Acerca das atualizações de segurança da Apple
Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação e não estiverem disponíveis as correções ou os lançamentos necessários. Os lançamentos recentes são apresentados na página Atualizações de segurança da Apple.
Sempre que possível, os documentos de segurança da Apple designam as vulnerabilidades através de ID CVE.
Para obter mais informações acerca da segurança, consulte a página Segurança dos produtos Apple.
iOS 15.7 e iPadOS 15.7
Data de lançamento: 12 de setembro de 2022
Apple Neural Engine
Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2022-32898: Mohamed Ghannam (@_simo36)
CVE-2022-32899: Mohamed Ghannam (@_simo36)
Entrada adicionada a 27 de outubro de 2022
Audio
Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)
Impacto: uma app poderá conseguir obter privilégios elevados
Descrição: este problema foi resolvido através da remoção de código vulnerável.
CVE-2022-42796: Mickey Jin (@patch1t)
Entrada adicionada a 27 de outubro de 2022 e atualizada a 1 de maio de 2023
Backup
Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)
Impacto: uma app poderá conseguir aceder às cópias de segurança do iOS
Descrição: foi resolvido um problema de permissões com restrições adicionais.
CVE-2022-32929: Csaba Fitzl (@theevilbit) da Offensive Security
Entrada adicionada a 27 de outubro de 2022
Contacts
Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)
Impacto: uma app poderá conseguir contornar as preferências de privacidade
Descrição: este problema foi resolvido através de verificações melhoradas.
CVE-2022-32854: Holger Fuhrmannek da Deutsche Telekom Security
Kernel
Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2022-32911: Zweig do Kunlun Lab
Kernel
Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)
Impacto: uma app poderá conseguir divulgar a memória do kernel
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2022-32864: Linus Henze da Pinauten GmbH (pinauten.de)
Kernel
Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel. A Apple tem conhecimento de uma denúncia de que este problema pode ter sido explorado ativamente.
Descrição: o problema foi resolvido através de verificações melhoradas dos limites.
CVE-2022-32917: um investigador anónimo
Maps
Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)
Impacto: uma app poderá conseguir ler informações confidenciais de localização
Descrição: foi resolvido um problema de lógica através de restrições melhoradas.
CVE-2022-32883: Ron Masas, breakpointhq.com
MediaLibrary
Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)
Impacto: um utilizador poderá conseguir aumentar privilégios
Descrição: foi resolvido um problema de corrupção de memória através da validação melhorada da entrada.
CVE-2022-32908: um investigador anónimo
Notifications
Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)
Impacto: um utilizador com acesso físico a um dispositivo poderá conseguir aceder aos contactos a partir do ecrã bloqueado
Descrição: foi resolvido um problema de lógica através da gestão melhorada do estado.
CVE-2022-32879: Ubeydullah Sümer
Entrada adicionada a 27 de outubro de 2022
Safari
Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)
Impacto: aceder a um site malicioso poderá provocar a falsificação dos conteúdos na barra de endereço
Descrição: este problema foi resolvido através de verificações melhoradas.
CVE-2022-32795: Narendra Bhati da Suma Soft Pvt. Ltd. Pune (India) @imnarendrabhati
Safari Extensions
Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)
Impacto: um site poderá conseguir monitorizar utilizadores através de extensões web do Safari
Descrição: foi resolvido um problema de lógica através da gestão melhorada do estado.
WebKit Bugzilla: 242278
CVE-2022-32868: Michael
Security
Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)
Impacto: uma app poderá conseguir contornar as verificações da assinatura de código
Descrição: foi resolvido um problema na validação da assinatura de código através de verificações melhoradas.
CVE-2022-42793: Linus Henze da Pinauten GmbH (pinauten.de)
Entrada adicionada a 27 de outubro de 2022
Shortcuts
Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)
Impacto: uma pessoa com acesso físico a um dispositivo iOS poderá conseguir aceder a fotografias a partir do ecrã bloqueado
Descrição: foi resolvido um problema de lógica através de restrições melhoradas.
CVE-2022-32872: Elite Tech Guru
Sidecar
Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)
Impacto: um utilizador poderá conseguir ver conteúdos restritos a partir do ecrã bloqueado
Descrição: foi resolvido um problema de lógica através da gestão melhorada do estado.
CVE-2022-42790: Om kothawade da Zaprico Digital
Entrada adicionada a 27 de outubro de 2022
WebKit
Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)
Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: foi resolvido um problema de escrita fora dos limites através da verificação melhorada dos limites.
WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)
Entrada adicionada a 27 de outubro de 2022
WebKit
Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)
Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: foi resolvido um problema de ultrapassagem do limite máximo do buffer através do processamento melhorado da memória.
WebKit Bugzilla: 241969
CVE-2022-32886: P1umer, afang5472, xmzyshypnc
WebKit
Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)
Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: foi resolvido um problema de leitura fora dos limites através da verificação melhorada dos limites.
WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a) da Theori em colaboração com o programa Zero Day Initiative da Trend Micro
WebKit Sandboxing
Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)
Impacto: um processo na sandbox poderá ser capaz de contornar as restrições da sandbox
Descrição: um problema de acesso foi resolvido com melhoramentos na sandbox.
WebKit Bugzilla: 243181
CVE-2022-32892: @18楼梦想改造家 e @jq0904 do laboratório WeBin da DBAppSecurity
Entrada adicionada a 27 de outubro de 2022
Agradecimentos adicionais
AppleCredentialManager
Gostaríamos de agradecer a @jonathandata1 pela sua colaboração.
Entrada adicionada a 27 de outubro de 2022
FaceTime
Gostaríamos de agradecer a um investigador anónimo pela sua colaboração.
Entrada adicionada a 27 de outubro de 2022
Game Center
Gostaríamos de agradecer a Joshua Jones pela sua colaboração.
Identity Services
Gostaríamos de agradecer a Joshua Jones pela sua colaboração.
Kernel
Gostaríamos de agradecer a um investigador anónimo pela sua colaboração.
Entrada adicionada a 27 de outubro de 2022
WebKit
Gostaríamos de agradecer a um investigador anónimo pela sua colaboração.
Entrada adicionada a 27 de outubro de 2022
WebRTC
Gostaríamos de agradecer a um investigador anónimo pela sua colaboração.
Entrada adicionada a 27 de outubro de 2022