Acerca do conteúdo de segurança do iOS 8.1

Este documento descreve o conteúdo de segurança do iOS 8.1

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações sobre a segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.

Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo Como utilizar a chave PGP de segurança dos produtos Apple.

Sempre que possível, são utilizadas ID CVE para designar as vulnerabilidades e disponibilizar mais informações.

Para obter mais informações sobre outras atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.

iOS 8.1

• Bluetooth

  Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

  Impacto: um dispositivo de entrada Bluetooth malicioso poderá ignorar o emparelhamento

  Descrição: as ligações não cifradas foram permitidas a partir de acessórios Bluetooth de baixa energia da classe de dispositivos de interface humana (HID). Se um dispositivo iOS emparelhasse com tal acessório, um atacante podia falsificar o acessório legítimo para estabelecer uma ligação. O problema foi resolvido através da negação de ligações HID não cifradas.

  ID CVE

  CVE-2014-4428: Mike Ryan da iSEC Partners

• House Arrest

  Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

  Impacto: os ficheiros transferidos para o dispositivo poderão ser escritos com uma proteção criptográfica insuficiente

  Descrição: os ficheiros podiam ser transferidos para o diretório de Documentos da app e cifrados com uma chave protegida apenas pelo UID do hardware. Este problema foi corrigido cifrando os ficheiros transferidos com uma chave protegida pelo UID do hardware e pelo código do utilizador.

  ID CVE

  CVE-2014-4448: Jonathan Zdziarski e Kevin DeLong

• Acesso aos dados do iCloud

  Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

  Impacto: um atacante numa posição de rede privilegiada poderá forçar os clientes do acesso aos dados do iCloud a revelarem informações sensíveis

  Descrição: existia uma vulnerabilidade na validação do certificado de TLS nos clientes do acesso aos dados do iCloud. Este problema foi resolvido através da validação melhorada dos certificados.

  ID CVE

  CVE-2014-4449: Carl Mehner da USAA

• Teclados

  Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

  Impacto: o QuickType podia memorizar as credenciais dos utilizadores

  Descrição: o QuickType podia memorizar as credenciais dos utilizadores ao alternar entre elementos. Este problema foi resolvido fazendo com que o QuickType não memorize os campos nos quais o preenchimento automático está desativado e voltando a aplicar os critérios ao alternar entre elementos de entrada DOM no WebKit anterior.

  ID CVE

  CVE-2014-4450

• Transporte seguro

  Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

  Impacto: um atacante poderá conseguir decifrar dados protegidos por SSL

  Descrição: foram identificados ataques à confidencialidade do SSL 3.0 em que um conjunto de cifras utilizava uma cifra de bloqueio em modo CBC. Um atacante podia forçar a utilização de SSL 3.0, mesmo quando o servidor suportava uma versão de TLS superior, através do bloqueio de TLS 1.0 e de tentativas de ligação superiores. Este problema foi resolvido ao desativar os conjuntos de cifras CBC quando as tentativas de ligação TLS falhavam.

  ID CVE

  CVE-2014-3566: Bodo Moeller, Thai Duong e Krzysztof Kotowicz da Equipa de segurança da Google