Acerca do conteúdo de segurança do iOS 8.1

Este documento descreve o conteúdo de segurança do iOS 8.1

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações sobre a segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.

Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo Como utilizar a chave PGP de segurança dos produtos Apple.

Sempre que possível, são utilizadas ID CVE para designar as vulnerabilidades e disponibilizar mais informações.

Para obter mais informações sobre outras atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.

iOS 8.1

  • Bluetooth

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um dispositivo de entrada Bluetooth malicioso poderá ignorar o emparelhamento

    Descrição: as ligações não cifradas foram permitidas a partir de acessórios Bluetooth de baixa energia da classe de dispositivos de interface humana (HID). Se um dispositivo iOS emparelhasse com tal acessório, um atacante podia falsificar o acessório legítimo para estabelecer uma ligação. O problema foi resolvido através da negação de ligações HID não cifradas.

    ID CVE

    CVE-2014-4428: Mike Ryan da iSEC Partners

  • House Arrest

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: os ficheiros transferidos para o dispositivo poderão ser escritos com uma proteção criptográfica insuficiente

    Descrição: os ficheiros podiam ser transferidos para o diretório de Documentos da app e cifrados com uma chave protegida apenas pelo UID do hardware. Este problema foi corrigido cifrando os ficheiros transferidos com uma chave protegida pelo UID do hardware e pelo código do utilizador.

    ID CVE

    CVE-2014-4448: Jonathan Zdziarski e Kevin DeLong

  • Acesso aos dados do iCloud

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um atacante numa posição de rede privilegiada poderá forçar os clientes do acesso aos dados do iCloud a revelarem informações sensíveis

    Descrição: existia uma vulnerabilidade na validação do certificado de TLS nos clientes do acesso aos dados do iCloud. Este problema foi resolvido através da validação melhorada dos certificados.

    ID CVE

    CVE-2014-4449: Carl Mehner da USAA

  • Teclados

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: o QuickType podia memorizar as credenciais dos utilizadores

    Descrição: o QuickType podia memorizar as credenciais dos utilizadores ao alternar entre elementos. Este problema foi resolvido fazendo com que o QuickType não memorize os campos nos quais o preenchimento automático está desativado e voltando a aplicar os critérios ao alternar entre elementos de entrada DOM no WebKit anterior.

    ID CVE

    CVE-2014-4450

  • Transporte seguro

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um atacante poderá conseguir decifrar dados protegidos por SSL

    Descrição: foram identificados ataques à confidencialidade do SSL 3.0 em que um conjunto de cifras utilizava uma cifra de bloqueio em modo CBC. Um atacante podia forçar a utilização de SSL 3.0, mesmo quando o servidor suportava uma versão de TLS superior, através do bloqueio de TLS 1.0 e de tentativas de ligação superiores. Este problema foi resolvido ao desativar os conjuntos de cifras CBC quando as tentativas de ligação TLS falhavam.

    ID CVE

    CVE-2014-3566: Bodo Moeller, Thai Duong e Krzysztof Kotowicz da Equipa de segurança da Google

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Existem riscos inerentes à utilização da Internet. Contacte o fornecedor para obter informações adicionais. Outros nomes de empresas e de produtos podem ser marcas comerciais dos respetivos proprietários.

Data de publicação: