Informazioni sul contenuto di sicurezza di iOS 7.1
In questo documento vengono descritti i contenuti di sicurezza di iOS 7.1.
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.
Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple leggi l'articolo "Come usare la chiave PGP per la sicurezza dei prodotti Apple".
Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.
Per informazioni su altri aggiornamenti di sicurezza consulta l'articolo "Aggiornamenti di sicurezza Apple".
iOS 7.1
Backup
Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un backup dannoso può alterare il filesystem
Descrizione: un link simbolico in un backup viene ripristinato, consentendo alle operazioni successive durante il ripristino di scrivere sul resto del filesystem. Questo problema è stato risolto verificando la presenza di link simbolici durante il processo di ripristino.
CVE-ID
CVE-2013-5133: evad3rs
Certificate Trust Policy
Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: i certificati principali sono stati aggiornati
Descrizione: diversi certificati vengono aggiunti all'elenco dei root di sistema oppure rimossi.
Profili di configurazione
Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: non vengono rispettate le date di scadenza del profilo
Descrizione: le date di scadenza dei profili di configurazione mobili non vengono valutate correttamente. Questo problema è stato risolto attraverso una migliore gestione dei profili di configurazione.
CVE-ID
CVE-2014-1267
CoreCapture
Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un'applicazione pericolosa può causare un arresto improvviso del sistema
Descrizione: si verifica un problema di raggiungimento dell'asserzione nella gestione delle chiamate API con IOKit da parte di CoreCapture. Questo problema è stato risolto attraverso un'ulteriore convalida dell'input da IOKit.
CVE-ID
CVE-2014-1271: Filippo Bigarella
Resoconto sui crash
Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un utente locale può modificare i permessi relativi ai file arbitrari
Descrizione: CrashHouseKeeping segue i link simbolici durante la modifica dei permessi relativi ai file. Questo problema è stato risolto non seguendo i link simbolici durante la modifica dei permessi relativi ai file.
CVE-ID
CVE-2014-1272: evad3rs
dyld
Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: i requisiti di firma del codice possono essere ignorati
Descrizione: le istruzioni di trasferimento del testo nelle librerie dinamiche possono essere caricate da dyld senza una convalida della firma del codice. Questo problema è stato risolto ignorando le istruzioni di trasferimento del testo.
CVE-ID
CVE-2014-1273: evad3rs
FaceTime
Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un utente con accesso fisico al dispositivo può accedere ai contatti di FaceTime dal blocco schermo
Descrizione: i contatti di FaceTime su un dispositivo bloccato possono essere esposti effettuando una chiamata FaceTime non riuscita dal blocco schermo. Questo problema è stato risolto attraverso una migliore gestione delle chiamate FaceTime.
CVE-ID
CVE-2014-1274
ImageIO
Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: la visualizzazione di un file PDF dannoso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario
Descrizione: si verifica un overflow del buffer nella gestione delle immagini JPEG2000 nei file PDF. Questo problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2014-1275: Felix Groebert del Google Security Team
ImageIO
Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: la visualizzazione di un file TIFF dannoso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario
Descrizione: si verifica un overflow del buffer nella gestione delle immagini TIFF da parte della libreria libtiff. Questo problema è stato risolto attraverso un'ulteriore convalida delle immagini TIFF.
CVE-ID
CVE-2012-2088
ImageIO
Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: la visualizzazione di un file JPEG dannoso potrebbe causare la divulgazione di contenuti presenti in memoria
Descrizione: si verifica un problema di accesso alla memoria non inizializzata nella gestione dei marcatori JPEG da parte di libjpeg, che causa la divulgazione di contenuti presenti in memoria. Questo problema è stato risolto attraverso un'ulteriore convalida dei file JPEG.
CVE-ID
CVE-2013-6629: Michal Zalewski
Evento HID IOKit
Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un'applicazione pericolosa può monitorare le azioni dell'utente in altre app
Descrizione: un'interfaccia nel framework IOKit consente ad app pericolose di monitorare le azioni degli utenti in altre app. Questo problema è stato risolto attraverso migliori politiche di controllo degli accessi nel framework.
CVE-ID
CVE-2014-1276: Min Zheng, Hui Xue e Dr. Tao (Lenx) Wei di FireEye
iTunes Store
Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un malintenzionato man-in-the-middle può indurre un utente a scaricare un'app pericolosa tramite Enterprise App Download
Descrizione: un malintenzionato con una posizione privilegiata in rete può eseguire lo spoofing delle comunicazioni sulla rete per indurre un utente a scaricare un'app pericolosa. Questo problema è stato risolto usando il protocollo SSL e inviando una richiesta all'utente durante i reindirizzamenti di URL.
CVE-ID
CVE-2013-3948: Stefan Esser
Kernel
Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un utente locale può causare un arresto improvviso del sistema o l'esecuzione di codice arbitrario nel kernel
Descrizione: si verifica un problema di accesso alla memoria fuori dai limiti nella funzione ptmx_get_ioctl dell'ARM. Questo problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2014-1278: evad3rs
Office Viewer
Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: l'apertura di un documento Microsoft Word dannoso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario
Descrizione: si verifica un problema di double free nella gestione dei documenti Microsoft Word. Questo problema viene risolto attraverso una migliore gestione della memoria.
CVE-ID
CVE-2014-1252: Felix Groebert del Google Security Team
Back-end di Foto
Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: le immagini eliminate possono essere ancora visibili nell'app Foto sotto immagini trasparenti
Descrizione: l'eliminazione di un immagine dalla libreria relativa ai contenuti non elimina le versioni dell'immagine archiviate nella cache. Questo problema è stato risolto attraverso una migliore gestione della memoria cache.
CVE-ID
CVE-2014-1281: Walter Hoelblinger di Hoelblinger.com, Morgan Adams, Tom Pennington
Profili
Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un profilo di configurazione può essere nascosto all'utente
Descrizione: un profilo di configurazione con un nome lungo può essere caricato sul dispositivo senza che venga visualizzato nell'interfaccia utente del profilo. Questo problema è stato risolto attraverso una migliore gestione dei nomi di profilo.
CVE-ID
CVE-2014-1282: Assaf Hefetz, Yair Amit e Adi Sharabani di Skycure
Safari
Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: le credenziali dell'utente possono essere rivelate a un sito sconosciuto tramite la funzione di riempimento automatico
Descrizione: Safari può aver inserito con la funzione di riempimento automatico i nomi e le password dell'utente in un subframe da un dominio diverso dal frame principale. Questo problema è stato risolto attraverso un migliore tracking delle origini.
CVE-ID
CVE-2013-5227: Niklas Malmgren di Klarna AB
Account - Impostazioni
Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un individuo con accesso fisico al dispositivo potrebbe riuscire a disabilitare Trova il mio iPhone senza immettere una password iCloud.
Descrizione: si verificava un problema nella gestione dello stato di Trova il mio iPhone. Questo problema è stato risolto migliorando la gestione dello stato di Trova il mio iPhone.
CVE-ID
CVE-2014-2019
Springboard
Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: una persona con accesso fisico al dispositivo può visualizzare la schermata Home del dispositivo anche se quest'ultimo non è stato attivato
Descrizione: una chiusura improvvisa dell'applicazione durante l'attivazione può causare la visualizzazione della schermata Home del telefono. Questo problema è stato risolto attraverso una migliore gestione degli errori durante l'attivazione.
CVE-ID
CVE-2014-1285: Roboboi99
Blocco schermo di SpringBoard
Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un malintenzionato collegato in remoto può causare la mancata risposta del blocco schermo
Descrizione: si verifica un problema di gestione dello stato nel blocco schermo. Questo problema è stato risolto attraverso una migliore gestione dello stato.
ID CVE
CVE-2014-1286: Bogdan Alecu di M-sec.net
Framework di TelephonyUI
Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: una pagina web può attivare una chiamata audio FaceTime senza l'interazione dell'utente
Descrizione: Safari non consulta l'utente prima di aprire gli URL facetime-audio://. Questo problema è stato risolto con l'aggiunta di una richiesta di conferma.
CVE-ID
CVE-2013-6835: Guillaume Ross
Host USB
Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: una persona con accesso fisico al dispositivo può causare l'esecuzione di codice arbitrario in modalità kernel
Descrizione: si verifica un problema di danneggiamento della memoria nella gestione dei messaggi USB. Questo problema è stato risolto attraverso un'ulteriore convalida dei messaggi USB.
CVE-ID
CVE-2014-1287: Andy Davis di NCC Group
Driver video
Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: la riproduzione di un video dannoso potrebbe causare la mancata risposta del dispositivo
Descrizione: si verifica un problema di dereferenziazione del puntatore null nella gestione di file codificati MPEG-4. Questo problema viene risolto attraverso una migliore gestione della memoria.
ID CVE
CVE-2014-1280: rg0rd
WebKit
Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: l'accesso a un sito web dannoso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: sono stati rilevati diversi problemi di danneggiamento della memoria in WebKit. Questi problemi vengono risolti mediante una migliore gestione della memoria.
CVE-ID
CVE-2013-2909: Atte Kettunen di OUSPG
CVE-2013-2926: cloudfuzzer
CVE-2013-2928: Google Chrome Security Team
CVE-2013-5196: Google Chrome Security Team
CVE-2013-5197: Google Chrome Security Team
CVE-2013-5198: Apple
CVE-2013-5199: Apple
CVE-2013-5225: Google Chrome Security Team
CVE-2013-5228: Keen Team (@K33nTeam) collaboratore della Zero Day Initiative di HP
CVE-2013-6625: cloudfuzzer
CVE-2013-6635: cloudfuzzer
CVE-2014-1269: Apple
CVE-2014-1270: Apple
CVE-2014-1289: Apple
CVE-2014-1290: ant4g0nist (SegFault) collaboratore della Zero Day Initiative di HP, Google Chrome Security Team, Lee Wang Hao collaboratore di S.P.T. Krishnan di Infocomm Security Department, Institute for Infocomm Research
CVE-2014-1291: Google Chrome Security Team
CVE-2014-1292: Google Chrome Security Team
CVE-2014-1293: Google Chrome Security Team
CVE-2014-1294: Google Chrome Security Team
FaceTime non è disponibile in tutti i Paesi o in tutte le aree geografiche.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.