Acerca dos conteúdos de segurança do iOS 7.1.1

Este documento descreve os conteúdos de segurança do iOS 7.1.1.

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações sobre a segurança dos produtos da Apple, consulte o site Segurança dos produtos da Apple.

Para obter informações sobre a chave PGP de segurança dos produtos da Apple, consulte o artigo "Como utilizar a chave PGP de segurança dos produtos da Apple".

Sempre que possível, são utilizadas ID CVE para designar as vulnerabilidades e disponibilizar mais informações.

Para obter mais informações sobre outras atualizações de segurança, consulte o artigo "Atualizações de segurança da Apple".

iOS 7.1.1

  • CFNetwork HTTPProtocol

    Disponível para: iPhone 4 e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um atacante com uma posição privilegiada na rede pode obter credenciais para um site

    Descrição: os cabeçalhos HTTP definidos por cookies seriam processados mesmo se a ligação fosse encerrada antes de a linha do cabeçalho estar completa. Um atacante poderia desativar as definições de segurança a partir do cookie, forçando a ligação a encerrar antes de as definições de segurança serem enviadas e obter o valor do cookie não protegido. Este problema foi resolvido ignorando as linhas HTTP incompletas nos cabeçalhos.

    ID CVE

    CVE-2014-1296 : Antoine Delignat-Lavaud da Prosecco na Inria Paris

  • IOKit Kernel

    Disponível para: iPhone 4 e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um utilizador local poderá ler os indicadores do kernel, os quais podem ser utilizados para ignorar a aleatoriedade dos espaços dos modelos de endereços do kernel

    Descrição: um conjunto de indicadores do kernel armazenados num objeto IOKit poderia ser recuperado por um utilizador. O problema foi resolvido através da remoção dos indicadores do objeto.

    ID CVE

    CVE-2014-1320 : Ian Beer do Google Project Zero em colaboração com a Zero Day Initiative da HP

  • Segurança – Transporte seguro

    Disponível para: iPhone 4 e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um atacante com uma posição privilegiada na rede poderá captar dados ou alterar as operações efetuadas em sessões protegidas por SSL

    Descrição: num ataque "triple handshake", era possível para o atacante estabelecer duas ligações que tinham as mesmas chaves de cifragem e handshake, inserir os dados do atacante numa ligação e renegociar para que as ligações pudessem ser reencaminhadas uma para a outra. Para impedir ataques baseados neste cenário, o Transporte seguro foi alterado para que, por predefinição, uma renegociação tivesse de apresentar o mesmo certificado de servidor que tinha sido apresentado na ligação original.

    ID CVE

    CVE-2014-1295 : Antoine Delignat-Lavaud, Karthikeyan Bhargavan e Alfredo Pironti da Prosecco em Inria Paris

  • WebKit

    Disponível para: iPhone 4 e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: ocorreram vários problemas de corrupção de memória no WebKit. Estes problemas foram resolvidos através de um melhor processamento da memória.

    ID CVE

    CVE-2013-2871: miaubiz

    CVE-2014-1298 : equipa de segurança do Google Chrome

    CVE-2014-1299 : equipa de segurança do Google Chrome, Apple, Renata Hodovan da University of Szeged/Samsung Electronics

    CVE-2014-1300 : Ian Beer do Google Project Zero em colaboração com a Zero Day Initiative da HP

    CVE-2014-1302 : equipa de segurança do Google Chrome, Apple

    CVE-2014-1303 : KeenTeam em colaboração com a Zero Day Initiative da HP

    CVE-2014-1304 : Apple

    CVE-2014-1305 : Apple

    CVE-2014-1307 : equipa de segurança do Google Chrome

    CVE-2014-1308 : equipa de segurança do Google Chrome

    CVE-2014-1309 : cloudfuzzer

    CVE-2014-1310 : equipa de segurança do Google Chrome

    CVE-2014-1311 : equipa de segurança do Google Chrome

    CVE-2014-1312 : equipa de segurança do Google Chrome

    CVE-2014-1313 : equipa de segurança do Google Chrome

    CVE-2014-1713 : VUPEN em colaboração com a Zero Day Initiative da HP

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Existem riscos inerentes à utilização da Internet. Contacte o fornecedor para obter informações adicionais. Outros nomes de empresas e de produtos podem ser marcas comerciais dos respetivos proprietários.

Data de publicação: