Informazioni sul contenuto di sicurezza di Aggiornamento Software di iOS 4.3.2

In questo documento viene descritto il contenuto di sicurezza di Aggiornamento Software di iOS 4.3.2.

In questo documento viene illustrato il contenuto di sicurezza dell'aggiornamento software di iOS 4.3.2, che può essere scaricato e installato mediante iTunes.

Per proteggere i propri clienti, Apple non divulga né contesta o conferma informazioni su alcun problema relativo alla sicurezza, finché non è stata eseguita un'indagine approfondita e non sono stati resi disponibili i necessari aggiornamenti e correzioni della versione. Per ulteriori informazioni consulta il sito Web sulla sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta l'articolo "Come usare la chiave PGP per la sicurezza dei prodotti Apple".

Ove possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni aggiuntive sugli aggiornamenti di sicurezza, consulta l'articolo "Aggiornamenti di sicurezza Apple".

Aggiornamento Software di iOS 4.3.2

  • Certificate Trust Policy

    Disponibile per: iOS dalla versione 3.0 alla 4.3.1 per iPhone 3GS e versioni più recenti, iOS dalla versione 3.1 alla 4.3.1 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla 4.3.1 per iPad

    Impatto: un malintenzionato con una posizione privilegiata in rete può intercettare le credenziali utente o altre informazioni riservate.

    Descrizione: svariati certificati SSL falsificati sono stati emessi da un'autorità di registrazione affiliata a Comodo. In questo modo un malintenzionato che riesca a portare a termine un attacco man-in-the-middle potrebbe reindirizzare le connessioni e intercettare le credenziali utente o altre informazioni riservate. Questo problema viene risolto con l'inserimento in una blacklist di tali certificati.

    Nota: per i sistemi Mac OS X, questo problema viene risolto nell'Aggiornamento di sicurezza 2011-002. Per i sistemi Windows, Safari fa affidamento sull'archivio dei certificati del sistema operativo host per determinare se un certificato server SSL è affidabile. L'applicazione dell'aggiornamento descritto nell'articolo 2524375 della Knowledge Base di Microsoft determinerà da parte di Safari la valutazione negativa di tali certificati. Questo articolo è disponibile alla pagina http://support.microsoft.com/kb/2524375/it-it

  • libxslt

    Disponibile per: iOS dalla versione 3.0 alla 4.3.1 per iPhone 3GS e versioni più recenti, iOS dalla versione 3.1 alla 4.3.1 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla 4.3.1 per iPad

    Impatto: l'accesso a un sito Web pericoloso potrebbe provocare la divulgazione di URL sensibili su un altro sito.

    Descrizione: l'implementazione di libxslt della funzione generate-id() XPath ha divulgato l'indirizzo di un buffer di heap. Il collegamento a un sito Web pericoloso potrebbe consentire la divulgazione degli indirizzi sull'heap, che potrebbe escludere la protezione Address Space Layout Randomization. Questo problema viene risolto generando un ID basato sulla differenza tra gli indirizzi di due buffer di heap.

    ID CVE

    CVE-2011-0195: Chris Evans di Google Chrome Security Team

  • QuickLook

    Disponibile per: iOS dalla versione 3.0 alla 4.3.1 per iPhone 3GS e versioni più recenti, iOS dalla versione 3.1 alla 4.3.1 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla 4.3.1 per iPad

    Impatto: la visualizzazione di un file Microsoft Excel pericoloso potrebbe provocare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di corruzione della memoria nella gestione dei file Microsoft Office da parte di QuickLook. La visualizzazione di un file Microsoft Excel pericoloso potrebbe provocare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario.

    ID CVE

    CVE-2011-1417: Charlie Miller e Dion Blazakis, collaboratori della Zero Day Initiative di TippingPoint

  • WebKit

    Disponibile per: iOS dalla versione 3.0 alla 4.3.1 per iPhone 3GS e versioni più recenti, iOS dalla versione 3.1 alla 4.3.1 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla 4.3.1 per iPad

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di overflow di numero intero nella gestione dei nodeset. L'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    ID CVE

    CVE-2011-1290: Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp Weinmann e un ricercatore anonimo, collaboratori di Zero Day Initiative di TippingPoint.

  • WebKit

    Disponibile per: iOS dalla versione 3.0 alla 4.3.1 per iPhone 3GS e versioni più recenti, iOS dalla versione 3.1 alla 4.3.1 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla 4.3.1 per iPad

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema use-after-free nella gestione dei nodi di testo. L'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    ID CVE

    CVE-2011-1344: Vupen Security, collaboratore di Zero Day Initiative di TippingPoint e Martin Barbella

Importante: Le citazioni di siti Web e prodotti di terze parti sono soltanto a scopo informativo e non costituiscono né una approvazione, né una raccomandazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all’utilizzo di informazioni o prodotti reperibili presso i siti Web di terze parti. Apple fornisce queste informazioni solo per comodità dei propri utenti. Apple non ha verificato le informazioni reperibili su questi siti e non esprime alcuna opinione in merito alla loro precisione o affidabilità. Esistono rischi inerenti l’utilizzo di informazioni o prodotti reperibili in Internet e Apple non si assume alcuna responsabilità al riguardo. Qualsiasi sito di terze parti è indipendente da Apple e Apple non esercita alcun controllo sul contenuto di tali siti Web. Per ulteriori informazioni, si prega di contattare il produttore.

Importante: Le informazioni su prodotti non fabbricati da Apple vengono fornite solo a scopo informativo e non costituiscono raccomandazioni o approvazioni da parte di Apple. Per ulteriori informazioni, si prega di contattare il produttore.

Ultima modifica:
Utile?

Informazioni aggiuntive di supporto al prodotto

Italia (Italiano)