilizador poderá conseguir determinar informações acerca do último carácter de uma palavra-passe

    Descrição: o teclado utilizado para escrever o último carácter de uma palavra-passe era brevemente apresentado da próxima vez que o teclado era utilizado.

    ID CVE

    CVE-2011-3245: Paul Mousdicas

  • libxml

    Disponível para: iOS 3.0 a 4.3.5 para iPhone 3GS e iPhone 4, iOS 3.1 a 4.3.5 para iPod touch (3.ª geração) e posterior, iOS 3.2 a 4.3.5 para iPad

    Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de ultrapassagem de um byte do limite máximo do buffer da área dinâmica para dados no processamento de dados XML por parte do libxml.

    ID CVE

    CVE-2011-0216: Billy Rios da equipa de segurança da Google

  • OfficeImport

    Disponível para: iOS 3.0 a 4.3.5 para iPhone 3GS e iPhone 4, iOS 3.1 a 4.3.5 para iPod touch (3.ª geração) e posterior, iOS 3.2 a 4.3.5 para iPad

    Impacto: a visualização de um ficheiro Word criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de ultrapassagem do limite máximo do buffer no processamento de documentos Microsoft Word por parte do OfficeImport.

    ID CVE

    CVE-2011-3260: Tobias Klein em colaboração com a Verisign iDefense Labs

  • OfficeImport

    Disponível para: iOS 3.0 a 4.3.5 para iPhone 3GS e iPhone 4, iOS 3.1 a 4.3.5 para iPod touch (3.ª geração) e posterior, iOS 3.2 a 4.3.5 para iPad

    Impacto: a visualização de um ficheiro do Excel criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de libertação dupla no processamento de ficheiros Excel por parte do OfficeImport.

    ID CVE

    CVE-2011-3261: Tobias Klein da www.trapkit.de

  • OfficeImport

    Disponível para: iOS 3.0 a 4.3.5 para iPhone 3GS e iPhone 4, iOS 3.1 a 4.3.5 para iPod touch (3.ª geração) e posterior, iOS 3.2 a 4.3.5 para iPad

    Impacto: a descarga de um ficheiro do Microsoft Office criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de corrupção de memória no processamento de ficheiros do Microsoft Office por parte do OfficeImport.

    ID CVE

    CVE-2011-0208: Tobias Klein em colaboração com a iDefense VCP

  • OfficeImport

    Disponível para: iOS 3.0 a 4.3.5 para iPhone 3GS e iPhone 4, iOS 3.1 a 4.3.5 para iPod touch (3.ª geração) e posterior, iOS 3.2 a 4.3.5 para iPad

    Impacto: a descarga de um ficheiro Excel criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de corrupção de memória no processamento de ficheiros Excel por parte do OfficeImport.

    ID CVE

    CVE-2011-0184: Tobias Klein em colaboração com a iDefense VCP

  • Safari

    Disponível para: iOS 3.0 a 4.3.5 para iPhone 3GS e iPhone 4, iOS 3.1 a 4.3.5 para iPod touch (3.ª geração) e posterior, iOS 3.2 a 4.3.5 para iPad

    Impacto: a abertura de ficheiros criados com intuito malicioso em determinados sites poderá provocar um ataque de execução de scripts em vários sites

    Descrição: o iOS não suporta o valor do "anexo" do cabeçalho de Disposição de conteúdos HTTP. Este cabeçalho é utilizado por muitos sites para servir ficheiros enviados para o site por terceiros, tais como anexos em aplicações de e-mail baseadas na Web. Qualquer script em ficheiros servidos com este valor de cabeçalho será executado como se o ficheiro tivesse sido servido de forma incorporada, com acesso total a outros recursos no servidor de origem. Este problema pode ser resolvido carregando os anexos numa origem de segurança isolada e sem acesso a recursos noutros sites.

    ID CVE

    CVE-2011-3426: Christian Matthies em colaboração com a iDefense VCP, Yoshinori Oota da Business Architects Inc em colaboração com a JP/CERT

  • Definições

    Disponível para: iOS 3.0 a 4.3.5 para iPhone 3GS e iPhone 4, iOS 3.1 a 4.3.5 para iPod touch (3.ª geração) e posterior, iOS 3.2 a 4.3.5 para iPad

    Impacto: um atacante com acesso físico a um dispositivo poderá conseguir recuperar o código de restrições

    Descrição: a funcionalidade de permissões de controlo parental reforça as restrições da IU. A configuração de permissões de controlo parental está protegida por um código, que foi armazenado anteriormente em texto simples no disco. Este problema pode ser resolvido armazenando de modo seguro o código de permissões de controlo parental no porta-chaves do sistema.

    ID CVE

    CVE-2011-3429: investigador anónimo

  • Definições

    Disponível para: iOS 3.0 a 4.3.5 para iPhone 3GS e iPhone 4, iOS 3.1 a 4.3.5 para iPod touch (3.ª geração) e posterior, iOS 3.2 a 4.3.5 para iPad

    Impacto: IU enganadora

    Descrição: as configurações e definições aplicadas através de perfis de configuração parecem não funcionar corretamente com nenhum idioma que não o inglês. Como resultado, as definições podem ser apresentadas indevidamente. Este problema pode ser resolvido através da reparação de um erro de localização.

    ID CVE

    CVE-2011-3430: Florian Kreitmaier da Siemens CERT

  • Avisos UIKit

    Disponível para: iOS 3.0 a 4.3.5 para iPhone 3GS e iPhone 4, iOS 3.1 a 4.3.5 para iPod touch (3.ª geração) e posterior, iOS 3.2 a 4.3.5 para iPad

    Impacto: visitar um site malicioso poderá fazer com que o dispositivo desligue inesperadamente

    Descrição: um comprimento excessivo da disposição de texto máxima permitia que sites maliciosos fizessem com que o iOS se desligasse inesperadamente enquanto desenhava diálogos de aceitação para tel: URI muito longos. Este problema pode ser resolvido através da utilização de um tamanho máximo de URI mais razoável.

    ID CVE

    CVE-2011-3432: Simon Young da Universidade Anglia Ruskin

  • WebKit

    Disponível para: iOS 3.0 a 4.3.5 para iPhone 3GS e iPhone 4, iOS 3.1 a 4.3.5 para iPod touch (3.ª geração) e posterior, iOS 3.2 a 4.3.5 para iPad

    Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: ocorreram vários problemas de corrupção de memória no WebKit.

    ID CVE

    CVE-2011-0218: SkyLined da equipa de segurança do Google Chrome

    CVE-2011-0221: Abhishek Arya (Inferno) da equipa de segurança do Google Chrome

    CVE-2011-0222: Nikita Tarakanov e Alex Bazhanyuk da equipa de investigação do CISS e Abhishek Arya (Inferno) da equipa de segurança do Google Chrome

    CVE-2011-0225: Abhishek Arya (Inferno) da equipa de segurança do Google Chrome

    CVE-2011-0232: J23 em colaboração com o programa Zero Day Initiative da TippingPoint

    CVE-2011-0233: wushi da team509 em colaboração com o programa Zero Day Initiative da TippingPoint

    CVE-2011-0234: Rob King em colaboração com o programa Zero Day Initiative da TippingPoint, wushi da team509 em colaboração com o programa Zero Day Initiative da TippingPoint

    CVE-2011-0235: Abhishek Arya (Inferno) da equipa de segurança do Google Chrome

    CVE-2011-0238: Adam Barth da equipa de segurança do Google Chrome

    CVE-2011-0254: um investigador anónimo em colaboração com o programa Zero Day Initiative da TippingPoint

    CVE-2011-0255: um investigador anónimo em colaboração com o programa Zero Day Initiative da TippingPoint

    CVE-2011-0981: Rik Cabanier da Adobe Systems, Inc

    CVE-2011-0983: Martin Barbella

    CVE-2011-1109: Sergey Glazunov

    CVE-2011-1114: Martin Barbella

    CVE-2011-1115: Martin Barbella

    CVE-2011-1117: wushi da team509

    CVE-2011-1121: miaubiz

    CVE-2011-1188: Martin Barbella

    CVE-2011-1203: Sergey Glazunov

    CVE-2011-1204: Sergey Glazunov

    CVE-2011-1288: Andreas Kling da Nokia

    CVE-2011-1293: Sergey Glazunov

    CVE-2011-1296: Sergey Glazunov

    CVE-2011-1449: Marek Majkowski

    CVE-2011-1451: Sergey Glazunov

    CVE-2011-1453: wushi da team509 em colaboração com o programa Zero Day Initiative da TippingPoint

    CVE-2011-1457: John Knottenbelt da Google

    CVE-2011-1462: wushi da team509

    CVE-2011-1797: wushi da team509

    CVE-2011-2338: Abhishek Arya (Inferno) da equipa de segurança do Google Chrome utilizando AddressSanitizer

    CVE-2011-2339: Chris Neckar da equipa de segurança do Google Chrome

    CVE-2011-2341: wushi da team509 em colaboração com a Verisign iDefense Labs

    CVE-2011-2351: miaubiz

    CVE-2011-2352: Apple

    CVE-2011-2354: Apple

    CVE-2011-2356: Adam Barth e Abhishek Arya da equipa de segurança do Google Chrome utilizando AddressSanitizer

    CVE-2011-2359: miaubiz

    CVE-2011-2788: Mikolaj Malecki da Samsung

    CVE-2011-2790: miaubiz

    CVE-2011-2792: miaubiz

    CVE-2011-2797: miaubiz

    CVE-2011-2799: miaubiz

    CVE-2011-2809: Abhishek Arya (Inferno) da equipa de segurança do Google Chrome

    CVE-2011-2813: Cris Neckar da equipa de segurança do Google Chrome utilizando AddressSanitizer

    CVE-2011-2814: Abhishek Arya (Inferno) da equipa de segurança do Google Chrome utilizando AddressSanitizer

    CVE-2011-2816: Apple

    CVE-2011-2817: Abhishek Arya (Inferno) da equipa de segurança do Google Chrome utilizando AddressSanitizer

    CVE-2011-2818: Martin Barbella

    CVE-2011-2820: Raman Tenneti e Philip Rogers da Google

    CVE-2011-2823: SkyLined da equipa de segurança do Google Chrome

    CVE-2011-2827: miaubiz

    CVE-2011-2831: Abhishek Arya (Inferno) da equipa de segurança do Google Chrome utilizando AddressSanitizer

    CVE-2011-3232: Aki Helin da OUSPG

    CVE-2011-3234: miaubiz

    CVE-2011-3235: Dimitri Glazkov, Kent Tamura, Dominic Cooney da comunidade de desenvolvimento do Chromium e Abhishek Arya (Inferno) da equipa de segurança do Google Chrome

    CVE-2011-3236: Abhishek Arya (Inferno) da equipa de segurança do Google Chrome utilizando AddressSanitizer

    CVE-2011-3237: Dimitri Glazkov, Kent Tamura, Dominic Cooney da comunidade de desenvolvimento do Chromium e Abhishek Arya (Inferno) da equipa de segurança do Google Chrome

    CVE-2011-3244: vkouchna

  • WebKit

    Disponível para: iOS 3.0 a 4.3.5 para iPhone 3GS e iPhone 4, iOS 3.1 a 4.3.5 para iPod touch (3.ª geração) e posterior, iOS 3.2 a 4.3.5 para iPad

    Impacto: visitar um site criado com intuito malicioso poderá provocar um ataque de execução de scripts entre sites

    Descrição: existia um problema de cruzamento de origens no processamento de URL com um nome de utilizador incorporado. Este problema pode ser resolvido através do processamento melhorado de URL com um nome de utilizador incorporado.

    ID CVE

    CVE-2011-0242: Jobert Abma da Online24

  • WebKit

    Disponível para: iOS 3.0 a 4.3.5 para iPhone 3GS e iPhone 4, iOS 3.1 a 4.3.5 para iPod touch (3.ª geração) e posterior, iOS 3.2 a 4.3.5 para iPad

    Impacto: visitar um site criado com intuito malicioso poderá provocar um ataque de execução de scripts entre sites

    Descrição: existia um problema de cruzamento de origens no processamento de nós DOM.

    ID CVE

    CVE-2011-1295: Sergey Glazunov

  • WebKit

    Disponível para: iOS 3.0 a 4.3.5 para iPhone 3GS e iPhone 4, iOS 3.1 a 4.3.5 para iPod touch (3.ª geração) e posterior, iOS 3.2 a 4.3.5 para iPad

    Impacto: um site criado com intuito malicioso poderá fazer aparecer um URL diferente na barra de endereços

    Descrição: existia um problema de infiltração do URL no processamento do objeto de histórico DOM.

    ID CVE

    CVE-2011-1107: Jordi Chancel

  • WebKit

    Disponível para: iOS 3.0 a 4.3.5 para iPhone 3GS e iPhone 4, iOS 3.1 a 4.3.5 para iPod touch (3.ª geração) e posterior, iOS 3.2 a 4.3.5 para iPad

    Impacto: visitar um site criado com intuito malicioso poderá provocar a execução de um código arbitrário

    Descrição: existia um problema de configuração na utilização de libxslt por parte do WebKit. Visitar um site criado com intuito malicioso poderá fazer com que ficheiros arbitrários sejam criados com privilégios de utilizador, o que poderá provocar a execução de um código arbitrário. Este problema pode ser resolvido através da melhoria das definições de segurança do libxslt.

    ID CVE

    CVE-2011-1774: Nicolas Gregoire da Agarri

  • WebKit

    Disponível para: iOS 3.0 a 4.3.5 para iPhone 3GS e iPhone 4, iOS 3.1 a 4.3.5 para iPod touch (3.ª geração) e posterior, iOS 3.2 a 4.3.5 para iPad

    Impacto: visitar um site criado com intuito malicioso e arrastar conteúdos na página poderá provocar a divulgação de informações

    Descrição: existia um problema de cruzamento de origens no processamento da ação de arrastar e largar em HTML5 por parte do Webkit. Este problema é resolvido ao desautorizar a ação de arrastar e largar entre origens diferentes.

    ID CVE

    CVE-2011-0166: Michal Zalewski da Google Inc.

  • WebKit

    Disponível para: iOS 3.0 a 4.3.5 para iPhone 3GS e iPhone 4, iOS 3.1 a 4.3.5 para iPod touch (3.ª geração) e posterior, iOS 3.2 a 4.3.5 para iPad

    Impacto: visitar um site criado com intuito malicioso poderá provocar a divulgação de informações

    Descrição: existia um problema de cruzamento de origens no processamento de Web Workers.

    ID CVE

    CVE-2011-1190: Daniel Divricean da divricean.ro

  • WebKit

    Disponível para: iOS 3.0 a 4.3.5 para iPhone 3GS e iPhone 4, iOS 3.1 a 4.3.5 para iPod touch (3.ª geração) e posterior, iOS 3.2 a 4.3.5 para iPad

    Impacto: visitar um site criado com intuito malicioso poderá provocar um ataque de execução de scripts entre sites

    Descrição: existia um problema de cruzamento de origens no processamento do método window.open.

    ID CVE

    CVE-2011-2805: Sergey Glazunov

  • WebKit

    Disponível para: iOS 3.0 a 4.3.5 para iPhone 3GS e iPhone 4, iOS 3.1 a 4.3.5 para iPod touch (3.ª geração) e posterior, iOS 3.2 a 4.3.5 para iPad

    Impacto: visitar um site criado com intuito malicioso poderá provocar um ataque de execução de scripts entre sites

    Descrição: existia um problema de cruzamento de origens no processamento das janelas DOM inativas.

    ID CVE

    CVE-2011-3243: Sergey Glazunov

  • WebKit

    Disponível para: iOS 3.0 a 4.3.5 para iPhone 3GS e iPhone 4, iOS 3.1 a 4.3.5 para iPod touch (3.ª geração) e posterior, iOS 3.2 a 4.3.5 para iPad

    Impacto: visitar um site criado com intuito malicioso poderá provocar um ataque de execução de scripts entre sites

    Descrição: existia um problema de cruzamento de origens no processamento da propriedade document.documentURI.

    ID CVE

    CVE-2011-2819: Sergey Glazunov

  • WebKit

    Disponível para: iOS 3.0 a 4.3.5 para iPhone 3GS e iPhone 4, iOS 3.1 a 4.3.5 para iPod touch (3.ª geração) e posterior, iOS 3.2 a 4.3.5 para iPad

    Impacto: um site criado com intuito malicioso poderá conseguir registar os URL que um utilizador visita dentro de uma frame

    Descrição: existia um problema de cruzamento de origens no processamento do evento beforeload.

    ID CVE

    CVE-2011-2800: Juho Nurminen

  • Wi-Fi

    Disponível para: iOS 3.0 a 4.3.5 para iPhone 3GS e iPhone 4, iOS 3.1 a 4.3.5 para iPod touch (3.ª geração) e posterior, iOS 3.2 a 4.3.5 para iPad

    Impacto: as credenciais de Wi-Fi poderão estar registadas num ficheiro local

    Descrição: as credenciais de Wi-Fi, incluindo a frase-passe e os códigos de cifragem, estavam registados num ficheiro que era legível pelas aplicações do sistema. Este problema pode ser resolvido se deixar de utilizar estas credenciais.

    ID CVE

    CVE-2011-3434: Laurent OUDOT da TEHTRI Security

 

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Existem riscos inerentes à utilização da Internet. Contacte o fornecedor para obter informações adicionais. Outros nomes de empresas e de produtos podem ser marcas comerciais dos respetivos proprietários.

Data de publicação: