Acerca dos conteúdos de segurança do iOS 13.1 e do iPadOS 13.1

Este documento descreve os conteúdos de segurança do iOS 13.1 e do iPadOS 13.1.

Acerca das atualizações de segurança da Apple

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação e não estiverem disponíveis as correções ou os lançamentos necessários. Os lançamentos recentes são apresentados na página Atualizações de segurança da Apple.

Sempre que possível, os documentos de segurança da Apple designam as vulnerabilidades através de ID CVE.

Para obter mais informações acerca da segurança, consulte a página Segurança dos produtos Apple.

iOS 13.1 e iPadOS 13.1

Data de lançamento: 24 de setembro de 2019

O iOS 13.1 e o iPadOS 13.1 incluem os conteúdos de segurança do iOS 13.

AppleFirmwareUpdateKext

Disponível para: iPhone 6s e posterior, iPad Air 2 e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel

Descrição: foi resolvido um problema de vulnerabilidade de corrupção da memória através do bloqueio melhorado.

CVE-2019-8747: Mohamed Ghannam (@_simo36)

Entrada adicionada a 29 de outubro de 2019

Áudio

Disponível para: iPhone 6s e posterior, iPad Air 2 e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: o processamento de um ficheiro de áudio criado com intuito malicioso poderá provocar a execução de um código arbitrário

Descrição: foi resolvido um problema de corrupção de memória através da gestão melhorada do estado.

CVE-2019-8706: Yu Zhou do Ant-financial Light-Year Security Lab

Entrada adicionada a 29 de outubro de 2019

Livros

Disponível para: iPhone 6s e posterior, iPad Air 2 e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: a análise de um ficheiro do iBooks criado com intuito malicioso poderá provocar uma recusa de serviço persistente

Descrição: foi resolvido um problema de esgotamento de recursos através da validação melhorada da entrada.

CVE-2019-8774: Gertjan Franken do imec-DistriNet da KU Leuven

Entrada adicionada a 29 de outubro de 2019

Kernel

Disponível para: iPhone 6s e posterior, iPad Air 2 e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel

Descrição: foi resolvido um problema de vulnerabilidade de corrupção da memória através do bloqueio melhorado.

CVE-2019-8740: Mohamed Ghannam (@_simo36)

Entrada adicionada a 29 de outubro de 2019

Kernel

Disponível para: iPhone 6s e posterior, iPad Air 2 e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: uma app local poderá conseguir ler um identificador de conta persistente

Descrição: foi resolvido um problema de validação através da lógica melhorada.

CVE-2019-8809: Apple

Entrada adicionada a 29 de outubro de 2019

Kernel

Disponível para: iPhone 6s e posterior, iPad Air 2 e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: uma app maliciosa poderá conseguir determinar o esquema de memória do kernel

Descrição: o problema foi resolvido através da lógica melhorada de permissões.

CVE-2019-8780: Siguza

Entrada adicionada a 8 de outubro de 2019

libxslt

Disponível para: iPhone 6s e posterior, iPad Air 2 e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: vários problemas no libxslt

Descrição: foram resolvidos vários problemas de corrupção de memória através da validação melhorada da entrada.

CVE-2019-8750: detetado por OSS-Fuzz

Entrada adicionada a 29 de outubro de 2019

mDNSResponder

Disponível para: iPhone 6s e posterior, iPad Air 2 e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: um atacante fisicamente próximo poderá conseguir observar passivamente nomes de dispositivos em comunicações AWDL

Descrição: este problema foi resolvido através da substituição de nomes de dispositivos por um identificador aleatório.

CVE-2019-8799: David Kreitschmann e Milan Stute do Secure Mobile Networking Lab da Technische Universität Darmstadt

Entrada adicionada a 29 de outubro de 2019

UIFoundation

Disponível para: iPhone 6s e posterior, iPad Air 2 e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do sistema

Descrição: foi resolvido um problema de corrupção de memória através do processamento melhorado da memória.

CVE-2019-8831: riusksk da VulWar Corp em colaboração com o programa Zero Day Initiative da Trend Micro

Entrada adicionada a 18 de novembro de 2019

VoiceOver

Disponível para: iPhone 6s e posterior, iPad Air 2 e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: uma pessoa com acesso físico a um dispositivo iOS poderá conseguir aceder aos contactos a partir do ecrã bloqueado

Descrição: este problema foi resolvido através da restrição das opções disponíveis num dispositivo bloqueado.

CVE-2019-8775: videosdebarraquito

WebKit

Disponível para: iPhone 6s e posterior, iPad Air 2 e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: visitar um site criado com intuito malicioso poderá revelar o histórico de navegação

Descrição: existia um problema no desenho dos elementos da página web. O problema foi resolvido através da lógica melhorada.

CVE-2019-8769: Piérre Reimertz (@reimertz)

Entrada adicionada a 8 de outubro de 2019

WebKit

Disponível para: iPhone 6s e posterior, iPad Air 2 e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar a execução de um código arbitrário

Descrição: foram resolvidos vários problemas de corrupção de memória através do processamento melhorado da memória.

CVE-2019-8710: detetado por OSS-Fuzz

CVE-2019-8743: zhunki da Codesafe Team da Legendsec do Grupo Qi'anxin

CVE-2019-8751: Dongzhuo Zhao em colaboração com ADLab da Venustech

CVE-2019-8752: Dongzhuo Zhao em colaboração com ADLab da Venustech

CVE-2019-8763: Sergei Glazunov do Google Project Zero

CVE-2019-8765: Samuel Groß do Google Project Zero

CVE-2019-8766: detetado por OSS-Fuzz

CVE-2019-8773: detetado por OSS-Fuzz

Entrada adicionada a 8 de outubro de 2019 e atualizada a 29 de outubro de 2019

WebKit

Disponível para: iPhone 6s e posterior, iPad Air 2 e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar uma execução universal de scripts entre sites

Descrição: foi resolvido um problema de validação através da lógica melhorada.

CVE-2019-8762: Sergei Glazunov do Google Project Zero

Entrada adicionada a 18 de novembro de 2019

Agradecimentos adicionais

boringssl

Gostaríamos de agradecer a Nimrod Aviram da Universidade de Telavive, a Robert Merget e a Juraj Somorovsky da Ruhr University Bochum pela sua colaboração.

Entrada adicionada a 29 de outubro de 2019

Encontrar iPhone

Gostaríamos de agradecer a um investigador anónimo pela sua colaboração.

Serviço de identidade

Gostaríamos de agradecer a Yiğit Can YILMAZ (@yilmazcanyigit) pela sua colaboração.

Entrada adicionada a 29 de outubro de 2019

Notas

Gostaríamos de agradecer a um investigador anónimo pela sua colaboração.

Folha de partilha

Gostaríamos de agradecer a Milan Stute do Secure Mobile Networking Lab da Technische Universität Darmstadt pela sua colaboração.

Entrada adicionada a 29 de outubro de 2019

Barra de estado

Gostaríamos de agradecer a Isaiah Kahler, a Mohammed Adham e a um investigador anónimo pela sua colaboração.

Entrada adicionada a 29 de outubro de 2019

Telefonia

Gostaríamos de agradecer a Yiğit Can YILMAZ (@yilmazcanyigit) pela sua colaboração.

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Existem riscos inerentes à utilização da Internet. Contacte o fornecedor para obter informações adicionais. Outros nomes de empresas e de produtos podem ser marcas comerciais dos respetivos proprietários.

Data de publicação: