Acerca dos conteúdos de segurança do iOS 7.1.2

Este documento descreve os conteúdos de segurança do iOS 7.1.2.

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.

Para obter informações acerca da chave PGP de segurança dos produtos Apple, consulte o artigo Como utilizar a chave PGP de segurança dos produtos Apple.

Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.

Para obter mais informações acerca de outras atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.

iOS 7.1.2

  • Política de confiança de certificados

    Disponível para: iPhone 4 e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: atualização da política de confiança de certificados

    Descrição: a política de confiança de certificados foi atualizada. A lista completa de certificados poderá ser consultada no seguinte artigo: http://support.apple.com/kb/HT5012?viewlocale=pt_PT.

  • CoreGraphics

    Disponível para: iPhone 4 e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: visualizar um ficheiro XMB criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de atribuição livre de pilhas no processamento de ficheiros XBM. Este problema foi resolvido através da verificação melhorada dos limites.

    ID CVE

    CVE-2014-1354: Dima Kovalenko de codedigging.com

  • Kernel

    Disponível para: iPhone 4 e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: uma aplicação poderia fazer com que o dispositivo reiniciasse inesperadamente

    Descrição: existia um problema de desreferenciação do indicador nulo no processamento de argumentos API do IOKit. Este problema foi resolvido através da validação adicional dos argumentos API do IOKit.

    ID CVE

    CVE-2014-1355: cunzhang de Adlab da Venustech

  • launchd

    Disponível para: iPhone 4 e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existia um problema de ultrapassagem do limite máximo de buffer na área dinâmica para dados no processamento de mensagens IPC por parte do launchd. Este problema foi resolvido através da verificação melhorada dos limites.

    ID CVE

    CVE-2014-1356: Ian Beer do Google Project Zero

  • launchd

    Disponível para: iPhone 4 e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existia um problema de ultrapassagem do limite máximo de buffer na área dinâmica para dados no processamento de mensagens de registo por parte do launchd. Este problema foi resolvido através da verificação melhorada dos limites.

    ID CVE

    CVE-2014-1357: Ian Beer do Google Project Zero

  • launchd

    Disponível para: iPhone 4 e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existia um problema de ultrapassagem do limite máximo de números inteiros no launchd. Este problema foi resolvido através da verificação melhorada dos limites.

    ID CVE

    CVE-2014-1358: Ian Beer do Google Project Zero

  • launchd

    Disponível para: iPhone 4 e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existia um problema de ultrapassagem do limite mínimo de números inteiros no launchd. Este problema foi resolvido através da verificação melhorada dos limites.

    ID CVE

    CVE-2014-1359: Ian Beer do Google Project Zero

  • Lockdown

    Disponível para: iPhone 4 e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um atacante que possua um dispositivo iOS poderá contornar potencialmente o Bloqueio de activação

    Descrição: os dispositivos efetuavam verificações incompletas durante a ativação, o que tornava possível que indivíduos com intenções maliciosas contornassem parcialmente o Bloqueio de activação. Este problema foi resolvido através da verificação adicional do lado do cliente, de dados recebidos dos servidores de ativação.

    ID CVE

    CVE-2014-1360

  • Ecrã bloqueado

    Disponível para: iPhone 4 e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um atacante que possua um dispositivo poderá exceder o número máximo de tentativas falhadas de introdução do código

    Descrição: em determinadas circunstâncias, o limite de tentativas falhadas de introdução do código não era respeitado. Este problema foi resolvido através da imposição adicional deste limite.

    ID CVE

    CVE-2014-1352: mblsec

  • Ecrã bloqueado

    Disponível para: iPhone 4 e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: uma pessoa com acesso físico ao dispositivo bloqueado poderá ser capaz de aceder à aplicação que estava em primeiro plano antes do bloqueio

    Descrição: existia um problema de gestão do estado no processamento do estado da funcionalidade de telefonia no Modo de voo. Este problema foi resolvido através da gestão de estado melhorada no Modo de voo.

    ID CVE

    CVE-2014-1353

  • Mail

    Disponível para: iPhone 4 e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: os anexos de e-mail podem ser extraídos de um iPhone 4

    Descrição: a proteção de dados não estava ativada para os anexos de e-mail, o que fazia com que pudessem ser lidos por um atacante com acesso físico ao dispositivo. Este problema foi resolvido através da mudança da classe de cifragem dos anexos de e-mail.

    ID CVE

    CVE-2014-1348: Andreas Kurtz do NESO Security Labs

  • Safari

    Disponível para: iPhone 4 e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de "utilização após libertação de memória" no processamento de URL inválidos por parte do Safari. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2014-1349: Reno Robert e Dhanesh Kizhakkinan

  • Definições

    Disponível para: iPhone 4 e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um indivíduo com acesso físico ao dispositivo poderá ser capaz de desativar o Encontrar iPhone sem introduzir a palavra-passe do iCloud

    Descrição: existia um problema de gestão do estado no processamento do estado do Encontrar iPhone. Este problema foi corrigido através do processamento melhorado do estado do Encontrar iPhone.

    ID CVE

    CVE-2014-1350

  • Transporte seguro

    Disponível para: iPhone 4 e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: podem ser divulgados dois bytes de memória não inicializada a um atacante remoto

    Descrição: existia um problema de acesso de memória não inicializada no processamento de mensagens DTLS numa ligação TLS. Este problema foi resolvido aceitando apenas mensagens DTLS numa ligação DTLS.

    ID CVE

    CVE-2014-1361: Thijs Alkemade do The Adium Project

  • Siri

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad (3.ª geração) e posterior

    Impacto: uma pessoa com acesso físico ao telemóvel poderá conseguir visualizar todos os contactos

    Descrição: se um pedido ao Siri se referisse a um de vários contactos, o Siri apresentava uma lista de possíveis escolhas e a opção "Mais..." para aceder a uma lista completa dos contactos. Quando utilizado no ecrã bloqueado, o Siri não requeria o código antes de ser possível visualizar a lista de contactos completa. Este problema foi resolvido requerendo o código.

    ID CVE

    CVE-2014-1351: Sherif Hashim

  • WebKit

    Disponível para: iPhone 4 e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: ocorreram vários problemas de corrupção de memória no WebKit. Estes problemas foram resolvidos através do processamento melhorado da memória.

    ID CVE

    CVE-2013-2875: miaubiz

    CVE-2013-2927: cloudfuzzer

    CVE-2014-1323: banty

    CVE-2014-1325: Apple

    CVE-2014-1326: Apple

    CVE-2014-1327: equipa de segurança do Google Chrome, Apple

    CVE-2014-1329: equipa de segurança do Google Chrome

    CVE-2014-1330: equipa de segurança do Google Chrome

    CVE-2014-1331: cloudfuzzer

    CVE-2014-1333: equipa de segurança do Google Chrome

    CVE-2014-1334: Apple

    CVE-2014-1335: equipa de segurança do Google Chrome

    CVE-2014-1336: Apple

    CVE-2014-1337: Apple

    CVE-2014-1338: equipa de segurança do Google Chrome

    CVE-2014-1339: Atte Kettunen do OUSPG

    CVE-2014-1341: equipa de segurança do Google Chrome

    CVE-2014-1342: Apple

    CVE-2014-1343: equipa de segurança do Google Chrome

    CVE-2014-1362: Apple, miaubiz

    CVE-2014-1363: Apple

    CVE-2014-1364: Apple

    CVE-2014-1365: Apple, equipa de segurança do Google Chrome

    CVE-2014-1366: Apple

    CVE-2014-1367: Apple

    CVE-2014-1368: Wushi da Keen Team (Equipa de investigação da Keen Cloud Tech)

    CVE-2014-1382: Renata Hodovan da University of Szeged/Samsung Electronics

    CVE-2014-1731: um membro anónimo da comunidade de programação Blink

  • WebKit

    Disponível para: iPhone 4 e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um site malicioso pode enviar mensagens para uma frame ou janela ligada de forma a evitar a verificação de origem do recetor

    Descrição: existia um problema de codificação no processamento de caracteres Unicode nos URL. Um URL criado com intuito malicioso poderia levar ao envio de uma origem de postMessage incorreta. Este problema foi resolvido através da melhoria da codificação/descodificação.

    ID CVE

    CVE-2014-1346: Erling Ellingsen do Facebook

  • WebKit

    Disponível para: iPhone 4 e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um site criado com intuito malicioso poderá conseguir falsificar o nome de domínio na barra de endereços

    Descrição: existia um problema de falsificação no processamento de URL. Este problema foi resolvido através da melhoria da codificação de URL.

    ID CVE

    CVE-2014-1345: Erling Ellingsen do Facebook

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Existem riscos inerentes à utilização da Internet. Contacte o fornecedor para obter informações adicionais. Outros nomes de empresas e de produtos podem ser marcas comerciais dos respetivos proprietários.

Data de publicação: