Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações sobre a segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.
Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo Como utilizar a chave PGP de segurança dos produtos Apple.
Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.
Para obter mais informações acerca de outras atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.
iOS 8.3
- AppleKeyStore
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: uma aplicação maliciosa poderá conseguir adivinhar o código do utilizador
Descrição: o iOS permitia acesso a uma interface que permitia tentativas para confirmar o código do utilizador. Este problema foi resolvido através da verificação melhorada dos direitos.
ID CVE
CVE-2015-1085: Elias Limneos
Entrada atualizada a 17 de maio de 2017
- Controladores de áudio
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema
Descrição: existia um problema de validação em objetos IOKit utilizados por um controlador de áudio. Este problema foi resolvido através da validação melhorada de metadados.
ID CVE
CVE-2015-1086
- Cópia de segurança
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: um atacante poderá conseguir utilizar o sistema de cópia de segurança para aceder a áreas restritas do sistema de ficheiros
Descrição: existia um problema na lógica de avaliação do caminho relativo do sistema de cópia de segurança. Este problema foi resolvido através da avaliação melhorada de caminhos.
ID CVE
CVE-2015-1087: TaiG Jailbreak Team
- Política de confiança de certificados
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: atualização da política de confiança de certificados
Descrição: a política de confiança de certificados foi atualizada. Poderá consultar a lista completa de certificados através do artigo https://support.apple.com/pt-pt/HT204132
- CFNetwork
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: os cookies pertencentes a uma origem poderão ser enviados para outra origem
Descrição: existia um problema de cookies entre domínios no processamento redirecionado. Os cookies definidos numa resposta redirecionada podiam ser passados para um alvo redirecionado pertencente a outra origem. Este problema foi resolvido através do processamento melhorado de redirecionamentos.
ID CVE
CVE-2015-1089: Niklas Keller (http://kelunik.com)
- CFNetwork
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: um utilizador poderá não conseguir apagar completamente o histórico de navegação
Descrição: limpar o histórico do Safari não limpava o estado HTTP Strict Transport Security guardado. O problema foi resolvido através da eliminação melhorada de dados.
ID CVE
CVE-2015-1090
- CFNetwork Session
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: as credenciais de autenticação poderão ser enviadas para um servidor noutra origem
Descrição: existia um problema no cabeçalho do pedido HTTP entre domínios no processamento redirecionado. Os cabeçalhos de pedidos HTTP enviados numa resposta redirecionada poderiam ser passados para outra origem. Este problema foi resolvido através do processamento melhorado de redirecionamentos.
ID CVE
CVE-2015-1091: Diego Torres (http://dtorres.me)
- CFURL
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: visitar um site criado com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: existia um problema de validação de entrada no processamento de URL. O problema foi resolvido através da validação melhorada de URL.
ID CVE
CVE-2015-1088
- Foundation
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: uma aplicação que utilize o NSXMLParser pode ser mal utilizada para divulgar informações
Descrição: existia um problema de Entidade externa XML no processamento de XML por parte do NSXMLParser. O problema foi resolvido através do não carregamento de entidades externas nas origens.
ID CVE
CVE-2015-1092: Ikuya Fukumoto
- FontParser
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: o processamento de um ficheiro de tipo de letra criado com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: existiam vários problemas de corrupção de memória no processamento de ficheiros de tipo de letra. Estes problemas foram resolvidos através da verificação melhorada dos limites.
ID CVE
CVE-2015-1093: Marc Schoenefeld
- IOAcceleratorFamily
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: uma aplicação maliciosa poderá conseguir determinar o esquema de memória do kernel
Descrição: existia um problema no IOAcceleratorFamily que levava à divulgação dos conteúdos da memória do kernel. Este problema foi resolvido através da remoção de código desnecessário.
ID CVE
CVE-2015-1094: Cererdlong da Alibaba Mobile Security Team
- IOHIDFamily
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: um dispositivo HID malicioso poderá conseguir provocar a execução de um código arbitrário
Descrição: existia um problema de corrupção de memória na API IOHIDFamily. Este problema foi resolvido através do processamento melhorado da memória.
ID CVE
CVE-2015-1095: Andrew Church
- IOHIDFamily
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: uma aplicação maliciosa poderá conseguir determinar o esquema de memória do kernel
Descrição: existia um problema no IOHIDFamily que levava à divulgação dos conteúdos da memória do kernel. Este problema foi resolvido através da verificação melhorada dos limites.
ID CVE
CVE-2015-1096: Ilja van Sprundel da IOActive
- IOMobileFramebuffer
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: uma aplicação maliciosa poderá conseguir determinar o esquema de memória do kernel
Descrição: existia um problema no MobileFrameBuffer que levava à divulgação dos conteúdos da memória do kernel. Este problema foi resolvido através da verificação melhorada dos limites.
ID CVE
CVE-2015-1097: Barak Gabai da IBM X-Force Application Security Research Team
- iWork Viewer
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: abrir um ficheiro do iWork criado com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: existia um problema de corrupção de memória no processamento de ficheiros do iWork. Este problema foi resolvido através do processamento melhorado da memória.
ID CVE
CVE-2015-1098: Christopher Hickstein
- Kernel
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: uma aplicação maliciosa poderá conseguir causar uma recusa de serviço por parte do sistema
Descrição: existia uma condição de disputa na chamada de sistema setreuid do kernel. Este problema foi resolvido através da gestão melhorada do estado.
ID CVE
CVE-2015-1099: Mark Mentovai da Google Inc.
- Kernel
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: uma aplicação maliciosa poderá reencaminhar privilégios utilizando um serviço comprometido destinado a ser executado com privilégios reduzidos
Descrição: as chamadas do sistema setreuid e setregid falhavam na atribuição de privilégios permanentemente. O problema foi resolvido através da atribuição de privilégios correta.
ID CVE
CVE-2015-1117: Mark Mentovai da Google Inc.
- Kernel
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: uma aplicação maliciosa poderá conseguir causar o encerramento inesperado do sistema ou ler memória do kernel
Descrição: existia um problema de acesso à memória fora dos limites no kernel. Este problema foi resolvido através do processamento melhorado da memória.
ID CVE
CVE-2015-1100: Maxime Villard da m00nbsd
- Kernel
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema
Descrição: existia um problema de corrupção de memória no kernel. Este problema foi resolvido através do processamento melhorado da memória.
ID CVE
CVE-2015-1101: lokihardt@ASRT em colaboração com o programa Zero Day Initiative da HP
- Kernel
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: um atacante com uma posição privilegiada na rede poderá conseguir provocar uma recusa de serviço
Descrição: existia uma inconsistência de estado no processamento de cabeçalhos TCP. Este problema foi resolvido através do processamento melhorado do estado.
ID CVE
CVE-2015-1102: Andrey Khudyakov e Maxim Zhuravlev da Kaspersky Lab
- Kernel
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: um atacante com uma posição privilegiada na rede poderá conseguir redirecionar o tráfego do utilizador para hosts arbitrários
Descrição: o redirecionamento de ICMP estava ativado por predefinição no iOS. Este problema foi resolvido através da desativação dos redirecionamentos ICMP.
ID CVE
CVE-2015-1103: Zimperium Mobile Security Labs
- Kernel
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: um atacante remoto poderá conseguir ignorar os filtros de rede
Descrição: o sistema tratava alguns pacotes de IPv6 de interfaces de rede remotas como pacotes locais. Este problema foi resolvido através da rejeição destes pacotes.
ID CVE
CVE-2015-1104: Stephen Roettger da equipa de segurança da Google
- Kernel
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: um atacante remoto poderá conseguir provocar uma recusa de serviço
Descrição: existia um problema de inconsistência de estado no processamento de TCP fora de bandas de dados. Este problema foi resolvido através da gestão melhorada do estado.
ID CVE
CVE-2015-1105: Kenton Varda da Sandstorm.io
- Teclados
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: o QuickType conseguia memorizar os códigos dos utilizadores
Descrição: ao utilizar teclados por Bluetooth, o QuickType conseguia memorizar os códigos dos utilizadores. Este problema foi resolvido impedindo a apresentação do QuickType no ecrã bloqueado.
ID CVE
CVE-2015-1106: Jarrod Dwenger, Steve Favorito, Paul Reedy da ConocoPhillips, Pedro Tavares da Molecular Biophysics na UCIBIO/FCT/UNL, De Paul Sunny, Christian Still da Evolve Media, Canadá
- libnetcore
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: o processamento de um perfil de configuração concebido com intuito malicioso poderá causar o encerramento inesperado de uma aplicação
Descrição: existia um problema de corrupção de memória no processamento de perfis de configuração. Este problema foi resolvido através da verificação melhorada dos limites.
ID CVE
CVE-2015-1118: Zhaofeng Chen, Hui Xue, Yulong Zhang, e Tao Wei da FireEye, Inc.
- Ecrã bloqueado
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: um atacante que possua um dispositivo poderá impedir que o dispositivo seja apagado depois de tentativas falhadas de introduzir o código
Descrição: em determinadas circunstâncias, um dispositivo poderia não ser apagado após tentativas falhadas de introduzir o código. Este problema foi resolvido através da imposição adicional da eliminação.
ID CVE
CVE-2015-1107: Brent Erickson, Stuart Ryan da University of Technology, Sydney
- Ecrã bloqueado
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: um atacante que possua um dispositivo poderá exceder o número máximo de tentativas falhadas de introdução do código
Descrição: em determinadas circunstâncias, o limite de tentativas falhadas de introdução do código não era respeitado. Este problema foi resolvido através da imposição adicional deste limite.
ID CVE
CVE-2015-1108
- NetworkExtension
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: um atacante em posse de um dispositivo poderá conseguir recuperar as credenciais VPN
Descrição: existia um problema no processamento de registos de configuração VPN. Este problema foi resolvido impedindo o registo de credenciais.
ID CVE
CVE-2015-1109: Josh Tway da IPVanish
- Podcasts
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: poderão ser enviadas informações desnecessárias a servidores externos ao descarregar recursos de podcasts
Descrição: ao descarregar recursos para podcasts, um utilizador tinha a assinatura em identificadores únicos que eram enviados para servidores externos. Este problema foi resolvido através da remoção destes identificadores.
ID CVE
CVE-2015-1110: Alex Selivanov
- Safari
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: um utilizador poderá não conseguir apagar completamente o histórico de navegação
Descrição: limpar o histórico do Safari não limpava os separadores Fechados recentemente. O problema foi resolvido através da eliminação melhorada de dados.
ID CVE
CVE-2015-1111: Frode Moe da LastFriday.no
- Safari
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: o histórico de navegação dos utilizadores poderá não ser totalmente depurado
Descrição: existia um problema na gestão do estado no Safari que resultava no histórico de navegação dos utilizadores não ser depurado de history.plist. Este problema foi resolvido através da gestão melhorada do estado.
ID CVE
CVE-2015-1112: William Breuer, Países Baixos
- Perfis da Sandbox
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: uma aplicação maliciosa poderá conseguir aceder a números de telefone ou endereços de e-mail de contactos recentes
Descrição: existia um problema de divulgação de informações na sandbox de apps de terceiros. O problema foi resolvido através da melhoria do perfil da sandbox.
ID CVE
CVE-2015-1113: Andreas Kurtz da NESO Security Labs, Markus Troßbach da Heilbronn University
- Perfis da Sandbox
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: apps de terceiros poderão aceder aos identificadores de hardware
Descrição: existia um problema de divulgação de informações na sandbox de apps de terceiros. O problema foi resolvido através da melhoria do perfil da sandbox.
ID CVE
CVE-2015-1114
- Transporte seguro
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: o processamento de um certificado X.509 concebido com intuito malicioso poderá causar o encerramento inesperado de uma aplicação
Descrição: existia um problema de não referência no ponteiro NULL no processamento de certificados X.509. Este problema foi resolvido através da validação melhorada da entrada.
ID CVE
CVE-2015-1160: Elisha Eshed, Roy Iarchy e Yair Amit da Skycure Security Research
- Telefonia
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: uma aplicação maliciosa poderá conseguir aceder a funções de telefonia restritas
Descrição: existia um problema de controlo de acesso no subsistema da telefonia. As apps na sandbox podiam aceder a funções de telefonia restritas. Este problema foi resolvido através da verificação melhorada dos direitos.
ID CVE
CVE-2015-1115: Andreas Kurtz da NESO Security Labs, Markus Troßbach da Heilbronn University
- UIKit View
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: poderão ser expostos dados confidenciais em instantâneos de aplicações apresentados no Seletor de aplicações
Descrição: existia um problema no UIKit que não desfocava os instantâneos das aplicações que continham dados sensíveis no Seletor de aplicações. Este problema foi resolvido desfocando o instantâneo corretamente.
ID CVE
CVE-2015-1116: a equipa de app móveis da HP Security Voltage, Aaron Rogers da Mint.com, David Edwards da Tech4Tomorrow, David Zhang da Dropbox
- WebKit
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: uma interface do utilizador inconsistente poderá impedir os utilizadores de distinguirem ataques de "phishing"
Descrição: existia uma inconsistência na interface do utilizador no Safari que permitia que um atacante deturpasse o URL. Este problema foi resolvido através de verificações melhoradas de consistência da interface do utilizador.
ID CVE
CVE-2015-1084: Apple
- WebKit
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: visitar um site criado com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: existiam vários problemas de corrupção de memória no WebKit. Estes problemas foram resolvidos através do processamento melhorado da memória.
ID CVE
CVE-2015-1068: Apple
CVE-2015-1069: lokihardt@ASRT em colaboração com o programa Zero Day Initiative da HP
CVE-2015-1070: Apple
CVE-2015-1071: Apple
CVE-2015-1072
CVE-2015-1073: Apple
CVE-2015-1074: Apple
CVE-2015-1076
CVE-2015-1077: Apple
CVE-2015-1078: Apple
CVE-2015-1079: Apple
CVE-2015-1080: Apple
CVE-2015-1081: Apple
CVE-2015-1082: Apple
CVE-2015-1083: Apple
CVE-2015-1119: Renata Hodovan da University of Szeged/Samsung Electronics
CVE-2015-1120: Apple
CVE-2015-1121: Apple
CVE-2015-1122: Apple
CVE-2015-1123: Randy Luecke e Anoop Menon da Google Inc.
CVE-2015-1124: Apple
- WebKit
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: visitar um site criado com intuito malicioso poderá levar o utilizador a clicar noutro site
Descrição: existia um problema no processamento de eventos por toque. Um toque poderia propagar-se para outro site. O problema foi resolvido através do processamento melhorado de eventos.
ID CVE
CVE-2015-1125: Phillip Moon e Matt Weston da www.sandfield.co.nz
- WebKit
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: visitar um site criado com intuito malicioso poderá levar a acessos a recursos de outras origens
Descrição: existia um problema no WebKit no processamento de credenciais em URL FTP. Este problema foi resolvido através da descodificação melhorada.
ID CVE
CVE-2015-1126: Jouko Pynnonen da Klikki Oy
Wi-Fi
Impacto: a palavra-passe de um utilizador poderá ser enviada para um ponto de acesso Wi-Fi não fiável
Descrição: o ecrã que comunicava um certificado Wi-Fi não fiável apresentava apenas um botão para confiar no certificado. Um utilizador que não pretendesse utilizar o ponto de acesso Wi-Fi teria de premir o botão principal ou de bloqueio para sair do ecrã. Este problema foi resolvido adicionando um botão Cancelar visível.
ID CVE
CVE-2015-5762: Michael Santos