Acerca do conteúdo de segurança do iOS 7.1

Este documento descreve o conteúdo de segurança do iOS 7.1.

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações sobre a segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.

Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo "Como utilizar a chave PGP de segurança dos produtos Apple".

Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.

Para obter mais informações acerca de outras atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.

iOS 7.1

  • Cópia de segurança

    Disponível para: iPhone 4 e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: uma cópia de segurança criada com intuito malicioso pode alterar o sistema de ficheiros

    Descrição: era restaurada uma ligação simbólica na cópia de segurança que permitia operações subsequentes durante o restauro, as quais visavam escrever no resto do sistema de ficheiros. O problema foi corrigido através da procura de ligações simbólicas durante o processo de restauro.

    ID CVE

    CVE-2013-5133: evad3rs

  • Política de confiança de certificados

    Disponível para: iPhone 4 e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: os certificados raiz foram atualizados

    Descrição: vários certificados foram adicionados ou removidos da lista de raízes do sistema.

  • Perfis de configuração

    Disponível para: iPhone 4 e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: as datas de validade dos perfis não eram respeitadas

    Descrição: as datas de validade dos perfis de configuração móveis não eram avaliadas corretamente. Este problema foi resolvido através do processamento melhorado dos perfis de configuração.

    ID CVE

    CVE-2014-1267

  • CoreCapture

    Disponível para: iPhone 4 e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: uma aplicação maliciosa pode causar o encerramento inesperado do sistema

    Descrição: existia um problema de afirmação acessível no processamento de chamadas IOKit API pelo CoreCapture. Este problema foi corrigido através da validação adicional das entradas do IOKit.

    ID CVE

    CVE-2014-1271: Filippo Bigarella

  • Relatório de falha

    Disponível para: iPhone 4 e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um utilizador local poderá conseguir alterar as permissões de ficheiros arbitrários

    Descrição: o CrashHouseKeeping seguia ligações simbólicas ao mesmo tempo que alterava as permissões nos ficheiros. Este problema foi resolvido ao não serem seguidas ligações simbólicas quando se alteram as permissões nos ficheiros.

    ID CVE

    CVE-2014-1272: evad3rs

  • dyld

    Disponível para: iPhone 4 e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: os requisitos de assinatura por código podem ser ignorados

    Descrição: as instruções de mudança de texto em bibliotecas dinâmicas podem ser carregadas pelo dyld sem validação da assinatura do código. Este problema foi resolvido ignorando as instruções de mudança do texto.

    ID CVE

    CVE-2014-1273: evad3rs

  • FaceTime

    Disponível para: iPhone 4 e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um indivíduo com acesso físico ao dispositivo poderá ser capaz de aceder aos contactos do FaceTime a partir do ecrã bloqueado

    Descrição: os contactos do FaceTime num dispositivo bloqueado podiam ser expostos quando se efetuava uma chamada FaceTime falhada a partir do ecrã bloqueado. Este problema foi resolvido através da melhoria do processamento de chamadas FaceTime.

    ID CVE

    CVE-2014-1274

  • ImageIO

    Disponível para: iPhone 4 e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: a visualização de um ficheiro PDF criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de ultrapassagem do limite máximo do buffer no processamento de imagens JPEG2000 em ficheiros PDF. Este problema foi resolvido através da verificação melhorada dos limites.

    ID CVE

    CVE-2014-1275: Felix Groebert da Equipa de segurança da Google

  • ImageIO

    Disponível para: iPhone 4 e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: visualizar um ficheiro TIFF criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de ultrapassagem do limite máximo do buffer no processamento de imagens TIFF por parte do libtiff. Este problema foi resolvido através da validação adicional de imagens TIFF.

    ID CVE

    CVE-2012-2088

  • ImageIO

    Disponível para: iPhone 4 e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: visualizar um ficheiro JPEG criado com intuito malicioso poderá conduzir à divulgação de conteúdos da memória

    Descrição: existia um problema de acesso a memória não inicializada no processamento de marcadores JPEG por parte do libjpeg, o que resultava na divulgação dos conteúdos da memória. Este problema foi resolvido através da validação adicional de ficheiros JPEG.

    ID CVE

    CVE-2013-6629: Michal Zalewski

  • Evento IOKit HID

    Disponível para: iPhone 4 e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: uma aplicação maliciosa poderá monitorizar as ações do utilizador noutras apps

    Descrição: uma interface na estrutura do IOKit permitia que apps maliciosas monitorizassem as ações do utilizador noutras apps. Este problema foi resolvido através da implementação de políticas de controlo melhoradas no acesso à estrutura.

    ID CVE

    CVE-2014-1276: Min Zheng, Hui Xue e Dr. Tao (Lenx) Wei da FireEye

  • iTunes Store

    Disponível para: iPhone 4 e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um atacante "man-in-the-middle" (através de intermediários) poderá conseguir que um utilizador descarregue uma app maliciosa através da Descarga de apps empresariais

    Descrição: um atacante com uma posição privilegiada na rede poderia falsificar as comunicações de rede para fazer com que um utilizador descarregasse uma app maliciosa. O problema foi mitigado usando SSL e ajudando o utilizador durante os redirecionamentos de URL.

    ID CVE

    CVE-2013-3948: Stefan Esser

  • Kernel

    Disponível para: iPhone 4 e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um utilizador local poderá provocar o encerramento inesperado do sistema ou a execução de código arbitrário no kernel

    Descrição: existia um problema de acesso à memória fora dos limites na função ARM ptmx_get_ioctl. Este problema foi resolvido através da verificação melhorada dos limites.

    ID CVE

    CVE-2014-1278: evad3rs

  • Office Viewer

    Disponível para: iPhone 4 e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: abrir um documento do Microsoft Word criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de libertação dupla no processamento de documentos do Microsoft Word. Este problema foi resolvido através da melhoria da gestão da memória.

    ID CVE

    CVE-2014-1252: Felix Groebert da Equipa de segurança da Google

  • Backend das fotografias

    Disponível para: iPhone 4 e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: as imagens apagadas poderão continuar a aparecer na app Fotografias, por baixo de imagens transparentes

    Descrição: apagar uma imagem da biblioteca de recursos não apagava as versões em cache da mesma. Este problema foi resolvido através da melhoria da gestão da cache.

    ID CVE

    CVE-2014-1281: Walter Hoelblinger de Hoelblinger.com, Morgan Adams, Tom Pennington

  • Perfis

    Disponível para: iPhone 4 e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um perfil de configuração poderá não estar visível para o utilizador

    Descrição: um perfil de configuração com um nome longo poderia ser carregado para o dispositivo, mas não ser apresentado no perfil da IU. O problema foi resolvido através do processamento melhorado dos nomes de perfis.

    ID CVE

    CVE-2014-1282: Assaf Hefetz, Yair Amit e Adi Sharabani da Skycure

  • Safari

    Disponível para: iPhone 4 e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: as credenciais do utilizador poderão ser partilhadas com um site inesperado através do preenchimento automático

    Descrição: o Safari pode ter preenchido automaticamente nomes de utilizador e palavras-passe num subframe a partir de um domínio diferente do frame principal. Este problema foi resolvido através do registo de origem melhorado.

    ID CVE

    CVE-2013-5227: Niklas Malmgren da Klarna AB

  • Definições – Contas

    Disponível para: iPhone 4 e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um indivíduo com acesso físico ao dispositivo poderá ser capaz de desativar o Encontrar iPhone sem introduzir a palavra-passe do iCloud

    Descrição: existia um problema de gestão do estado no processamento do estado do Encontrar iPhone. Este problema foi corrigido através do processamento melhorado do estado do Encontrar iPhone.

    ID CVE

    CVE-2014-2019

  • Springboard

    Disponível para: iPhone 4 e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um indivíduo com acesso físico ao dispositivo poderá ser capaz de ver o ecrã principal mesmo que o dispositivo não tenha sido ativado

    Descrição: o encerramento inesperado de uma aplicação durante a ativação poderia fazer com que o ecrã principal fosse apresentado. Este problema foi resolvido através da melhoria do processamento de erros durante a ativação.

    ID CVE

    CVE-2014-1285: Roboboi99

  • Ecrã bloqueado do SpringBoard

    Disponível para: iPhone 4 e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um atacante remoto poderá fazer com que o ecrã bloqueado deixe de responder

    Descrição: existia um problema de gestão do estado no ecrã bloqueado. Este problema foi resolvido através da melhoria da gestão do estado.

    ID CVE

    CVE-2014-1286: Bogdan Alecu da M-sec.net

  • Estrutura do TelephonyUI

    Disponível para: iPhone 4 e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: uma página web poderá iniciar uma chamada FaceTime áudio sem a interação do utilizador

    Descrição: o Safari não consultava o utilizador antes de abrir URL facetime-audio://. Este problema foi resolvido através da adição de um pedido de confirmação.

    ID CVE

    CVE-2013-6835: Guillaume Ross

  • Anfitrião USB

    Disponível para: iPhone 4 e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um indivíduo com acesso físico ao dispositivo poderá ser capaz de causar a execução de um código arbitrário no modo kernel

    Descrição: existia um problema de corrupção da memória no processamento de mensagens USB. Este problema foi resolvido através da validação adicional de mensagens USB.

    ID CVE

    CVE-2014-1287: Andy Davis do NCC Group

  • Controlador de vídeo

    Disponível para: iPhone 4 e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: reproduzir um vídeo criado com intuito malicioso poderá fazer com que o dispositivo deixe de responder

    Descrição: existia um problema de desreferenciação NULL no processamento de ficheiros MPEG-4 codificados. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2014-1280: rg0rd

  • WebKit

    Disponível para: iPhone 4 e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existiam vários problemas de corrupção de memória no WebKit. Estes problemas foram resolvidos através do processamento melhorado da memória.

    ID CVE

    CVE-2013-2909: Atte Kettunen do OUSPG

    CVE-2013-2926: cloudfuzzer

    CVE-2013-2928: Equipa de segurança do Google Chrome

    CVE-2013-5196: Equipa de segurança do Google Chrome

    CVE-2013-5197: Equipa de segurança do Google Chrome

    CVE-2013-5198: Apple

    CVE-2013-5199: Apple

    CVE-2013-5225: Equipa de segurança do Google Chrome

    CVE-2013-5228: Keen Team (@K33nTeam) em colaboração com a Zero Day Initiative da HP

    CVE-2013-6625: cloudfuzzer

    CVE-2013-6635: cloudfuzzer

    CVE-2014-1269: Apple

    CVE-2014-1270: Apple

    CVE-2014-1289: Apple

    CVE-2014-1290: ant4g0nist (SegFault) em colaboração com a Zero Day Initiative da HP, Equipa de segurança do Google Chrome, Lee Wang Hao em colaboração com S.P.T. Krishnan do Infocomm Security Department, Institute for Infocomm Research

    CVE-2014-1291: Equipa de segurança do Google Chrome

    CVE-2014-1292: Equipa de segurança do Google Chrome

    CVE-2014-1293: Equipa de segurança do Google Chrome

    CVE-2014-1294: Equipa de segurança do Google Chrome

 

O FaceTime não está disponível em todos os países ou regiões.

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Existem riscos inerentes à utilização da Internet. Contacte o fornecedor para obter informações adicionais. Outros nomes de empresas e de produtos podem ser marcas comerciais dos respetivos proprietários.

Data de publicação: