Acerca dos conteúdos de segurança do iOS 9

Este documento descreve os conteúdos de segurança do iOS 9.

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da Segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.

Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo Como utilizar a chave PGP de segurança dos produtos Apple.

Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.

Para obter mais informações sobre outras atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.

iOS 9

  • Apple Pay

    Disponível para: iPhone 6 e iPhone 6 Plus

    Impacto: alguns cartões poderão permitir que um terminal obtenha informações limitadas de transações recentes ao efetuar um pagamento

    Descrição: a funcionalidade de registo de transações estava ativada em determinadas configurações. Este problema foi resolvido através da remoção da funcionalidade de registo de transações. Este problema não afetou os dispositivos iPad.

    ID CVE

    CVE-2015-5916

  • AppleKeyStore

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um atacante local poderá conseguir repor as tentativas de código falhadas com uma cópia de segurança do iOS

    Descrição: existia um problema na reposição das tentativas de código falhadas com uma cópia de segurança do dispositivo iOS. Este problema foi resolvido através de uma melhoria na lógica de falhas de código.

    ID CVE

    CVE-2015-5850: um investigador anónimo

  • Loja de aplicações

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: clicar numa ligação ITMS maliciosa poderá provocar uma recusa de serviço numa app com assinatura de empresa

    Descrição: existia um problema com a instalação através de ligações ITMS. Este problema foi resolvido através de uma verificação adicional da instalação.

    ID CVE

    CVE-2015-5856: Zhaofeng Chen, Hui Xue e Tao (Lenx) Wei da FireEye, Inc.

  • Áudio

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: reproduzir um ficheiro de áudio malicioso poderá provocar o encerramento inesperado da app

    Descrição: existia um problema de corrupção de memória no processamento de ficheiros de áudio. Este problema foi resolvido através de uma melhoria no processamento da memória.

    ID CVE

    CVE-2015-5862: YoungJin Yoon do Information Security Lab. (Aconselhado por: Prof. Taekyoung Kwon), Universidade de Yonsei, Seul, Coreia

  • Política de confiança de certificados

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: atualização da política de confiança de certificados

    Descrição: a política de confiança de certificados foi atualizada. Poderá consultar a lista completa de certificados no artigo https://support.apple.com/pt-pt/HT204132.

  • CFNetwork

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um URL criado com intuito malicioso poderá conseguir contornar o HTTP Strict Transport Security (HSTS) e revelar dados confidenciais

    Descrição: existia uma vulnerabilidade de análise de URL no processamento de HSTS. Este problema foi resolvido através de uma melhoria na análise de URL.

    ID CVE

    CVE-2015-5858: Xiaofeng Zheng da Blue Lotus Team, Universidade de Tsinghua

  • CFNetwork

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um site malicioso poderá conseguir monitorizar utilizadores no modo de navegação privada do Safari

    Descrição: existia um problema no processamento do estado de HSTS no modo de navegação privada do Safari. Este problema foi resolvido através do processamento melhorado do estado.

    ID CVE

    CVE-2015-5860: Sam Greenhalgh da RadicalResearch Ltd

  • CFNetwork

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: uma pessoa com acesso físico a um dispositivo iOS poderá ler dados de cache de apps da Apple

    Descrição: os dados de cache foram cifrados com uma chave protegida apenas pelo UID do hardware. Este problema foi resolvido cifrando os dados de cache com uma chave protegida pelo UID do hardware e pelo código do utilizador.

    ID CVE

    CVE-2015-5898: Andreas Kurtz do NESO Security Labs

  • Cookies da CFNetwork

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um atacante com uma posição privilegiada na rede poderá monitorizar a atividade de um utilizador

    Descrição: existia um problema de cookies entre domínios no processamento de domínios de nível superior. Este problema foi resolvido através de uma melhoria nas restrições da criação de cookies.

    ID CVE

    CVE-2015-5885: Xiaofeng Zheng da Blue Lotus Team, Universidade de Tsinghua

  • Cookies da CFNetwork

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um atacante poderá conseguir criar cookies não desejados para um site

    Descrição: o WebKit aceitava a definição de vários cookies na API document.cookie. Este problema foi resolvido através de uma melhoria na análise.

    ID CVE

    CVE-2015-3801: Erling Ellingsen do Facebook

  • CFNetwork FTPProtocol

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: servidores FTP maliciosos poderão conseguir que o cliente efetue o reconhecimento noutros hosts

    Descrição: existia um problema no processamento dos pacotes FTP ao utilizar o comando PASV. Este problema foi resolvido através de uma melhoria na validação.

    ID CVE

    CVE-2015-5912: Amit Klein

  • CFNetwork HTTPProtocol

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um atacante com uma posição privilegiada na rede poderá conseguir intercetar tráfego de rede

    Descrição: existia um problema no processamento das entradas da lista de pré-carregamento de HSTS no modo de navegação privada do Safari. Este problema foi resolvido através do processamento melhorado do estado.

    ID CVE

    CVE-2015-5859: Rosario Giustolisi da Universidade do Luxemburgo

  • CFNetwork Proxies

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: a ligação a um proxy web malicioso poderá definir cookies maliciosos para um site

    Descrição: existia um problema no processamento de respostas de ligação proxy. Este problema foi resolvido ao remover o cabeçalho set-cookie durante a análise da resposta de ligação.

    ID CVE

    CVE-2015-5841: Xiaofeng Zheng da Blue Lotus Team, Universidade de Tsinghua

  • CFNetwork SSL

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um atacante com uma posição privilegiada na rede poderá intercetar ligações SSL/TLS

    Descrição: existia um problema na validação de certificados em NSURL quando um certificado era alterado. Este problema foi resolvido através da validação melhorada de certificados.

    ID CVE

    CVE-2015-5824: Timothy J. Wood do The Omni Group

  • CFNetwork SSL

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um atacante poderá conseguir decifrar dados protegidos por SSL

    Descrição: foram identificados ataques à confidencialidade de RC4. Um atacante poderia forçar a utilização de RC4, mesmo que o servidor preferisse cifras melhores, bloqueando o TLS 1.0 e ligações mais elevadas até que o CFNetwork tentasse o SSL 3.0, que só permite RC4. Este problema foi resolvido ao remover o recurso a SSL 3.0.

  • CoreAnimation

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: uma app maliciosa poderá conseguir divulgar informações confidenciais do utilizador

    Descrição: as apps poderiam aceder ao framebuffer do ecrã enquanto estavam em segundo plano. Este problema foi resolvido através de uma melhoria no controlo de acesso em IOSurfaces.

    ID CVE

    CVE-2015-5880: Jin Han, Su Mon Kywe, Qiang Yan, Robert Deng, Debin Gao, Yingjiu Li da School of Information Systems Singapore Management University, Feng Bao e Jianying Zhou do Cryptography and Security Department Institute for Infocomm Research

  • CoreCrypto

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um atacante poderá conseguir determinar uma chave privada

    Descrição: ao observar muitas tentativas de assinatura ou decifragem, um atacante poderia conseguir determinar a chave privada RSA. Este problema foi resolvido ao utilizar algoritmos de cifragem melhorados.

  • CoreText

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: o processamento de um ficheiro de tipo de letra criado com intuito malicioso poderá provocar a execução de um código arbitrário

    Descrição: existia um problema de corrupção de memória no processamento de ficheiros de tipo de letra. Este problema foi resolvido através da validação melhorada da entrada.

    ID CVE

    CVE-2015-5874: John Villamil (@day6reak), Equipa Pentest da Yahoo

  • Data Detectors Engine

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: o processamento de um ficheiro de texto criado com intuito malicioso poderá provocar a execução de código arbitrário

    Descrição: existiam problemas de corrupção de memória no processamento de ficheiros de texto. Estes problemas foram resolvidos através da verificação melhorada dos limites.

    ID CVE

    CVE-2015-5829: M1x7e1 da Safeye Team (www.safeye.org)

  • Dev Tools

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: uma app maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existia um problema de corrupção de memória no dyld. O problema foi resolvido através de uma melhoria no processamento da memória.

    ID CVE

    CVE-2015-5876: beist da grayhash

  • Imagens de disco

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um utilizador local poderá conseguir executar um código arbitrário com privilégios do sistema

    Descrição: existia um problema de corrupção de memória no DiskImages. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2015-5847: Filippo Bigarella, Luca Todesco

  • dyld

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: uma app poderá conseguir contornar a assinatura de código

    Descrição: existia um problema com a validação da assinatura de código de executáveis. Este problema foi resolvido através da verificação melhorada dos limites.

    ID CVE

    CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team

  • Game Center

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: uma app maliciosa do Game Center poderá aceder ao endereço de e-mail de um jogador

    Descrição: existia um problema no Game Center relativo ao processamento do e-mail de um jogador. Este problema foi resolvido através de restrições melhoradas de acesso.

    ID CVE

    CVE-2015-5855: Nasser Alnasser

  • ICU

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: várias vulnerabilidades no ICU

    Descrição: existiam várias vulnerabilidades em versões do ICU anteriores à 53.1.0. Estes problemas foram resolvidos através da atualização do ICU para a versão 55.1.

    ID CVE

    CVE-2014-8146: Marc Deslauriers

    CVE-2014-8147: Marc Deslauriers

    CVE-2015-5922: Mark Brand do Google Project Zero

  • IOAcceleratorFamily

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: uma app maliciosa poderá conseguir determinar o esquema de memória do kernel

    Descrição: existia um problema que levava à divulgação de conteúdos da memória do kernel. Este problema foi resolvido através da verificação melhorada dos limites.

    ID CVE

    CVE-2015-5834: Cererdlong da Equipa Mobile Security da Alibaba

  • IOAcceleratorFamily

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um utilizador local poderá conseguir executar um código arbitrário com privilégios do sistema

    Descrição: existia um problema de corrupção de memória no IOAcceleratorFamily. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2015-5848: Filippo Bigarella

  • IOHIDFamily

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: uma app maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existia um problema de corrupção de memória no IOHIDFamily. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2015-5867: moony li da Trend Micro

  • IOKit

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: uma app maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existia um problema de corrupção de memória no kernel. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2015-5844: Filippo Bigarella

    CVE-2015-5845: Filippo Bigarella

    CVE-2015-5846: Filippo Bigarella

  • IOMobileFrameBuffer

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um utilizador local poderá conseguir executar um código arbitrário com privilégios do sistema

    Descrição: existia um problema de corrupção de memória no IOMobileFrameBuffer. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2015-5843: Filippo Bigarella

  • IOStorageFamily

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um atacante local poderá conseguir ler a memória do kernel

    Descrição: existia um problema de inicialização da memória no kernel. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2015-5863: Ilja van Sprundel da IOActive

  • iTunes Store

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: as credenciais do ID Apple poderão continuar armazenadas no porta-chaves após terminar sessão

    Descrição: existia um problema na eliminação do porta-chaves. Este problema foi resolvido através de uma melhoria na limpeza da conta.

    ID CVE

    CVE-2015-5832: Kasif Dekel da Check Point Software Technologies

  • JavaScriptCore

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: aceder a um site criado com intuito malicioso poderá provocar a execução de um código arbitrário

    Descrição: existiam problemas de corrupção de memória no WebKit. Estes problemas foram resolvidos através do processamento melhorado da memória.

    ID CVE

    CVE-2015-5791: Apple

    CVE-2015-5793: Apple

    CVE-2015-5814: Apple

    CVE-2015-5816: Apple

    CVE-2015-5822: Mark S. Miller da Google

    CVE-2015-5823: Apple

  • Kernel

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um utilizador local poderá conseguir executar um código arbitrário com privilégios do kernel

    Descrição: existia um problema de corrupção de memória no kernel. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2015-5868: Cererdlong da Equipa Mobile Security da Alibaba

    CVE-2015-5896: Maxime Villard da m00nbsd

    CVE-2015-5903: CESG

    Entrada atualizada a 21 de dezembro de 2016

  • Kernel

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um atacante local poderá controlar o valor de cookies em pilha

    Descrição: existiam várias vulnerabilidades na geração de cookies em pilha do espaço do utilizador. Este problema foi resolvido através de uma melhoria na geração de cookies em pilha.

    ID CVE

    CVE-2013-3951: Stefan Esser

  • Kernel

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um processo local poderá modificar outros processos sem verificações de direitos

    Descrição: existia um problema no qual os processos de raiz que utilizavam a API processor_set_tasks tinham permissão para obter as portas de tarefas de outros processos. Este problema foi resolvido através de verificações de direitos adicionais.

    ID CVE

    CVE-2015-5882: Pedro Vilaça, em colaboração com a investigação original levada a cabo por Ming-chieh Pan e Sung-ting Tsai; Jonathan Levin

  • Kernel

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um atacante poderá conseguir iniciar ataques de recusa de serviço em ligações TCP direcionadas sem saber o número de sequência correto

    Descrição: existia um problema na validação de cabeçalhos de pacotes TCP por parte do xnu. Este problema foi resolvido através de uma melhoria na validação de cabeçalhos de pacotes TCP.

    ID CVE

    CVE-2015-5879: Jonathan Looney

  • Kernel

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um atacante num segmento de LAN local poderá desativar o reencaminhamento do IPv6

    Descrição: existia um problema de validação insuficiente no processamento de anúncios do router IPv6 que permitia que um atacante definisse o limite de saltos para um valor arbitrário. Este problema foi resolvido ao aplicar um limite mínimo de saltos.

    ID CVE

    CVE-2015-5869: Dennis Spindel Ljungmark

  • Kernel

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um utilizador local poderá conseguir determinar o esquema de memória do kernel

    Descrição: existia um problema no XNU que levava à divulgação da memória do kernel. Este problema foi resolvido através de uma melhoria na inicialização das estruturas da memória do kernel.

    ID CVE

    CVE-2015-5842: beist da grayhash

  • Kernel

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um utilizador local poderá conseguir provocar uma recusa de serviço do sistema

    Descrição: existia um problema na montagem de unidades HFS. Este problema foi resolvido através de verificações de validação adicionais.

    ID CVE

    CVE-2015-5748: Maxime Villard da m00nbsd

  • libc

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um atacante remoto poderá conseguir provocar a execução de código arbitrário

    Descrição: existia um problema de corrupção de memória na função fflush. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2014-8611: Adrian Chadd e Alfred Perlstein da Norse Corporation

  • libpthread

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um utilizador local poderá conseguir executar um código arbitrário com privilégios do kernel

    Descrição: existia um problema de corrupção de memória no kernel. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2015-5899: Lufeng Li da Qihoo 360 Vulcan Team

  • Mail

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um atacante poderá enviar um e-mail aparentemente proveniente de um dos contactos do destinatário

    Descrição: existia um problema no processamento do endereço do remetente. Este problema foi resolvido através da validação melhorada.

    ID CVE

    CVE-2015-5857: Emre Saglam da salesforce.com

  • Ligação multiponto

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um atacante local poderá conseguir observar dados multiponto não protegidos

    Descrição: existia um problema no processamento do inicializador de conveniência no qual a cifragem poderia ser ativamente desatualizada para uma sessão não cifrada. Este problema foi resolvido ao alterar o inicializador de conveniência de forma a requerer a cifragem.

    ID CVE

    CVE-2015-5851: Alban Diquet (@nabla_c0d3) da Data Theorem

  • NetworkExtension

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: uma app maliciosa poderá conseguir determinar o esquema de memória do kernel

    Descrição: um problema de memória não inicializada no kernel originava a divulgação de conteúdos da memória do kernel. Este problema foi resolvido através da inicialização da memória.

    ID CVE

    CVE-2015-5831: Maxime Villard da m00nbsd

  • OpenSSL

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: várias vulnerabilidades no OpenSSL

    Descrição: existiam várias vulnerabilidades nas versões do OpenSSL anteriores à 0.9.8zg. Estes problemas foram resolvidos através da atualização do OpenSSL para a versão 0.9.8zg.

    ID CVE

    CVE-2015-0286

    CVE-2015-0287

  • PluginKit

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: uma app empresarial maliciosa poderá instalar extensões antes de a app ser considerada de confiança

    Descrição: existia um problema na validação de extensões durante a instalação. Este problema foi resolvido através de uma melhoria na verificação de apps.

    ID CVE

    CVE-2015-5837: Zhaofeng Chen, Hui Xue e Tao (Lenx) Wei da FireEye, Inc.

  • removefile

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: o processamento de dados maliciosos poderá provocar o encerramento inesperado da app

    Descrição: existia um problema de ultrapassagem do limite máximo nas rotinas de divisão do checkint. Este problema foi resolvido através de uma melhoria nas rotinas de divisão.

    ID CVE

    CVE-2015-5840: um investigador anónimo

  • Safari

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um utilizador local poderá conseguir ler marcadores do Safari num dispositivo iOS bloqueado sem um código

    Descrição: os dados de marcadores do Safari foram cifrados com uma chave protegida apenas pelo UID do hardware. Este problema foi resolvido cifrando os dados de marcadores do Safari com uma chave protegida pelo UID do hardware e pelo código do utilizador.

    ID CVE

    CVE-2015-7118: Jonathan Zdziarski

    Entrada atualizada a 21 de dezembro de 2016

  • Safari

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: aceder a um site malicioso poderá provocar a falsificação da interface do utilizador

    Descrição: um problema poderia permitir que um site apresentasse conteúdos com um URL de um site diferente. Este problema foi resolvido através do processamento melhorado de URL.

    ID CVE

    CVE-2015-5904: Erling Ellingsen do Facebook, Łukasz Pilorz

  • Safari

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: aceder a um site malicioso poderá provocar a falsificação da interface do utilizador

    Descrição: a navegação para um site malicioso com uma abertura de janelas criada incorretamente poderia permitir a apresentação de URL arbitrários. Este problema foi resolvido através de uma melhoria no processamento de aberturas de janelas.

    ID CVE

    CVE-2015-5905: Keita Haga da keitahaga.com

  • Safari

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: os utilizadores poderão ser monitorizados por sites maliciosos através de certificados de cliente

    Descrição: existia um problema na correspondência de certificados de cliente do Safari para a autenticação SSL. Este problema foi resolvido através de uma melhoria na correspondência de certificados de cliente válidos.

    ID CVE

    CVE-2015-1129: Stefan Kraus da fluid Operations AG e Sylvain Munaut da Whatever s.a.

  • Safari

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: aceder a um site malicioso poderá provocar a falsificação da interface do utilizador

    Descrição: várias inconsistências de interface de utilizador poderiam permitir que um site malicioso apresentasse um URL arbitrário. Estes problemas foram resolvidos através de uma melhoria na lógica de apresentação de URL.

    ID CVE

    CVE-2015-5764: Antonio Sanso (@asanso) da Adobe

    CVE-2015-5765: Ron Masas

    CVE-2015-5767: Krystian Kloskowski através da Secunia, Masato Kinugawa

  • Navegação segura do Safari

    iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: a navegação para o endereço IP de um site malicioso conhecido poderá não acionar um aviso de segurança

    Descrição: a funcionalidade Navegação segura do Safari não avisava os utilizadores quando estes acediam a sites maliciosos conhecidos através dos respetivos endereços IP. Este problema foi resolvido através de uma melhoria na deteção de sites maliciosos.

    Rahul M da TagsDock

  • Segurança

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: uma app maliciosa poderá conseguir intercetar a comunicação entre apps

    Descrição: existia um problema que permitia que uma app maliciosa intercetasse a comunicação de esquema de URL entre apps. Este problema foi mitigado através da apresentação de uma caixa de diálogo quando um esquema de URL é utilizado pela primeira vez.

    ID CVE

    CVE-2015-5835: Teun van Run da FiftyTwoDegreesNorth B.V.; XiaoFeng Wang da Universidade do Indiana, Luyi Xing da Universidade do Indiana, Tongxin Li da Universidade de Pequim, Tongxin Li da Universidade de Pequim, Xiaolong Bai da Universidade de Tsinghua

  • Siri

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: uma pessoa com acesso físico a um dispositivo iOS poderá conseguir utilizar o Siri para ler notificações de conteúdos que estejam definidas para não serem apresentadas no ecrã bloqueado

    Descrição: quando era feito um pedido ao Siri, as restrições do cliente não estavam a ser verificadas pelo servidor. Este problema foi resolvido através de uma melhoria na verificação das restrições.

    ID CVE

    CVE-2015-5892: Robert S Mozayeni, Joshua Donvito

  • SpringBoard

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: uma pessoa com acesso físico a um dispositivo iOS poderá responder a uma mensagem de áudio no ecrã bloqueado quando as pré-visualizações de mensagens no ecrã bloqueado estiverem desativadas

    Descrição: um problema no ecrã bloqueado permitia que os utilizadores respondessem a mensagens de áudio com as pré-visualizações de mensagens desativadas. Este problema foi resolvido através da gestão melhorada do estado.

    ID CVE

    CVE-2015-5861: Daniel Miedema da Meridian Apps

  • SpringBoard

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: uma app maliciosa poderá conseguir falsificar as janelas de diálogo de outra app

    Descrição: existia um problema de acesso com chamadas API privilegiadas. Este problema foi resolvido através de restrições adicionais.

    ID CVE

    CVE-2015-5838: Min (Spark) Zheng, Hui Xue, Tao (Lenx) Wei, John C.S. Lui

  • SQLite

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: várias vulnerabilidades no SQLite v3.8.5

    Descrição: existiam várias vulnerabilidades no SQLite v3.8.5. Estes problemas foram resolvidos através da atualização do SQLite para a versão 3.8.10.2.

    ID CVE

    CVE-2015-3414

    CVE-2015-3415

    CVE-2015-3416

  • tidy

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: aceder a um site criado com intuito malicioso poderá provocar a execução de um código arbitrário

    Descrição: existia um problema de corrupção de memória no Tidy. O problema foi resolvido através de uma melhoria no processamento da memória.

    ID CVE

    CVE-2015-5522: Fernando Muñoz da NULLGroup.com

    CVE-2015-5523: Fernando Muñoz da NULLGroup.com

  • WebKit

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: poderá haver divulgação de referências de objetos entre origens isoladas em eventos personalizados, eventos de mensagem e eventos de estado pop

    Descrição: um problema de divulgação de objetos quebrava o limite de isolamento entre origens. Este problema foi resolvido através de uma melhoria no isolamento entre origens.

    ID CVE

    CVE-2015-5827: Gildas

  • WebKit

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: aceder a um site criado com intuito malicioso poderá provocar a execução de um código arbitrário

    Descrição: existiam problemas de corrupção de memória no WebKit. Estes problemas foram resolvidos através do processamento melhorado da memória.

    ID CVE

    CVE-2015-5789: Apple

    CVE-2015-5790: Apple

    CVE-2015-5792: Apple

    CVE-2015-5794: Apple

    CVE-2015-5795: Apple

    CVE-2015-5796: Apple

    CVE-2015-5797: Apple

    CVE-2015-5799: Apple

    CVE-2015-5800: Apple

    CVE-2015-5801: Apple

    CVE-2015-5802: Apple

    CVE-2015-5803: Apple

    CVE-2015-5804: Apple

    CVE-2015-5805

    CVE-2015-5806: Apple

    CVE-2015-5807: Apple

    CVE-2015-5809: Apple

    CVE-2015-5810: Apple

    CVE-2015-5811: Apple

    CVE-2015-5812: Apple

    CVE-2015-5813: Apple

    CVE-2015-5817: Apple

    CVE-2015-5818: Apple

    CVE-2015-5819: Apple

    CVE-2015-5821: Apple

  • WebKit

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: o acesso a um site malicioso poderá provocar a marcação indesejada

    Descrição: existia um problema no processamento dos URL tel://, facetime:// e facetime-audio://. Este problema foi resolvido através do processamento melhorado de URL.

    ID CVE

    CVE-2015-5820: Andrei Neculaesei, Guillaume Ross

  • WebKit

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: o QuickType poderá apurar o último carácter de uma palavra-passe num formulário web preenchido

    Descrição: existia um problema no processamento do contexto de introdução de palavras-passe por parte do WebKit. Este problema foi resolvido através de uma melhoria no processamento do contexto de introdução.

    ID CVE

    CVE-2015-5906: Louis Romero da Google Inc.

  • WebKit

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um atacante com uma posição privilegiada na rede poderá conseguir redirecionar para um domínio malicioso

    Descrição: existia um problema no processamento de caches de recursos em sites com certificados inválidos. Este problema foi resolvido através da rejeição da cache de aplicações de domínios com certificados inválidos.

    ID CVE

    CVE-2015-5907: Yaoqi Jia da Universidade Nacional de Singapura (NUS)

  • WebKit

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um site malicioso poderá exfiltrar dados de origens cruzadas

    Descrição: o Safari permitia o carregamento de folhas de estilo de origens cruzadas com tipos MIME não CSS que poderiam ser utilizados para a exfiltração de dados de origens cruzadas. Este problema foi resolvido ao limitar os tipos MIME para folhas de estilo de origens cruzadas.

    ID CVE

    CVE-2015-5826: filedescriptor, Chris Evans

  • WebKit

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: a API de desempenho poderá permitir que um site malicioso divulgue o histórico de navegação, a atividade de rede e os movimentos do rato

    Descrição: a API de desempenho do WebKit poderia permitir que um site malicioso divulgasse o histórico de navegação, a atividade de rede e os movimentos do rato ao medir o tempo. Este problema foi resolvido ao limitar a resolução de tempo.

    ID CVE

    CVE-2015-5825: Yossi Oren et al. do Network Security Lab da Universidade de Columbia

  • WebKit

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um atacante com uma posição privilegiada na rede poderá conseguir divulgar informações confidenciais de utilizadores

    Descrição: existia um problema com os cabeçalhos de Disposição de conteúdos com anexo de tipo. Este problema foi resolvido através da proibição de algumas funcionalidades para páginas de anexos de tipo.

    ID CVE

    CVE-2015-5921: Mickey Shkatov da Intel(r) Advanced Threat Research Team, Daoyuan Wu da Singapore Management University, Rocky K. C. Chang da Universidade Politécnica de Hong Kong, Łukasz Pilorz, superhei da www.knownsec.com

  • Tela do WebKit

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: aceder a um site malicioso poderá provocar a divulgação de dados de imagens de outro site

    Descrição: existia um problema de origens cruzadas com imagens de elemento "tela" no WebKit. Este problema foi resolvido através de uma melhoria no controlo das origens de segurança.

    ID CVE

    CVE-2015-5788: Apple

  • Carregamento de páginas do WebKit

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: o WebSockets poderá ignorar a aplicação da política de conteúdos mistos

    Descrição: um problema de aplicação de política insuficiente permitia que o WebSockets carregasse conteúdos mistos. Este problema foi resolvido ao alargar a aplicação da política de conteúdos mistos ao WebSockets.

    Kevin G. Jones da Higher Logic

O FaceTime não está disponível em todos os países ou regiões.

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Existem riscos inerentes à utilização da Internet. Contacte o fornecedor para obter informações adicionais. Outros nomes de empresas e de produtos podem ser marcas comerciais dos respetivos proprietários.

Data de publicação: