Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da segurança dos produtos da Apple, consulte o site Segurança dos produtos da Apple.
Para obter informações acerca da chave PGP de segurança dos produtos da Apple, consulte o artigo Como utilizar a chave PGP de segurança dos produtos da Apple.
Sempre que possível, são utilizadas ID CVE para designar as vulnerabilidades e disponibilizar mais informações.
Para obter mais informações acerca de outras Atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.
iOS 8.1.3
AppleFileConduit
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: um comando de afc criado com intuito malicioso poderá permitir o acesso a partes protegidas do sistema de ficheiros
Descrição: existia uma vulnerabilidade no mecanismo de ligação simbólico de afc. Este problema foi resolvido adicionando verificações adicionais de caminho.
ID CVE
CVE-2014-4480: Equipa TaiG Jailbreak
CoreGraphics
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: abrir um ficheiro PDF criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existia um problema de ultrapassagem do limite máximo de números inteiros no processamento de ficheiros PDF. Este problema foi resolvido através da verificação melhorada dos limites.
ID CVE
CVE-2014-4481: Felipe Andres Manzano da Binamuse VRT em colaboração com o iSIGHT Partners GVP Program
dyld
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: um utilizador local poderá conseguir executar código não assinado
Descrição: existia um problema de gestão de estado no tratamento de ficheiros executáveis Mach-O com segmentos sobrepostos. Este problema foi resolvido através da melhoria da validação do tamanho dos segmentos.
ID CVE
CVE-2014-4455: Equipa TaiG Jailbreak
FontParser
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: abrir um ficheiro PDF criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existia um problema de ultrapassagem do limite máximo do buffer no processamento de ficheiros de tipo de letra. Este problema foi resolvido através da verificação melhorada dos limites.
ID CVE
CVE-2014-4483: Apple
FontParser
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: o processamento de um ficheiro .dfont criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existia um problema de corrupção de memória no processamento de ficheiros .dfont. Este problema foi resolvido através da verificação melhorada dos limites.
ID CVE
CVE-2014-4484: Gaurav Baruah em colaboração com o programa Zero Day Initiative da HP
Foundation
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: visualizar um ficheiro XML criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existia um problema de ultrapassagem do limite máximo de memória intermédia no analisador de XML. Este problema foi resolvido através da verificação melhorada dos limites.
ID CVE
CVE-2014-4485: Apple
IOAcceleratorFamily
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema
Descrição: existia um problema de desreferenciação do indicador nulo no processamento de listas de recursos por parte do IOAcceleratorFamily. Este problema foi resolvido através da remoção de código desnecessário.
ID CVE
CVE-2014-4486: Ian Beer do Google Project Zero
IOHIDFamily
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema
Descrição: existia um problema de ultrapassagem do limite máximo do buffer no IOHIDFamily. Este problema foi resolvido através da validação de tamanho melhorada.
ID CVE
CVE-2014-4487: Equipa TaiG Jailbreak
IOHIDFamily
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema
Descrição: existia um problema de validação no processamento de metadados de fila de recursos por parte do IOHIDFamily. Este problema foi resolvido através da melhoria da validação de metadados.
ID CVE
CVE-2014-4488: Apple
IOHIDFamily
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema
Descrição: existia um problema de desreferenciação do indicador nulo no processamento de filas de eventos por parte do IOHIDFamily. Este problema foi resolvido através da melhoria da validação.
ID CVE
CVE-2014-4489: @beist
iTunes Store
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: um site poderá conseguir ignorar as restrições da sandbox através da iTunes Store
Impacto: existia um problema no processamento de URL redirecionados do Safari para a iTunes Store que podia permitir a um site criado com intuito malicioso ignorar as restrições da sandbox do Safari. Este problema foi resolvido através do filtro melhorado de URL abertos pela iTunes Store.
ID CVE
CVE-2014-8840: lokihardt@ASRT em colaboração com o programa Zero Day Initiative da HP
Kerberos
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema
Descrição: a biblioteca libgssapi do Kerberos devolveu um token de contexto com um indicador pendente. Este problema foi resolvido através da melhoria da gestão do estado.
ID CVE
CVE-2014-5352
Kernel
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: aplicações iOS comprometidas ou criadas com intuito malicioso poderão ser capazes de determinar endereços no kernel
Descrição: existia um problema de divulgação de informação no processamento de API relacionados com extensões do kernel. As respostas que contenham uma chave OSBundleMachOHeaders podem incluir endereços do kernel, que podem ajudar a ignorar a proteção de aleatoriedade de esquema de espaços de endereços. Este problema foi resolvido, travando os endereços antes de os devolver.
ID CVE
CVE-2014-4491: @PanguTeam, Stefan Esser
Kernel
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema
Descrição: existia um problema no subsistema de memória partilhada do kernel que permitia que um atacante escrevesse na memória destinada apenas a leitura. Este problema foi resolvido através de uma verificação mais rígida das permissões da memória partilhada.
ID CVE
CVE-2014-4495: Ian Beer do Google Project Zero
Kernel
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: aplicações iOS comprometidas ou criadas com intuito malicioso poderão ser capazes de determinar endereços no kernel
Descrição: a interface do kernel mach_port_kobject revelava endereços do kernel e um valor de permuta na área dinâmica para dados, o que podia ajudar a ignorar a proteção de aleatoriedade de esquema de espaços de endereços. Este problema foi resolvido através da desativação da interface mach_port_kobject em configurações de produção.
ID CVE
CVE-2014-4496: Equipa TaiG Jailbreak
libnetcore
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: uma app maliciosa na sandbox poderá comprometer o daemon networkd
Descrição: existiam vários problemas de confusão de tipos no processamento da comunicação entre processos por parte do networkd. Ao enviar uma mensagem formatada de forma maliciosa para o networkd, poderá ter sido possível executar código arbitrário como o processo networkd. Este problema é resolvido através da verificação adicional dos tipos.
ID CVE
CVE-2014-4492: Ian Beer do Google Project Zero
MobileInstallation
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: uma aplicação maliciosa assinada por empresas poderá conseguir controlar o contentor local de aplicações já existentes num dispositivo
Descrição: existia uma vulnerabilidade no processo de instalação da aplicação. Este problema foi resolvido através do impedimento imposto às aplicações de empresas de substituírem aplicações existentes em cenários específicos.
ID CVE
CVE-2014-4493: Hui Xue e Tao Wei da FireEye, Inc.
Springboard
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: as aplicações assinadas por empresas poderão ser iniciadas sem pedido de confiança
Descrição: existia um problema na definição do momento do pedido de confiança ao abrir pela primeira vez uma aplicação assinada por empresas. Este problema foi resolvido através da melhoria da validação da assinatura do código.
ID CVE
CVE-2014-4494: Song Jin, Hui Xue e Tao Wei da FireEye, Inc.
WebKit
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: visitar um site que cria conteúdos maliciosos poderá falsificar IU
Descrição: existia um problema de falsificação de IU no processamento de limites da barra de deslocação. Este problema foi resolvido através da verificação melhorada dos limites.
ID CVE
CVE-2014-4467: Jordan Milne
WebKit
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: as folhas de estilo são carregadas com cruzamento de origens, o que poderá permitir a exfiltração de dados
Descrição: um SVG carregado num elemento img podia carregar um cruzamento de origens de ficheiros CSS. Este problema foi resolvido através do bloqueio melhorado de referências CSS externas em SVG.
ID CVE
CVE-2014-4465: Rennie deGraaf da iSEC Partners
WebKit
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário
Descrição: existiam vários problemas de corrupção de memória no WebKit. Estes problemas foram resolvidos através do processamento melhorado da memória.
ID CVE
CVE-2014-3192: cloudfuzzer
CVE-2014-4459
CVE-2014-4466: Apple
CVE-2014-4468: Apple
CVE-2014-4469: Apple
CVE-2014-4470: Apple
CVE-2014-4471: Apple
CVE-2014-4472: Apple
CVE-2014-4473: Apple
CVE-2014-4474: Apple
CVE-2014-4475: Apple
CVE-2014-4476: Apple
CVE-2014-4477: lokihardt@ASRT em colaboração com o programa Zero Day Initiative da HP
CVE-2014-4479: Apple