Acerca dos conteúdos de segurança da Atualização de software iOS 5.1

Este documento descreve os conteúdos de segurança da Atualização de software iOS 5.1.

Este documento descreve os conteúdos de segurança da Atualização de software iOS 5.1, que pode ser descarregada e instalada através do iTunes.

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações sobre a Segurança dos produtos da Apple, consulte o site Segurança dos produtos da Apple.

Para obter informações sobre a chave PGP de segurança dos produtos da Apple, consulte o artigo "Como utilizar a chave PGP de segurança dos produtos da Apple".

Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.

Para obter mais informações sobre outras atualizações de segurança, consulte o artigo "Atualizações de segurança da Apple".

Atualização de software iOS 5.1

  • CFNetwork

    Disponível para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3.ª geração e posterior), iPad, iPad 2

    Impacto: visitar um site criado com intuito malicioso poderá levar à divulgação de informações sensíveis

    Descrição: existia um problema no processamento de URL inválidos por parte do CFNetwork. Ao aceder a um URL criado com intuito malicioso, o CFNetwork podia enviar cabeçalhos de solicitação inesperados.

    ID CVE

    CVE-2012-0641: Erling Ellingsen do Facebook

  • HFS

    Disponível para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3.ª geração e posterior), iPad, iPad 2

    Impacto: a montagem de uma imagem de disco criada com intuito malicioso poderá provocar o encerramento do dispositivo ou a execução de um código arbitrário

    Descrição: existia um problema de ultrapassagem do limite mínimo de números inteiros no processamento de ficheiros do catálogo HFS.

    ID CVE

    CVE-2012-0642: pod2g

  • Kernel

    Disponível para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3.ª geração e posterior), iPad, iPad 2

    Impacto: um programa malicioso podia ignorar as restrições da sandbox

    Descrição: existia um problema de lógica no processamento de chamadas de depuração do sistema. Isto podia permitir que um programa malicioso obtivesse a execução de um código noutros programas com os mesmos privilégios de utilizador.

    ID CVE

    CVE-2012-0643: Dream Team 2012 do iOS Jailbreak

  • libresolv

    Disponível para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3.ª geração e posterior), iPad, iPad 2

    Impacto: as aplicações que utilizam a biblioteca libresolv poderão estar vulneráveis ao encerramento inesperado da aplicação ou à execução de um código arbitrário

    Descrição: existia um problema de ultrapassagem do limite máximo de números inteiros no processamento de registos de recursos DNS, o que poderá resultar na corrupção de memória na área dinâmica para dados.

    ID CVE

    CVE-2011-3453: Ilja van Sprundel da IOActive

  • Bloqueio por código

    Disponível para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3.ª geração e posterior), iPad, iPad 2

    Impacto: uma pessoa com acesso físico ao dispositivo poderá conseguir ignorar o bloqueio do ecrã

    Descrição: existia um problema de condição race no processamento de gestos de deslizar para marcar. Isto podia permitir que uma pessoa com acesso físico ao dispositivo ignorasse o ecrã de Bloqueio por código.

    ID CVE

    CVE-2012-0644: Roland Kohler do Ministério Federal Alemão de Economia e Tecnologia

  • Safari

    Disponível para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3.ª geração e posterior), iPad, iPad 2

    Impacto: as visitas a páginas Web poderão ficar registadas no histórico do navegador, mesmo quando a Navegação privada está ativa

    Descrição: a Navegação privada do Safari foi concebida para evitar o registo de uma sessão de navegação. As páginas visitadas como resultado de um site que utiliza métodos JavaScript pushState ou replaceState foram registadas no histórico do navegador, mesmo quando o modo de Navegação privada estava ativo. Este problema é resolvido através do não registo das referidas visitas quando a Navegação privada está ativa.

    ID CVE

    CVE-2012-0585: Eric Melville da American Express

  • Siri

    Disponível para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3.ª geração e posterior), iPad, iPad 2

    Impacto: um atacante com acesso físico a um telefone bloqueado podia ter acesso à mensagem de e-mail ativa

    Descrição: existia um problema de conceção nas restrições do Siri no ecrã bloqueado. Se o Siri estivesse ativado para ser utilizado no ecrã bloqueado e o Mail estivesse aberto com uma mensagem selecionada por trás do ecrã bloqueado, poderia ser usado um comando de voz para enviar essa mensagem para um destinatário arbitrário. Este problema é resolvido através da desativação do reencaminhamento de mensagens ativas a partir do ecrã bloqueado.

    ID CVE

    CVE-2012-0645

  • VPN

    Disponível para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3.ª geração e posterior), iPad, iPad 2

    Impacto: um ficheiro de configuração do sistema criado com intuito malicioso poderá levar à execução de um código arbitrário com privilégios de sistema

    Descrição: existia uma vulnerabilidade na cadeia de formato no processamento de ficheiros de configuração racoon.

    ID CVE

    CVE-2012-0646: pod2g

  • WebKit

    Disponível para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3.ª geração e posterior), iPad, iPad 2

    Impacto: visitar um site criado com intuito malicioso poderá levar à divulgação de cookies

    Descrição: existia um problema de cruzamento de origens no WebKit, que podia permitir que os cookies fossem divulgados entre origens.

    ID CVE

    CVE-2011-3887: Sergey Glazunov

  • WebKit

    Disponível para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3.ª geração e posterior), iPad, iPad 2

    Impacto: visitar um site criado com intuito malicioso e arrastar conteúdos com o rato poderá provocar um ataque de execução de scripts entre sites

    Descrição: existia um problema de cruzamento de origens no WebKit, que podia permitir que os conteúdos fossem arrastados e largados entre origens.

    ID CVE

    CVE-2012-0590: Adam Barth da equipa de segurança do Google Chrome

  • WebKit

    Disponível para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3.ª geração e posterior), iPad, iPad 2

    Impacto: visitar um site criado com intuito malicioso poderá provocar um ataque de execução de scripts entre sites

    Descrição: existiam vários problemas de cruzamento de origens no WebKit.

    ID CVE

    CVE-2011-3881: Sergey Glazunov

    CVE-2012-0586: Sergey Glazunov

    CVE-2012-0587: Sergey Glazunov

    CVE-2012-0588: Jochen Eisinger da equipa do Google Chrome

    CVE-2012-0589: Alan Austin do polyvore.com

  • WebKit

    Disponível para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3.ª geração e posterior), iPad, iPad 2

    Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existiam vários problemas de corrupção de memória no WebKit.

    ID CVE

    CVE-2011-2825: wushi da team509 em colaboração com o programa Zero Day Initiative da TippingPoint

    CVE-2011-2833: Apple

    CVE-2011-2846: Arthur Gerkis, miaubiz

    CVE-2011-2847: miaubiz, Abhishek Arya (Inferno) da equipa de segurança do Google Chrome com utilização do AddressSanitizer

    CVE-2011-2854: Abhishek Arya (Inferno) da equipa de segurança do Google Chrome com utilização do AddressSanitizer

    CVE-2011-2855: Arthur Gerkis, wushi da team509 em colaboração com a iDefense VCP

    CVE-2011-2857: miaubiz

    CVE-2011-2860: Abhishek Arya (Inferno) da equipa de segurança do Google Chrome com utilização do AddressSanitizer

    CVE-2011-2867: Dirk Schulze

    CVE-2011-2868: Abhishek Arya (Inferno) da equipa de segurança do Google Chrome com utilização do AddressSanitizer

    CVE-2011-2869: Cris Neckar da equipa de segurança do Google Chrome com utilização do AddressSanitizer

    CVE-2011-2870: Abhishek Arya (Inferno) da equipa de segurança do Google Chrome com utilização do AddressSanitizer

    CVE-2011-2871: Abhishek Arya (Inferno) da equipa de segurança do Google Chrome com utilização do AddressSanitizer

    CVE-2011-2872: Abhishek Arya (Inferno) e Cris Neckar da equipa de segurança do Google Chrome com utilização do AddressSanitizer

    CVE-2011-2873: Abhishek Arya (Inferno) da equipa de segurança do Google Chrome com utilização do AddressSanitizer

    CVE-2011-2877: miaubiz

    CVE-2011-3885: miaubiz

    CVE-2011-3888: miaubiz

    CVE-2011-3897: pa_kt em colaboração com o programa Zero Day Initiative da TippingPoint

    CVE-2011-3908: Aki Helin do OUSPG

    CVE-2011-3909: equipa de segurança do Google Chrome (scarybeasts) e Chu

    CVE-2011-3928: wushi da team509 em colaboração com o programa Zero Day Initiative da TippingPoint

    CVE-2012-0591: miaubiz e Martin Barbella

    CVE-2012-0592: Alexander Gavrun em colaboração com o programa Zero Day Initiative da TippingPoint

    CVE-2012-0593: Lei Zhang da comunidade de desenvolvimento do Chromium

    CVE-2012-0594: Adam Klein da comunidade de desenvolvimento do Chromium

    CVE-2012-0595: Apple

    CVE-2012-0596: Abhishek Arya (Inferno) da equipa de segurança do Google Chrome com utilização do AddressSanitizer

    CVE-2012-0597: miaubiz

    CVE-2012-0598: Sergey Glazunov

    CVE-2012-0599: Dmytro Gorbunov do SaveSources.com

    CVE-2012-0600: Marshall Greenblatt, Dharani Govindan do Google Chrome, miaubiz, Aki Helin do OUSPG, Apple

    CVE-2012-0601: Apple

    CVE-2012-0602: Apple

    CVE-2012-0603: Apple

    CVE-2012-0604: Apple

    CVE-2012-0605: Apple

    CVE-2012-0606: Apple

    CVE-2012-0607: Apple

    CVE-2012-0608: Abhishek Arya (Inferno) da equipa de segurança do Google Chrome com utilização do AddressSanitizer

    CVE-2012-0609: Abhishek Arya (Inferno) da equipa de segurança do Google Chrome com utilização do AddressSanitizer

    CVE-2012-0610: miaubiz, Martin Barbella com utilização do AddressSanitizer

    CVE-2012-0611: Martin Barbella com utilização do AddressSanitizer

    CVE-2012-0612: Abhishek Arya (Inferno) da equipa de segurança do Google Chrome com utilização do AddressSanitizer

    CVE-2012-0613: Abhishek Arya (Inferno) da equipa de segurança do Google Chrome com utilização do AddressSanitizer

    CVE-2012-0614: miaubiz, Martin Barbella com utilização do AddressSanitizer

    CVE-2012-0615: Martin Barbella com utilização do AddressSanitizer

    CVE-2012-0616: miaubiz

    CVE-2012-0617: Martin Barbella com utilização do AddressSanitizer

    CVE-2012-0618: Abhishek Arya (Inferno) da equipa de segurança do Google Chrome com utilização do AddressSanitizer

    CVE-2012-0619: Abhishek Arya (Inferno) da equipa de segurança do Google Chrome com utilização do AddressSanitizer

    CVE-2012-0620: Abhishek Arya (Inferno) da equipa de segurança do Google Chrome com utilização do AddressSanitizer

    CVE-2012-0621: Martin Barbella com utilização do AddressSanitizer

    CVE-2012-0622: Dave Levin e Abhishek Arya da equipa de segurança do Google Chrome

    CVE-2012-0623: Abhishek Arya (Inferno) da equipa de segurança do Google Chrome com utilização do AddressSanitizer

    CVE-2012-0624: Martin Barbella com utilização do AddressSanitizer

    CVE-2012-0625: Martin Barbella

    CVE-2012-0626: Abhishek Arya (Inferno) da equipa de segurança do Google Chrome com utilização do AddressSanitizer

    CVE-2012-0627: Apple

    CVE-2012-0628: Slawomir Blazek, miaubiz, Abhishek Arya (Inferno) da equipa de segurança do Google Chrome com utilização do AddressSanitizer

    CVE-2012-0629: Abhishek Arya (Inferno) da equipa de segurança do Google Chrome

    CVE-2012-0630: Sergio Villar Senin da Igalia

    CVE-2012-0631: Abhishek Arya (Inferno) da equipa de segurança do Google Chrome

    CVE-2012-0632: Cris Neckar da equipa de segurança do Google Chrome com utilização do AddressSanitizer

    CVE-2012-0633: Apple

    CVE-2012-0635: Julien Chaffraix da comunidade de desenvolvimento do Chromium, Martin Barbella com utilização do AddressSanitizer

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Existem riscos inerentes à utilização da Internet. Contacte o fornecedor para obter informações adicionais. Outros nomes de empresas e de produtos podem ser marcas comerciais dos respetivos proprietários.

Data de publicação: