Acerca das atualizações de segurança da Apple
Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação e não estiverem disponíveis as correções ou os lançamentos necessários. Os lançamentos recentes são apresentados na página Atualizações de segurança da Apple.
Sempre que possível, os documentos de segurança da Apple designam as vulnerabilidades através de ID CVE.
Para obter mais informações acerca da segurança, consulte a página Segurança dos produtos Apple.
iOS 15.7.1 e iPadOS 15.7.1
Data de lançamento: 27 de outubro de 2022
Apple Neural Engine
Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2022-32932: Mohamed Ghannam (@_simo36)
Audio
Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)
Impacto: a análise de um ficheiro de áudio criado com intuito malicioso poderá provocar a divulgação de informações do utilizador
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2022-42798: investigador anónimo em colaboração com o programa Zero Day Initiative da Trend Micro
Backup
Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)
Impacto: uma app poderá conseguir aceder às cópias de segurança do iOS
Descrição: foi resolvido um problema de permissões com restrições adicionais.
CVE-2022-32929: Csaba Fitzl (@theevilbit) da Offensive Security
FaceTime
Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)
Impacto: um utilizador poderá conseguir ver conteúdos restritos a partir do ecrã bloqueado
Descrição: foi resolvido um problema no ecrã bloqueado através da gestão melhorada do estado.
CVE-2022-32935: Bistrit Dahal
Graphics Driver
Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: o problema foi resolvido através de verificações melhoradas dos limites.
CVE-2022-32939: Willy R. Vasquez, da Universidade do Texas, Austin
Image Processing
Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: este problema foi resolvido através de verificações melhoradas.
CVE-2022-32949: Tingting Yin da Universidade de Tsinghua
Kernel
Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foi resolvido um problema de corrupção de memória através da gestão melhorada do estado.
CVE-2022-32944: Tim Michaud (@TimGMichaud) da Moveworks.ai
Kernel
Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foi resolvida uma condição de disputa através do bloqueio melhorado.
CVE-2022-42803: Xinru Chi do Laboratório Pangu, John Aakerblom (@jaakerblom)
Kernel
Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)
Impacto: uma app com privilégios de raiz poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: o problema foi resolvido através de verificações melhoradas dos limites.
CVE-2022-32926: Tim Michaud (@TimGMichaud) da Moveworks.ai
Kernel
Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel. A Apple tem conhecimento de uma denúncia de que este problema pode ter sido explorado ativamente.
Descrição: foi resolvido um problema de escrita fora dos limites através da verificação melhorada dos limites.
CVE-2022-42827: um investigador anónimo
Kernel
Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foi resolvido um problema de lógica através de verificações melhoradas.
CVE-2022-42801: Ian Beer do Google Project Zero
Model I/O
Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)
Impacto: o processamento de um ficheiro USD criado com intuito malicioso poderá divulgar conteúdos da memória
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2022-42810: Xingwei Lin (@xwlin_roy) e Yinyi Wu do Ant Security Light-Year Lab
ppp
Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)
Impacto: se ultrapassar o limite máximo do buffer, poderá ser executado um código arbitrário
Descrição: o problema foi resolvido através de verificações melhoradas dos limites.
CVE-2022-32941: um investigador anónimo
Safari
Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)
Impacto: aceder a um site criado com intuito malicioso poderá provocar a divulgação de dados confidenciais
Descrição: foi resolvido um problema de lógica através da gestão melhorada do estado.
CVE-2022-42817: Mir Masood Ali, estudante de doutoramento, Universidade de Illinois em Chicago; Binoy Chitale, estudante de mestrado, Universidade de Stony Brook; Mohammad Ghasemisharif, candidato a doutoramento, Universidade de Illinois em Chicago; Chris Kanich, professor associado da Universidade de Illinois em Chicago
WebKit
Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)
Impacto: O processamento de conteúdos online com intuitos maliciosos pode revelar estados internos da aplicação
Descrição: um problema de exatidão no JIT foi resolvido através de verificações melhoradas.
WebKit Bugzilla: 242964
CVE-2022-32923: Wonyoung Jung (@nonetype_pwn) do KAIST Hacking Lab
Wi-Fi
Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)
Impacto: ligar-se a uma rede Wi-Fi maliciosa pode resultar numa negação de serviço da app de Definições
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2022-32927: Dr. Hideaki Goto da Universidade Tohoku, Japão
zlib
Disponível para: iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5.ª geração e posterior, iPad mini 4 e posterior e iPod touch (7.ª geração)
Impacto: um utilizador poderá conseguir provocar o encerramento inesperado da app ou a execução de um código arbitrário
Descrição: este problema foi resolvido através de verificações melhoradas.
CVE-2022-37434: Evgeny Legerov
CVE-2022-42800: Evgeny Legerov