Acerca do conteúdo de segurança do iOS 8.1
Este documento descreve o conteúdo de segurança do iOS 8.1
Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações sobre a segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.
Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo Como utilizar a chave PGP de segurança dos produtos Apple.
Sempre que possível, são utilizadas ID CVE para designar as vulnerabilidades e disponibilizar mais informações.
Para obter mais informações sobre outras atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.
iOS 8.1
Bluetooth
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: um dispositivo de entrada Bluetooth malicioso poderá ignorar o emparelhamento
Descrição: as ligações não cifradas foram permitidas a partir de acessórios Bluetooth de baixa energia da classe de dispositivos de interface humana (HID). Se um dispositivo iOS emparelhasse com tal acessório, um atacante podia falsificar o acessório legítimo para estabelecer uma ligação. O problema foi resolvido através da negação de ligações HID não cifradas.
ID CVE
CVE-2014-4428: Mike Ryan da iSEC Partners
House Arrest
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: os ficheiros transferidos para o dispositivo poderão ser escritos com uma proteção criptográfica insuficiente
Descrição: os ficheiros podiam ser transferidos para o diretório de Documentos da app e cifrados com uma chave protegida apenas pelo UID do hardware. Este problema foi corrigido cifrando os ficheiros transferidos com uma chave protegida pelo UID do hardware e pelo código do utilizador.
ID CVE
CVE-2014-4448: Jonathan Zdziarski e Kevin DeLong
Acesso aos dados do iCloud
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: um atacante numa posição de rede privilegiada poderá forçar os clientes do acesso aos dados do iCloud a revelarem informações sensíveis
Descrição: existia uma vulnerabilidade na validação do certificado de TLS nos clientes do acesso aos dados do iCloud. Este problema foi resolvido através da validação melhorada dos certificados.
ID CVE
CVE-2014-4449: Carl Mehner da USAA
Teclados
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: o QuickType podia memorizar as credenciais dos utilizadores
Descrição: o QuickType podia memorizar as credenciais dos utilizadores ao alternar entre elementos. Este problema foi resolvido fazendo com que o QuickType não memorize os campos nos quais o preenchimento automático está desativado e voltando a aplicar os critérios ao alternar entre elementos de entrada DOM no WebKit anterior.
ID CVE
CVE-2014-4450
Transporte seguro
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: um atacante poderá conseguir decifrar dados protegidos por SSL
Descrição: foram identificados ataques à confidencialidade do SSL 3.0 em que um conjunto de cifras utilizava uma cifra de bloqueio em modo CBC. Um atacante podia forçar a utilização de SSL 3.0, mesmo quando o servidor suportava uma versão de TLS superior, através do bloqueio de TLS 1.0 e de tentativas de ligação superiores. Este problema foi resolvido ao desativar os conjuntos de cifras CBC quando as tentativas de ligação TLS falhavam.
ID CVE
CVE-2014-3566: Bodo Moeller, Thai Duong e Krzysztof Kotowicz da Equipa de segurança da Google
As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Contacte o fornecedor para obter mais informações.