Acerca dos conteúdos de segurança da Actualização de software 5.0.1 do iOS
Este documento descreve os conteúdos de segurança do iOS 5.0.1.
Este documento descreve os conteúdos de segurança do iOS 5.0.1, que pode ser descarregado e instalado através do iTunes.
Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.
Para obter informações acerca da chave PGP de segurança dos produtos Apple, consulte o artigo Como utilizar a chave PGP de segurança dos produtos Apple.
Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.
Para obter mais informações acerca de outras atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.
Actualização de software 5.0.1 do iOS
CFNetwork
Disponível para: iOS 3.0 a 5.0 para iPhone 3GS, iPhone 4 e iPhone 4s, iOS 3.1 a 5.0 para iPod touch (3.ª geração) e posterior, iOS 3.2 a 5.0 para iPad, iOS 4.3 a 5.0 para iPad 2
Impacto: visitar um site criado com intuito malicioso poderá provocar a divulgação de informações sensíveis
Descrição: existia um problema no processamento de URL criados com intuito malicioso por parte do CFNetwork. O CFNetwork poderá navegar para um servidor incorreto se aceder a um URL HTTP ou HTTPS criado com intuito malicioso.
ID CVE
CVE-2011-3246: Erling Ellingsen do Facebook
CoreGraphics
Disponível para: iOS 3.0 a 5.0 para iPhone 3GS, iPhone 4 e iPhone 4s, iOS 3.1 a 5.0 para iPod touch (3.ª geração) e posterior, iOS 3.2 a 5.0 para iPad, iOS 4.3 a 5.0 para iPad 2
Impacto: visualizar um documento que contenha um tipo de letra criado com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: existiam vários problemas de corrupção de memória no FreeType, o mais grave dos quais poderá provocar a execução de um código arbitrário durante o processamento de um tipo de letra criado com intuito malicioso.
ID CVE
CVE-2011-3439: Apple
Segurança de dados
Disponível para: iOS 3.0 a 5.0 para iPhone 3GS, iPhone 4 e iPhone 4s, iOS 3.1 a 5.0 para iPod touch (3.ª geração) e posterior, iOS 3.2 a 5.0 para iPad, iOS 4.3 a 5.0 para iPad 2
Impacto: um atacante com uma posição privilegiada na rede poderá intercetar credenciais de utilizador ou outras informações sensíveis
Descrição: duas autoridades de certificação na lista de certificados raiz fiáveis emitiram de forma independente certificados intermédios à DigiCert Malaysia. A DigiCert Malaysia emitiu certificados com chaves fracas impossíveis de revogar. Um atacante com uma posição privilegiada na rede poderá intercetar credenciais de utilizador ou outras informações sensíveis destinadas a sites com um certificado emitido pela DigiCert Malaysia. Este problema é resolvido se configurar as predefinições de segurança do sistema de modo a que os certificados emitidos pela DigiCert Malaysia não sejam considerados como seguros. Os nossos agradecimentos a Bruce Morton da Entrust, Inc. por ter comunicado este problema.
Kernel
Disponível para: iOS 3.0 a 5.0 para iPhone 3GS, iPhone 4 e iPhone 4s, iOS 3.1 a 5.0 para iPod touch (3.ª geração) e posterior, iOS 3.2 a 5.0 para iPad, iOS 4.3 a 5.0 para iPad 2
Impacto: uma aplicação poderá executar código sem assinatura
Descrição: existia um erro de lógica na verificação de combinações de marcador válidas por parte da chamada de sistema do mmap. Este problema poderá fazer com que a verificação da assinatura de código seja ignorada. Este problema não afeta dispositivos com uma versão de software iOS anterior à 4.3.
ID CVE
CVE-2011-3442: Charlie Miller da Accuvant Labs
libinfo
Disponível para: iOS 3.0 a 5.0 para iPhone 3GS, iPhone 4 e iPhone 4s, iOS 3.1 a 5.0 para iPod touch (3.ª geração) e posterior, iOS 3.2 a 5.0 para iPad, iOS 4.3 a 5.0 para iPad 2
Impacto: visitar um site criado com intuito malicioso poderá provocar a divulgação de informações sensíveis
Descrição: existia um problema no processamento das pesquisas de nomes DNS por parte do libinfo. O libinfo poderá apresentar resultados incorretos ao processar um nome de host criado com intuito malicioso.
ID CVE
CVE-2011-3441: Erling Ellingsen do Facebook, Per Johansson do Blocket AB
Bloqueio por código
Disponível para: iOS 4.3 a 5.0 para iPad 2
Impacto: uma pessoa com acesso físico a um iPad 2 bloqueado poderá conseguir aceder aos dados do utilizador
Descrição: o iPad 2 não solicita nenhum código quando a Smart Cover é aberta ao mesmo tempo que o iPad 2 confirma o encerramento no estado de bloqueado. Esta situação permite obter acesso limitado ao iPad, mas os dados protegidos pela Protecção de dados permanecem inacessíveis e não será possível iniciar apps.
ID CVE
CVE-2011-3440
As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Contacte o fornecedor para obter mais informações.