Acerca dos conteúdos de segurança da Actualização de software 5.0.1 do iOS

Este documento descreve os conteúdos de segurança do iOS 5.0.1.

Este documento descreve os conteúdos de segurança do iOS 5.0.1, que pode ser descarregado e instalado através do iTunes.

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.

Para obter informações acerca da chave PGP de segurança dos produtos Apple, consulte o artigo Como utilizar a chave PGP de segurança dos produtos Apple.

Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.

Para obter mais informações acerca de outras atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.

Actualização de software 5.0.1 do iOS

  • CFNetwork

    Disponível para: iOS 3.0 a 5.0 para iPhone 3GS, iPhone 4 e iPhone 4s, iOS 3.1 a 5.0 para iPod touch (3.ª geração) e posterior, iOS 3.2 a 5.0 para iPad, iOS 4.3 a 5.0 para iPad 2

    Impacto: visitar um site criado com intuito malicioso poderá provocar a divulgação de informações sensíveis

    Descrição: existia um problema no processamento de URL criados com intuito malicioso por parte do CFNetwork. O CFNetwork poderá navegar para um servidor incorreto se aceder a um URL HTTP ou HTTPS criado com intuito malicioso.

    ID CVE

    CVE-2011-3246: Erling Ellingsen do Facebook

  • CoreGraphics

    Disponível para: iOS 3.0 a 5.0 para iPhone 3GS, iPhone 4 e iPhone 4s, iOS 3.1 a 5.0 para iPod touch (3.ª geração) e posterior, iOS 3.2 a 5.0 para iPad, iOS 4.3 a 5.0 para iPad 2

    Impacto: visualizar um documento que contenha um tipo de letra criado com intuito malicioso poderá provocar a execução de um código arbitrário

    Descrição: existiam vários problemas de corrupção de memória no FreeType, o mais grave dos quais poderá provocar a execução de um código arbitrário durante o processamento de um tipo de letra criado com intuito malicioso.

    ID CVE

    CVE-2011-3439: Apple

  • Segurança de dados

    Disponível para: iOS 3.0 a 5.0 para iPhone 3GS, iPhone 4 e iPhone 4s, iOS 3.1 a 5.0 para iPod touch (3.ª geração) e posterior, iOS 3.2 a 5.0 para iPad, iOS 4.3 a 5.0 para iPad 2

    Impacto: um atacante com uma posição privilegiada na rede poderá intercetar credenciais de utilizador ou outras informações sensíveis

    Descrição: duas autoridades de certificação na lista de certificados raiz fiáveis emitiram de forma independente certificados intermédios à DigiCert Malaysia. A DigiCert Malaysia emitiu certificados com chaves fracas impossíveis de revogar. Um atacante com uma posição privilegiada na rede poderá intercetar credenciais de utilizador ou outras informações sensíveis destinadas a sites com um certificado emitido pela DigiCert Malaysia. Este problema é resolvido se configurar as predefinições de segurança do sistema de modo a que os certificados emitidos pela DigiCert Malaysia não sejam considerados como seguros. Os nossos agradecimentos a Bruce Morton da Entrust, Inc. por ter comunicado este problema.

  • Kernel

    Disponível para: iOS 3.0 a 5.0 para iPhone 3GS, iPhone 4 e iPhone 4s, iOS 3.1 a 5.0 para iPod touch (3.ª geração) e posterior, iOS 3.2 a 5.0 para iPad, iOS 4.3 a 5.0 para iPad 2

    Impacto: uma aplicação poderá executar código sem assinatura

    Descrição: existia um erro de lógica na verificação de combinações de marcador válidas por parte da chamada de sistema do mmap. Este problema poderá fazer com que a verificação da assinatura de código seja ignorada. Este problema não afeta dispositivos com uma versão de software iOS anterior à 4.3.

    ID CVE

    CVE-2011-3442: Charlie Miller da Accuvant Labs

  • libinfo

    Disponível para: iOS 3.0 a 5.0 para iPhone 3GS, iPhone 4 e iPhone 4s, iOS 3.1 a 5.0 para iPod touch (3.ª geração) e posterior, iOS 3.2 a 5.0 para iPad, iOS 4.3 a 5.0 para iPad 2

    Impacto: visitar um site criado com intuito malicioso poderá provocar a divulgação de informações sensíveis

    Descrição: existia um problema no processamento das pesquisas de nomes DNS por parte do libinfo. O libinfo poderá apresentar resultados incorretos ao processar um nome de host criado com intuito malicioso.

    ID CVE

    CVE-2011-3441: Erling Ellingsen do Facebook, Per Johansson do Blocket AB

  • Bloqueio por código

    Disponível para: iOS 4.3 a 5.0 para iPad 2

    Impacto: uma pessoa com acesso físico a um iPad 2 bloqueado poderá conseguir aceder aos dados do utilizador

    Descrição: o iPad 2 não solicita nenhum código quando a Smart Cover é aberta ao mesmo tempo que o iPad 2 confirma o encerramento no estado de bloqueado. Esta situação permite obter acesso limitado ao iPad, mas os dados protegidos pela Protecção de dados permanecem inacessíveis e não será possível iniciar apps.

    ID CVE

    CVE-2011-3440

 

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Existem riscos inerentes à utilização da Internet. Contacte o fornecedor para obter informações adicionais. Outros nomes de empresas e de produtos podem ser marcas comerciais dos respetivos proprietários.

Data de publicação: