Informazioni sul contenuto di sicurezza di Aggiornamento Software per iOS 6.1

In questo documento viene descritto il contenuto di sicurezza di iOS 6.1.

Per proteggere i propri clienti, Apple non divulga, discute o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito Web sulla sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni sugli altri aggiornamenti di sicurezza, consulta l'articolo Aggiornamenti di sicurezza Apple.

iOS 6.1

  • Servizi di identità

    Disponibile per: iPhone 3GS e versioni più recenti, iPod touch (4a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'autenticazione basata su autenticazione tramite ID Apple con certificato può essere ignorata.

    Descrizione: si verificava un errore di gestione nei Servizi di identità. Se l'operazione di convalida del certificato associato all'ID Apple dell'utente non riusciva, l'ID Apple veniva considerato una stringa vuota. Se questa situazione si verificava in più sistemi appartenenti a utenti diversi, le applicazioni che si servivano della determinazione di questa identità potevano erroneamente estendere l'affidabilità. Il problema è stato risolto assicurando la restituzione del valore NULL invece di una stringa vuota.

    ID CVE

    CVE-2013-0963

  • ICU (International Components for Unicode)

    Disponibile per: iPhone 3GS e versioni più recenti, iPod touch (4a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare un attacco di scripting cross-site.

    Descrizione: si verificava un problema di canonicalizzazione nella gestione della codifica EUC-JP, che poteva causare un attacco di scripting cross-site nei siti Web con codifica EUC-JP. Il problema è stato risolto aggiornando la tabella di mapping EUC-JP.

    ID CVE

    CVE-2011-3058: Masato Kinugawa

  • Kernel

    Disponibile per: iPhone 3GS e versioni più recenti, iPod touch (4a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un processo in modalità utente potrebbe accedere alla prima pagina della memoria Kernel.

    Descrizione: il kernel iOS dispone di controlli per verificare che il puntatore e la lunghezza in modalità utente, quando sono attive le funzioni copyin e copyout, non generino un processo in modalità utente iche consente l'accesso diretto alla memoria kernel. I controlli non venivano utilizzati in caso di lunghezza inferiore a una pagina. Il problema è stato risolto aggiungendo un'ulteriore convalida degli argomenti per le funzioni copyin e copyout.

    ID CVE

    CVE-2013-0964 : Mark Dowd di Azimuth Security

  • Sicurezza

    Disponibile per: iPhone 3GS e versioni più recenti, iPod touch (4a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un malintenzionato con una posizione privilegiata in rete potrebbe intercettare le credenziali dell'utente o altre informazioni riservate.

    Descrizione: numerosi certificati CA intermedi sono stati erroneamente emessi da TURKTRUST. In questo modo un malintenzionato che riesca a portare a termine un attacco man-in-the-middle potrebbe reindirizzare le connessioni e intercettare le credenziali utente o altre informazioni riservate. Il problema è stato risolto negando le autorizzazioni ai certificati SSL non corretti.

  • StoreKit

    Disponibile per: iPhone 3GS e versioni più recenti, iPod touch (4a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: JavaScript può essere abilitato in Mobile Safari senza l'intervento dell'utente

    Descrizione: se JavaScript è stato disattivato nelle Preferenze di Safari, potrebbe essere riattivato quando si visita un sito che visualizza un banner Smart App, senza che l'utente ne sia informato. Il problema è stato risolto impedendo l'attivazione di JavaScript durante la visita di siti che visualizzano banner Smart App.

    ID CVE

    CVE-2013-0974 : Andrew Plotkin di Zarfhome Software Consulting, Ben Madison di BitCloud, Marek Durcek

  • WebKit

    Disponibile per: iPhone 3GS e versioni più recenti, iPod touch (4a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si sono verificati vari problemi di danneggiamento della memoria in WebKit. Questi problemi sono stati risolti mediante una migliore gestione della memoria.

    ID CVE

    CVE-2012-2857: Arthur Gerkis

    CVE-2012-3606 : Abhishek Arya (Inferno) del Google Chrome Security Team

    CVE-2012-3607 : Abhishek Arya (Inferno) del Google Chrome Security Team

    CVE-2012-3621: Skylined del Google Chrome Security Team

    CVE-2012-3632 : Abhishek Arya (Inferno) del Google Chrome Security Team

    CVE-2012-3687: kuzzcc

    CVE-2012-3701 : Abhishek Arya (Inferno) del Google Chrome Security Team

    CVE-2013-0948: Abhishek Arya (Inferno) del Google Chrome Security Team

    CVE-2013-0949: Abhishek Arya (Inferno) del Google Chrome Security Team

    CVE-2013-0950: Abhishek Arya (Inferno) del Google Chrome Security Team

    CVE-2013-0951: Apple

    CVE-2013-0952: Abhishek Arya (Inferno) del Google Chrome Security Team

    CVE-2013-0953: Abhishek Arya (Inferno) del Google Chrome Security Team

    CVE-2013-0954: Dominic Cooney di Google e Martin Barbella del Google Chrome Security Team

    CVE-2013-0955: Apple

    CVE-2013-0956: sicurezza dei prodotti Apple

    CVE-2012-2824: miaubiz

    CVE-2013-0958: Abhishek Arya (Inferno) del Google Chrome Security Team

    CVE-2013-0959: Abhishek Arya (Inferno) del Google Chrome Security Team

    CVE-2013-0968 : Aaron Nelson

  • WebKit

    Disponibile per: iPhone 3GS e versioni più recenti, iPod touch (4a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: copiare e incollare contenuti da un sito Web pericoloso può causare un attacco di scripting cross-site

    Descrizione: si verificava un problema di scripting cross-site nella gestione dei contenuti provenienti da un'origine differente. Il problema è stato risolto attraverso un'ulteriore convalida dei contenuti incollati.

    ID CVE

    CVE-2013-0962 : Mario Heiderich di Cure53

  • WebKit

    Disponibile per: iPhone 3GS e versioni più recenti, iPod touch (4a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare un attacco di scripting cross-site.

    Descrizione: si verificava un problema di scripting cross site nella gestione degli elementi frame. Il problema è stato risolto migliorando il tracking delle origini.

    ID CVE

    CVE-2012-2889: Sergey Glazunov

  • Wi-Fi

    Disponibile per: iPhone 3GS, iPhone 4, iPod touch (4a generazione), iPad 2

    Impatto: un attacco remoto sulla stessa rete Wi-Fi potrebbe disattivare temporaneamente il Wi-Fi

    Descrizione: si verifica un problema di lettura fuori dai limiti nella gestione degli elementi informativi 802.11i da parte dei firmware dei chip Broadcom BCM4325 e BCM4329. Il problema è stato risolto mediante un'ulteriore convalida degli elementi informativi di 802.11i.

    ID CVE

    CVE-2012-2619 : Andres Blanco e Matias Eissler di Core Security

 

Importante: Le citazioni di siti Web e prodotti di terze parti sono soltanto a scopo informativo e non costituiscono né una approvazione, né una raccomandazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all’utilizzo di informazioni o prodotti reperibili presso i siti Web di terze parti. Apple fornisce queste informazioni solo per comodità dei propri utenti. Apple non ha verificato le informazioni reperibili su questi siti e non esprime alcuna opinione in merito alla loro precisione o affidabilità. Esistono rischi inerenti l’utilizzo di informazioni o prodotti reperibili in Internet e Apple non si assume alcuna responsabilità al riguardo. Qualsiasi sito di terze parti è indipendente da Apple e Apple non esercita alcun controllo sul contenuto di tali siti Web. Per ulteriori informazioni, si prega di contattare il produttore.

Ultima modifica:
Utile?

Informazioni aggiuntive di supporto al prodotto

Italia (Italiano)