Acerca das atualizações de segurança da Apple
Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação e não estiverem disponíveis as correções ou os lançamentos necessários. Os lançamentos recentes são apresentados na página Atualizações de segurança da Apple.
Sempre que possível, os documentos de segurança da Apple designam as vulnerabilidades através de ID CVE.
Para obter mais informações acerca da segurança, consulte a página Segurança dos produtos Apple.
iOS 16
Data de lançamento: 12 de setembro de 2022
Accelerate Framework
Disponível para: iPhone 8 e posterior
Impacto: o processamento de uma imagem criada com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: foi resolvido um problema de consumo de memória através do processamento melhorado da memória.
CVE-2022-42795: ryuzaki
Entrada adicionada a 27 de outubro de 2022
AppleAVD
Disponível para: iPhone 8 e posterior
Impacto: uma app poderá causar uma recusa de serviço
Descrição: foi resolvido um problema de corrupção de memória através da gestão melhorada do estado.
CVE-2022-32827: Antonio Zekic (@antoniozekic), Natalie Silvanovich do Google Project Zero e um investigador anónimo
Entrada adicionada a 27 de outubro de 2022
AppleAVD
Disponível para: iPhone 8 e posterior
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: este problema foi resolvido através de verificações melhoradas.
CVE-2022-32907: Natalie Silvanovich do Google Project Zero, Antonio Zekic (@antoniozekic) e John Aakerblom (@jaakerblom), ABC Research s.r.o, Yinyi Wu, Tommaso Bianco (@cutesmilee__)
Entrada adicionada a 27 de outubro de 2022
AppleMobileFileIntegrity
Disponível para: iPhone 8 e posterior
Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador
Descrição: foi resolvido um problema de configuração com restrições adicionais.
CVE-2022-32877: Wojciech Reguła (@_r3ggi) da SecuRing
Entrada adicionada a 16 de março de 2023
Apple Neural Engine
Disponível para: iPhone 8 e posterior
Impacto: uma app poderá conseguir divulgar o estado confidencial do kernel
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2022-32858: Mohamed Ghannam (@_simo36)
Entrada adicionada a 27 de outubro de 2022
Apple Neural Engine
Disponível para: iPhone 8 e posterior
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2022-32898: Mohamed Ghannam (@_simo36)
CVE-2022-32899: Mohamed Ghannam (@_simo36)
CVE-2022-32889: Mohamed Ghannam (@_simo36)
Entrada adicionada a 27 de outubro de 2022
Apple TV
Disponível para: iPhone 8 e posterior
Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador
Descrição: o problema foi resolvido através do processamento melhorado de caches.
CVE-2022-32909: Csaba Fitzl (@theevilbit) da Offensive Security
Entrada adicionada a 27 de outubro de 2022
Contacts
Disponível para: iPhone 8 e posterior
Impacto: uma app poderá conseguir contornar as preferências de privacidade
Descrição: este problema foi resolvido através de verificações melhoradas.
CVE-2022-32854: Holger Fuhrmannek da Deutsche Telekom Security
Crash Reporter
Disponível para: iPhone 8 e posterior
Impacto: um utilizador com acesso físico a um dispositivo iOS poderá conseguir ler registos de diagnóstico anteriores
Descrição: este problema foi resolvido através da proteção de dados melhorada.
CVE-2022-32867: Kshitij Kumar e Jai Musunuri da Crowdstrike
Entrada adicionada a 27 de outubro de 2022
DriverKit
Disponível para: iPhone 8 e posterior
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2022-32865: Linus Henze da Pinauten GmbH (pinauten.de)
Entrada adicionada a 27 de outubro de 2022
Exchange
Disponível para: iPhone 8 e posterior
Impacto: um utilizador com uma posição privilegiada na rede poderá conseguir intercetar credenciais de e-mails
Descrição: foi resolvido um problema de lógica através de restrições melhoradas.
CVE-2022-32928: Jiří Vinopal (@vinopaljiri) da Check Point Research
Entrada adicionada a 27 de outubro de 2022 e atualizada a 16 de março de 2023
FaceTime
Disponível para: iPhone 8 e posterior
Impacto: um utilizador poderá enviar áudios e vídeos numa chamada FaceTime sem se aperceber
Descrição: este problema foi resolvido através de verificações melhoradas.
CVE-2022-22643: Sonali Luthar da Universidade da Virgínia, Michael Liao da Universidade de Illinois em Urbana-Champaign, Rohan Pahwa da Universidade Rutgers e Bao Nguyen da Universidade da Florida
Entrada adicionada a 16 de março de 2023
GPU Drivers
Disponível para: iPhone 8 e posterior
Impacto: uma app poderá conseguir divulgar a memória do kernel
Descrição: foram resolvidos vários problemas de escrita fora dos limites através da verificação melhorada dos limites.
CVE-2022-32793: um investigador anónimo
Entrada adicionada a 16 de março de 2023
GPU Drivers
Disponível para: iPhone 8 e posterior
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foi resolvido um problema de corrupção de memória através da gestão melhorada do estado.
CVE-2022-26744: um investigador anónimo
Entrada adicionada a 27 de outubro de 2022
GPU Drivers
Disponível para: iPhone 8 e posterior
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foi resolvido um problema do tipo "use after free" (utilização após libertação de memória) com a gestão melhorada da memória.
CVE-2022-32903: um investigador anónimo
Entrada adicionada a 27 de outubro de 2022
ImageIO
Disponível para: iPhone 8 e posterior
Impacto: o processamento de uma imagem pode resultar numa recusa de serviço
Descrição: foi resolvido um problema de recusa de serviço através da validação melhorada.
CVE-2022-1622
Entrada adicionada a 27 de outubro de 2022
Image Processing
Disponível para: iPhone 8 e posterior
Impacto: uma app em sandbox poderá conseguir determinar a app que está a utilizar atualmente a câmara
Descrição: o problema foi resolvido com restrições adicionais à observabilidade dos estados das apps.
CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)
Entrada adicionada a 27 de outubro de 2022
IOGPUFamily
Disponível para: iPhone 8 e posterior
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2022-32887: um investigador anónimo
Entrada adicionada a 27 de outubro de 2022
Kernel
Disponível para: iPhone 8 e posterior
Impacto: uma app poderá conseguir divulgar a memória do kernel
Descrição: existia um problema de leitura fora dos limites que causava a divulgação da memória do kernel. Este problema foi resolvido através da validação melhorada da entrada.
CVE-2022-32916: Pan ZhenPeng da STAR Labs SG Pte. Ltd.
Entrada adicionada a 09 de novembro de 2022
Kernel
Disponível para: iPhone 8 e posterior
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foi resolvido um problema do tipo "use after free" (utilização após libertação de memória) com a gestão melhorada da memória.
CVE-2022-32914: Zweig do Kunlun Lab
Entrada adicionada a 27 de outubro de 2022
Kernel
Disponível para: iPhone 8 e posterior
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2022-32866: Linus Henze da Pinauten GmbH (pinauten.de)
CVE-2022-32911: Zweig do Kunlun Lab
Entrada atualizada a 27 de outubro de 2022
Kernel
Disponível para: iPhone 8 e posterior
Impacto: uma app poderá conseguir divulgar a memória do kernel
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2022-32864: Linus Henze da Pinauten GmbH (pinauten.de)
Kernel
Disponível para: iPhone 8 e posterior
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel.
Descrição: o problema foi resolvido através de verificações melhoradas dos limites.
CVE-2022-32917: um investigador anónimo
Maps
Disponível para: iPhone 8 e posterior
Impacto: uma app poderá conseguir ler informações confidenciais de localização
Descrição: foi resolvido um problema de lógica através de restrições melhoradas.
CVE-2022-32883: Ron Masas, breakpointhq.com
MediaLibrary
Disponível para: iPhone 8 e posterior
Impacto: um utilizador poderá conseguir aumentar privilégios
Descrição: foi resolvido um problema de corrupção de memória através da validação melhorada da entrada.
CVE-2022-32908: um investigador anónimo
Notifications
Disponível para: iPhone 8 e posterior
Impacto: um utilizador com acesso físico a um dispositivo poderá conseguir aceder aos contactos a partir do ecrã bloqueado
Descrição: foi resolvido um problema de lógica através da gestão melhorada do estado.
CVE-2022-32879: Ubeydullah Sümer
Entrada adicionada a 27 de outubro de 2022
Photos
Disponível para: iPhone 8 e posterior
Impacto: uma app poderá conseguir contornar as preferências de privacidade
Descrição: este problema foi resolvido através da proteção de dados melhorada.
CVE-2022-32918: Ashwani Rajput da Nagarro Software Pvt. Ltd, Srijan Shivam Mishra da The Hack Report, Jugal Goradia da Aastha Technologies, Evan Ricafort (evanricafort.com) da Invalid Web Security, Shesha Sai C (linkedin.com/in/shesha-sai-c-18585b125), Amod Raghunath Patwardhan da Pune, Índia
Entrada adicionada a 27 de outubro de 2022 e atualizada a 16 de março de 2023
Safari
Disponível para: iPhone 8 e posterior
Impacto: aceder a um site malicioso poderá provocar a falsificação dos conteúdos na barra de endereço
Descrição: este problema foi resolvido através de verificações melhoradas.
CVE-2022-32795: Narendra Bhati da Suma Soft Pvt. Ltd. Pune (India) @imnarendrabhati
Safari Extensions
Disponível para: iPhone 8 e posterior
Impacto: um site poderá conseguir monitorizar utilizadores através de extensões web do Safari
Descrição: foi resolvido um problema de lógica através da gestão melhorada do estado.
WebKit Bugzilla: 242278
CVE-2022-32868: Michael
Sandbox
Disponível para: iPhone 8 e posterior
Impacto: uma app poderá conseguir modificar partes protegidas do sistema de ficheiros
Descrição: foi resolvido um problema de lógica através de restrições melhoradas.
CVE-2022-32881: Csaba Fitzl (@theevilbit) da Offensive Security
Entrada adicionada a 27 de outubro de 2022
Security
Disponível para: iPhone 8 e posterior
Impacto: uma app poderá conseguir contornar as verificações da assinatura de código
Descrição: foi resolvido um problema na validação da assinatura de código através de verificações melhoradas.
CVE-2022-42793: Linus Henze da Pinauten GmbH (pinauten.de)
Entrada adicionada a 27 de outubro de 2022
Shortcuts
Disponível para: iPhone 8 e posterior
Impacto: uma pessoa com acesso físico a um dispositivo iOS poderá conseguir aceder a fotografias a partir do ecrã bloqueado
Descrição: foi resolvido um problema de lógica através de restrições melhoradas.
CVE-2022-32872: Elite Tech Guru
Sidecar
Disponível para: iPhone 8 e posterior
Impacto: um utilizador poderá conseguir ver conteúdos restritos a partir do ecrã bloqueado
Descrição: foi resolvido um problema de lógica através da gestão melhorada do estado.
CVE-2022-42790: Om kothawade da Zaprico Digital
Entrada adicionada a 27 de outubro de 2022
Siri
Disponível para: iPhone 8 e posterior
Impacto: uma pessoa com acesso físico a um dispositivo poderá conseguir utilizar a Siri para aceder a informações privadas do calendário
Descrição: foi resolvido um problema de lógica através de restrições melhoradas.
CVE-2022-32871: Amit Prajapat da Payatu Security Consulting Private Limited
Entrada adicionada a 16 de março de 2023
Siri
Disponível para: iPhone 8 e posterior
Impacto: um utilizador com acesso físico a um dispositivo poderá conseguir utilizar a Siri para obter algumas informações do histórico de chamadas
Descrição: foi resolvido um problema de lógica através da gestão melhorada do estado.
CVE-2022-32870: Andrew Goldberg da The McCombs School of Business, Universidade do Texas em Austin (linkedin.com/andrew-goldberg-/)
Entrada adicionada a 27 de outubro de 2022
Software Update
Disponível para: iPhone 8 e posterior
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foi resolvida uma condição de disputa através do processamento melhorado do estado.
CVE-2022-42791: Mickey Jin (@patch1t) da Trend Micro
Entrada adicionada a 09 de novembro de 2022
SQLite
Disponível para: iPhone 8 e posterior
Impacto: um utilizador remoto poderá conseguir provocar uma recusa de serviço
Descrição: este problema foi resolvido através de verificações melhoradas.
CVE-2021-36690
Entrada adicionada a 27 de outubro de 2022
Time Zone
Disponível para: iPhone 8 e posterior
Impacto: os contactos apagados poderão continuar a aparecer nos resultados da pesquisa do Spotlight
Descrição: foi resolvido um problema de lógica através da gestão melhorada do estado.
CVE-2022-32859
Entrada adicionada a 27 de outubro de 2022
Watch app
Disponível para: iPhone 8 e posterior
Impacto: uma app poderá conseguir ler um identificador de dispositivo persistente
Descrição: este problema foi resolvido através de direitos melhorados.
CVE-2022-32835: Guilherme Rambo da Best Buddy Apps (rambo.codes)
Entrada adicionada a 27 de outubro de 2022
Weather
Disponível para: iPhone 8 e posterior
Impacto: uma app poderá conseguir ler informações confidenciais de localização
Descrição: foi resolvido um problema de lógica através da gestão melhorada do estado.
CVE-2022-32875: um investigador anónimo
Entrada adicionada a 27 de outubro de 2022
WebKit
Disponível para: iPhone 8 e posterior
Impacto: um utilizador não autorizado poderá conseguir aceder ao histórico de navegação
Descrição: existia um problema com os caminhos de ficheiro utilizados para armazenar dados do site. Este problema foi resolvido com melhoramentos na forma como os dados do site são armazenados.
CVE-2022-32833: Csaba Fitzl (@theevilbit) da Offensive Security, Jeff Johnson
Entrada adicionada a 09 de novembro de 2022
WebKit
Disponível para: iPhone 8 e posterior
Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: foi resolvido um problema de escrita fora dos limites através da verificação melhorada dos limites.
WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)
Entrada adicionada a 27 de outubro de 2022
WebKit
Disponível para: iPhone 8 e posterior
Impacto: visitar um site que cria fotogramas de conteúdo malicioso poderá provocar a falsificação da IU
Descrição: o problema foi resolvido através do processamento da IU melhorado.
WebKit Bugzilla: 243236
CVE-2022-32891: @real_as3617 e um investigador anónimo
Entrada adicionada a 27 de outubro de 2022
WebKit
Disponível para: iPhone 8 e posterior
Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: foi resolvido um problema de ultrapassagem do limite máximo do buffer através do processamento melhorado da memória.
WebKit Bugzilla: 241969
CVE-2022-32886: P1umer, afang5472, xmzyshypnc
WebKit
Disponível para: iPhone 8 e posterior
Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: foi resolvido um problema de leitura fora dos limites através da verificação melhorada dos limites.
WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a) da Theori em colaboração com o programa Zero Day Initiative da Trend Micro
WebKit Sandboxing
Disponível para: iPhone 8 e posterior
Impacto: um processo na sandbox poderá ser capaz de contornar as restrições da sandbox
Descrição: um problema de acesso foi resolvido com melhoramentos na sandbox.
WebKit Bugzilla: 243181
CVE-2022-32892: @18楼梦想改造家 e @jq0904 do laboratório WeBin da DBAppSecurity
Entrada adicionada a 27 de outubro de 2022
Wi-Fi
Disponível para: iPhone 8 e posterior
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foi resolvido um problema de corrupção de memória através da gestão melhorada do estado.
CVE-2022-46709: Wang Yu da Cyberserval
Entrada adicionada a 16 de março de 2023
Wi-Fi
Disponível para: iPhone 8 e posterior
Impacto: uma app poderá conseguir provocar um encerramento inesperado do sistema ou escrever na memória do kernel
Descrição: foi resolvido um problema de escrita fora dos limites através da verificação melhorada dos limites.
CVE-2022-32925: Wang Yu da Cyberserval
Entrada adicionada a 27 de outubro de 2022
Agradecimentos adicionais
AirDrop
Gostaríamos de agradecer a Alexander Heinrich, Milan Stute e Christian Weinert da Universidade Técnica de Darmstadt pela sua colaboração.
Entrada adicionada a 27 de outubro de 2022
AppleCredentialManager
Gostaríamos de agradecer a @jonathandata1 pela sua colaboração.
Entrada adicionada a 27 de outubro de 2022
Calendar UI
Gostaríamos de agradecer a Abhay Kailasia (@abhay_kailasia) da Lakshmi Narain College Of Technology Bhopal pela sua colaboração.
Entrada adicionada a 27 de outubro de 2022
CoreGraphics
Gostaríamos de agradecer a Simon de Vegt pela sua colaboração.
Entrada adicionada a 09 de novembro de 2022
FaceTime
Gostaríamos de agradecer a um investigador anónimo pela sua colaboração.
Entrada adicionada a 27 de outubro de 2022
Find My
Gostaríamos de agradecer a um investigador anónimo pela sua colaboração.
Entrada adicionada a 27 de outubro de 2022
Game Center
Gostaríamos de agradecer a Joshua Jones pela sua colaboração.
iCloud
Gostaríamos de agradecer a Bülent Aytulun e a um investigador anónimo pela sua colaboração.
Entrada adicionada a 27 de outubro de 2022
Identity Services
Gostaríamos de agradecer a Joshua Jones pela sua colaboração.
Kernel
Gostaríamos de agradecer a Pan ZhenPeng (@Peterpan0927), a Tingting Yin da Universidade de Tsinghua e a Min Zheng do Ant Group e a um investigador anónimo pela sua colaboração.
Entrada adicionada a 27 de outubro de 2022
Gostaríamos de agradecer a um investigador anónimo pela sua colaboração.
Entrada adicionada a 27 de outubro de 2022
Notes
Gostaríamos de agradecer a Edward Riley da Iron Cloud Limited (ironclouduk.com) pela sua colaboração.
Entrada adicionada a 27 de outubro de 2022
Photo Booth
Gostaríamos de agradecer a Prashanth Kannan da Dremio pela sua colaboração.
Entrada adicionada a 27 de outubro de 2022
Safari
Gostaríamos de agradecer a Scott Hatfield do Sub-Zero Group pela sua colaboração.
Entrada adicionada a 16 de março de 2023
Sandbox
Gostaríamos de agradecer a Csaba Fitzl (@theevilbit) da Offensive Security pela sua colaboração.
Entrada adicionada a 27 de outubro de 2022
Shortcuts
Gostaríamos de agradecer a Shay Dror pela sua colaboração.
Entrada adicionada a 27 de outubro de 2022
SOS
Gostaríamos de agradecer a Xianfeng Lu e a Lei Ai do OPPO Amber Security Lab pela sua colaboração.
Entrada adicionada a 27 de outubro de 2022
UIKit
Gostaríamos de agradecer a Aleczander Ewing, Simon de Vegt e a um investigador anónimo pela sua colaboração.
Entrada adicionada a 27 de outubro de 2022
WebKit
Gostaríamos de agradecer a um investigador anónimo pela sua colaboração.
Entrada adicionada a 27 de outubro de 2022
WebRTC
Gostaríamos de agradecer a um investigador anónimo pela sua colaboração.
Entrada adicionada a 27 de outubro de 2022