Acerca dos conteúdos de segurança do iOS 9.2

Este documento descreve os conteúdos de segurança do iOS 9.2.

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da Segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.

Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo Como utilizar a chave PGP de segurança dos produtos Apple.

Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.

Para obter mais informações sobre outras atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.

iOS 9.2

  • AppleMobileFileIntegrity

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: foi resolvido um problema de controlo de acesso impedindo a modificação de estruturas de controlo de acesso.

    ID CVE

    CVE-2015-7055: Apple

  • AppSandbox

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: uma aplicação maliciosa poderá manter o acesso aos Contactos depois de o acesso ser revogado

    Descrição: existia um problema no processamento de ligações fixas da sandbox. Este problema foi resolvido através da proteção melhorada da sandbox da app.

    ID CVE

    CVE-2015-7001: Razvan Deaconescu e Mihai Bucicoiu da Universidade POLITÉCNICA de Bucareste; Luke Deshotels e William Enck da Universidade da Carolina do Norte; Lucas Vincenzo Davi e Ahmad-Reza Sadeghi da TU Darmstadt

  • CFNetwork HTTPProtocol

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um atacante com uma posição privilegiada na rede poderá ignorar o HSTS

    Descrição: existia um problema de validação de entrada no processamento de URL. O problema foi resolvido através da validação melhorada de URL.

    ID CVE

    CVE-2015-7094: Tsubasa Iinuma (@llamakko_cafe) da Gehirn Inc. e Muneaki Nishimura (nishimunea)

  • Compression

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: visitar um site criado com intuito malicioso poderá provocar a execução de um código arbitrário

    Descrição: existia um problema de acesso à memória não inicializada no zlib. Este problema foi resolvido através da inicialização melhorada da memória e da validação adicional de streamings do zlib.

    ID CVE

    CVE-2015-7054: j00ru

  • CoreGraphics

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: o processamento de um ficheiro de tipo de letra criado com intuito malicioso poderá provocar a execução de um código arbitrário

    Descrição: existia um problema de corrupção de memória no processamento de ficheiros de tipo de letra. Este problema foi resolvido através da validação melhorada da entrada.

    ID CVE

    CVE-2015-7105: John Villamil (@day6reak), Equipa Pentest da Yahoo

  • Reprodução CoreMedia

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: visitar um site criado com intuito malicioso poderá provocar a execução de um código arbitrário

    Descrição: existiam vários problemas de corrupção de memória no processamento de ficheiros multimédia criados incorretamente. Estes problemas foram resolvidos através do processamento melhorado da memória.

    ID CVE

    CVE-2015-7074: Apple

    CVE-2015-7075

  • dyld

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existiam vários problemas na validação de segmentos no dyld. Estes problemas foram resolvidos através do manuseamento melhorado de ambientes.

    ID CVE

    CVE-2015-7072: Apple

    CVE-2015-7079: PanguTeam

  • GPUTools Framework

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existiam vários problemas de validação de caminhos no Mobile Replayer. Estes problemas foram resolvidos através do manuseamento melhorado de ambientes.

    ID CVE

    CVE-2015-7069: Luca Todesco (@qwertyoruiop)

    CVE-2015-7070: Luca Todesco (@qwertyoruiop)

  • iBooks

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: analisar um ficheiro do iBooks criado com intuito malicioso poderá provocar a divulgação das informações do utilizador

    Descrição: existia um problema na referência da entidade externa de XML com a análise do iBooks. Este problema foi resolvido através de uma melhoria na análise.

    ID CVE

    CVE-2015-7081: Behrouz Sadeghipour (@Nahamsec) e Patrik Fehrenbach (@ITSecurityguard)

  • ImageIO

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: o processamento de uma imagem criada com intuito malicioso poderá provocar a execução de um código arbitrário

    Descrição: existia um problema de corrupção de memória em ImageIO. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2015-7053: Apple

  • IOHIDFamily

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existiam vários problemas de corrupção de memória na API IOHIDFamily. Estes problemas foram resolvidos através do processamento melhorado da memória.

    ID CVE

    CVE-2015-7111: beist e ABH da BoB

    CVE-2015-7112: Ian Beer do Google Project Zero

  • IOKit SCSI

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios do kernel

    Descrição: existia uma desreferenciação do indicador nulo no processamento de certos tipos de cliente de utilizador. Este problema foi resolvido através da validação melhorada.

    ID CVE

    CVE-2015-7068: Ian Beer do Google Project Zero

  • Kernel

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: uma aplicação local poderá conseguir provocar uma recusa de serviço

    Descrição: foram resolvidos vários problemas de recusa de serviço através do processamento melhorado da memória.

    ID CVE

    CVE-2015-7040: Lufeng Li da Qihoo 360 Vulcan Team

    CVE-2015-7041: Lufeng Li da Qihoo 360 Vulcan Team

    CVE-2015-7042: Lufeng Li da Qihoo 360 Vulcan Team

    CVE-2015-7043: Tarjei Mandt (@kernelpool)

  • Kernel

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um utilizador local poderá conseguir executar um código arbitrário com privilégios do kernel

    Descrição: existiam vários problemas de corrupção de memória no kernel. Estes problemas foram resolvidos através do processamento melhorado da memória.

    ID CVE

    CVE-2015-7083: Ian Beer do Google Project Zero

    CVE-2015-7084: Ian Beer do Google Project Zero

  • Kernel

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um utilizador local poderá conseguir executar um código arbitrário com privilégios do kernel

    Descrição: existia um problema na análise de mensagens Mach. Este problema foi resolvido através da validação melhorada de mensagens Mach.

    ID CVE

    CVE-2015-7047: Ian Beer do Google Project Zero

  • LaunchServices

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existia um problema de corrupção de memória no processamento de plists criados incorretamente. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2015-7113: Olivier Goguel da Free Tools Association

  • libarchive

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: visitar um site criado com intuito malicioso poderá provocar a execução de um código arbitrário

    Descrição: existia um problema de corrupção de memória no processamento de arquivos. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2011-2895: @practicalswift

  • libc

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: o processamento de um pacote criado com intuito malicioso poderá provocar a execução de um código arbitrário

    Descrição: existiam vários problemas de ultrapassagem do limite máximo do buffer na biblioteca padrão C. Estes problemas foram resolvidos através da verificação melhorada dos limites.

    ID CVE

    CVE-2015-7038: Brian D. Wells da E. W. Scripps, Narayan Subramanian da Symantec Corporation/Veritas LLC

    CVE-2015-7039: Maksymilian Arciemowicz (CXSECURITY.COM)

    Entrada atualizada a 3 de março de 2017

  • libxml2

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: analisar um documento XML criado com intuito malicioso poderá provocar a divulgação de informações de utilizadores

    Descrição: existia um problema de corrupção de memória na análise de ficheiros XML. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2015-7115: Wei Lei e Liu Yang da Nanyang Technological University

    CVE-2015-7116: Wei Lei e Liu Yang da Nanyang Technological University

  • MobileStorageMounter

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existia um problema de temporização no carregamento da cache fidedigna. Este problema foi resolvido através da validação do ambiente do sistema antes do carregamento da cache fidedigna.

    ID CVE

    CVE-2015-7051: PanguTeam

  • OpenGL

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: visitar um site criado com intuito malicioso poderá provocar a execução de um código arbitrário

    Descrição: existiam vários problemas de corrupção de memória no OpenGL. Estes problemas foram resolvidos através do processamento melhorado da memória.

    ID CVE

    CVE-2015-7064: Apple

    CVE-2015-7065: Apple

    CVE-2015-7066: Tongbo Luo e Bo Qu da Palo Alto Networks

  • Fotografias

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um atacante poderá conseguir utilizar o sistema de cópia de segurança para aceder a áreas restritas do sistema de ficheiros

    Descrição: existia um problema de validação dos caminhos no Mobile Backup. Este problema foi resolvido através da limpeza melhorada do ambiente.

    ID CVE

    CVE-2015-7037: PanguTeam

  • QuickLook

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: abrir um ficheiro do iWork criado com intuito malicioso poderá provocar a execução de um código arbitrário

    Descrição: existia um problema de corrupção de memória no processamento de ficheiros do iWork. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2015-7107

  • Safari

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: aceder a um site malicioso poderá provocar a falsificação da interface do utilizador

    Descrição: um problema poderia permitir que um site apresentasse conteúdos com um URL de um site diferente. Este problema foi resolvido através de uma melhoria no processamento de URL.

    ID CVE

    CVE-2015-7093: xisigr da Tencent's Xuanwu LAB (www.tencent.com)

  • Sandbox

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: uma aplicação maliciosa com privilégios de raiz poderá conseguir ignorar a aleatoriedade de esquema de espaços de endereços do kernel

    Descrição: existia uma separação de privilégios insuficiente no xnu. Este problema foi resolvido através de verificações melhoradas da autorização.

    ID CVE

    CVE-2015-7046: Apple

  • Segurança

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: um atacante remoto poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de corrupção de memória no processamento de handshakes de SSL. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2015-7073: Benoit Foucher da ZeroC, Inc.

  • Segurança

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: uma aplicação maliciosa poderá obter acesso aos elementos do Porta-chaves de um utilizador

    Descrição: existia um problema na validação das listas de controlo de acesso para elementos do Porta-chaves. Este problema foi resolvido através de uma melhoria na verificação das listas de controlo de acesso.

    ID CVE

    CVE-2015-7058

  • Siri

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: uma pessoa com acesso físico a um dispositivo iOS poderá conseguir utilizar o Siri para ler notificações de conteúdos que estejam definidas para não serem apresentadas no ecrã bloqueado

    Descrição: quando era feito um pedido ao Siri, as restrições do cliente não estavam a ser verificadas pelo servidor. Este problema foi resolvido através de uma melhoria na verificação das restrições.

    ID CVE

    CVE-2015-7080: Or Safran (www.linkedin.com/profile/view?id=33912591)

  • WebKit

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: visitar um site criado com intuito malicioso poderá provocar a execução de um código arbitrário

    Descrição: existiam vários problemas de corrupção de memória no WebKit. Estes problemas foram resolvidos através do processamento melhorado da memória.

    ID CVE

    CVE-2015-7048: Apple

    CVE-2015-7095: Apple

    CVE-2015-7096: Apple

    CVE-2015-7097: Apple

    CVE-2015-7098: Apple

    CVE-2015-7099: Apple

    CVE-2015-7100: Apple

    CVE-2015-7101: Apple

    CVE-2015-7102: Apple

    CVE-2015-7103: Apple

  • WebKit

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: visitar um site criado com intuito malicioso poderá revelar o histórico de navegação de um utilizador

    Descrição: existia um problema de validação de entrada insuficiente no bloqueio de conteúdos. Este problema foi resolvido através da análise melhorada das extensões de conteúdos.

    ID CVE

    CVE-2015-7050: Luke Li e Jonathan Metzman

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Existem riscos inerentes à utilização da Internet. Contacte o fornecedor para obter informações adicionais. Outros nomes de empresas e de produtos podem ser marcas comerciais dos respetivos proprietários.

Data de publicação: