Informazioni sui contenuti di sicurezza di iOS 8
In questo documento vengono descritti i contenuti di sicurezza di iOS 8.
Per proteggere la propria clientela, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Consulta il sito web dedicato alla sicurezza dei prodotti Apple per ulteriori informazioni in merito.
Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple consulta l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.
Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.
Per informazioni su altri aggiornamenti di sicurezza consulta l'articolo Aggiornamenti di sicurezza Apple.
iOS 8
802.1X
Disponibile per: iPhone 4s e modelli successivi, iPod touch (5a generazione) e modelli successivi, iPad 2 e modelli successivi
Impatto: un utente malintenzionato può acquisire le credenziali Wi-Fi.
Descrizione: un utente malintenzionato potrebbe aver creato un falso punto di accesso Wi-Fi, offerto l'autenticazione tramite il protocollo LEAP, compromesso l'Hash MS-CHAPv1 e usato le credenziali derivanti per autenticare il punto di accesso determinato anche se tale punto di accesso supportava rigorosi metodi di autenticazione. Questo problema è stato risolto disabilitando il protocollo LEAP di default.
CVE-ID
CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax e Wim Lamotte della Universiteit Hasselt
Accounts
Disponibile per: iPhone 4s e modelli successivi, iPod touch (5a generazione) e modelli successivi, iPad 2 e modelli successivi
Impatto: un'applicazione dannosa può essere in grado di identificare l'ID Apple dell'utente.
Descrizione: si è verificato un problema nella logica di controllo degli accessi per gli account. Un'applicazione sandboxed poteva ottenere informazioni relative all'account iCloud attualmente attivo, incluso il nome dell'account. Questo problema è stato risolto limitando l'accesso a determinati tipi di account da parte di applicazione non autorizzate.
CVE-ID
CVE-2014-4423: Adam Weaver
Accessibility
Disponibile per: iPhone 4s e modelli successivi, iPod touch (5a generazione) e modelli successivi, iPad 2 e modelli successivi
Impatto: il dispositivo potrebbe non bloccare lo schermo durante l'uso di AssistiveTouch.
Descrizione: si è verificato un problema logico nella gestione degli eventi da parte di AssistiveTouch che ha causato il mancato blocco dello schermo. Questo problema è stato risolto attraverso una migliore gestione del timer di blocco.
CVE-ID
CVE-2014-4368: Hendrik Bettermann
Accounts Framework
Disponibile per: iPhone 4s e modelli successivi, iPod touch (5a generazione) e modelli successivi, iPad 2 e modelli successivi
Impatto: un utente malintenzionato con accesso a un dispositivo iOS potrebbe accedere alle informazioni riservate dell'utente tramite i registri.
Descrizione: è stato registrato un accesso alle informazioni riservate dell'utente. Questo problema è stato risolto riducendo il numero di informazioni registrate.
CVE-ID
CVE-2014-4357: Heli Myllykoski di OP-Pohjola Group
Address Book
Disponibile per: iPhone 4s e modelli successivi, iPod touch (5a generazione) e modelli successivi, iPad 2 e modelli successivi
Impatto: un individuo con accesso fisico a un dispositivo iOS potrebbe leggere la Rubrica Indirizzi.
Descrizione: la Rubrica Indirizzi è stata codificata con una chiave protetta solo dall'UID dell'hardware. Questo problema è stato risolto effettuando la codifica di Rubrica Indirizzi con una chiave protetta dall'UID dell'hardware e con il codice dell'utente.
CVE-ID
CVE-2014-4352: Jonathan Zdziarski
App Installation
Disponibile per: iPhone 4s e modelli successivi, iPod touch (5a generazione) e modelli successivi, iPad 2 e modelli successivi
Impatto: un utente malintenzionato locale potrebbe superare i privilegi e installare applicazioni non verificate.
Descrizione: si è verificata una race condition nell'installazione delle app. Un utente malintenzionato in grado di scrivere nel file /tmp potrebbe aver installato un'app non verificata. Questo problema è stato risolto inserendo in un'altra directory i file per l'installazione.
CVE-ID
CVE-2014-4386: evad3rs
App Installation
Disponibile per: iPhone 4s e modelli successivi, iPod touch (5a generazione) e modelli successivi, iPad 2 e modelli successivi
Impatto: un utente malintenzionato locale potrebbe superare i privilegi e installare applicazioni non verificate.
Descrizione: si è verificato un problema di tipo path traversal nell'installazione delle app. Un utente malintenzionato locale poteva ridestinare la convalida della firma del codice a un bundle diverso da quello installato e comportare l'installazione di un'app non verificata. Questo problema è stato risolto rilevando e prevenendo la trasversalità dei percorsi nel momento in cui viene stabilita la firma del codice da verificare.
CVE-ID
CVE-2014-4384: evad3rs
Assets
Disponibile per: iPhone 4s e modelli successivi, iPod touch (5a generazione) e modelli successivi, iPad 2 e modelli successivi
Impatto: un utente malintenzionato in una posizione privilegiata sulla rete potrebbe far risultare un dispositivo iOS aggiornato anche se non lo è.
Descrizione: si è verificato un problema di convalida nella gestione delle risposte di controllo dell'aggiornamento. Le date fraudolente provenienti dalle intestazioni delle risposte Last-Modified impostate su date future venivano usate per i controlli If-Modified-Since nelle successive richieste di aggiornamento. Questo problema è stato risolto tramite la convalida dell'intestazione Last-Modified.
CVE-ID
CVE-2014-4383: Raul Siles di DinoSec
Bluetooth
Disponibile per: iPhone 4s e modelli successivi, iPod touch (5a generazione) e modelli successivi, iPad 2 e modelli successivi
Impatto: il Bluetooth viene abilitato inaspettatamente di default in seguito all'aggiornamento di iOS.
Descrizione: il Bluetooth è stato abilitato automaticamente in seguito all'aggiornamento di iOS. Questo problema è stato risolto attivando il Bluetooth solo in caso di aggiornamenti principali o minori della versione.
CVE-ID
CVE-2014-4354: Maneet Singh, Sean Bluestein
Certificate Trust Policy
Disponibile per: iPhone 4s e modelli successivi, iPod touch (5a generazione) e modelli successivi, iPad 2 e modelli successivi
Impatto: aggiornamento del Certificate Trust Policy.
Descrizione: il Certificate Trust Policy è stato aggiornato. Puoi visualizzare l'elenco completo dei certificati all'indirizzo http://support.apple.com/HT5012.
CoreGraphics
Disponibile per: iPhone 4s e successivi, iPod touch (5a generazione) e successivi, iPad 2 e successivi
Impatto: l'apertura di un file PDF dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verificava un overflow di numeri interi nella gestione dei file PDF. Il problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2014-4377: Felipe Andres Manzano di Binamuse VRT in collaborazione con iSIGHT Partners GVP Program
CoreGraphics
Disponibile per: iPhone 4s e modelli successivi, iPod touch (5a generazione) e modelli successivi, iPad 2 e modelli successivi
Impatto: l'apertura di un file PDF dannoso potrebbe causare una chiusura improvvisa dell'applicazione o la divulgazione di informazioni.
Descrizione: si è verificato un problema di lettura della memoria fuori dai limiti nella gestione dei file PDF. Il problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2014-4378: Felipe Andres Manzano di Binamuse VRT in collaborazione con iSIGHT Partners GVP Program
Data Detectors
Disponibile per: iPhone 4s e modelli successivi, iPod touch (5a generazione) e modelli successivi, iPad 2 e modelli successivi
Impatto: toccando un link di FaceTime in Mail potrebbe essere attivata una chiamata FaceTime audio senza richiesta.
Descrizione: Mail non ha consultato l'utente prima di lanciare gli URL facetime-audio://. Il problema è stato risolto con l'aggiunta di una richiesta di conferma.
CVE-ID
CVE-2013-6835: Guillaume Ross
Foundation
Disponibile per: iPhone 4s e modelli successivi, iPod touch (5a generazione) e modelli successivi, iPad 2 e modelli successivi
Impatto: un'applicazione che utilizza NSXMLParser potrebbe essere usata in modo scorretto per divulgare le informazioni.
Descrizione: si è verificato un problema di entità XML esterne nella gestione dei contenuti XML da parte di NSXMLParser. Il problema è stato risolto non caricando entità esterne tra le origini.
CVE-ID
CVE-2014-4374: George Gal di VSR (http://www.vsecurity.com/)
Home & Lock Screen
Disponibile per: iPhone 4s e modelli successivi, iPod touch (5a generazione) e modelli successivi, iPad 2 e modelli successivi
Impatto: un'app in background può determinare quale app è in primo piano.
Descrizione: l'API privata per determinare l'app in primo piano non disponeva di sufficiente controllo dell'accesso. Questo problema è stato risolto attraverso un ulteriore controllo dell'accesso.
CVE-ID
CVE-2014-4361: Andreas Kurtz di NESO Security Labs e Markus Troßbach della Heilbronn University
iMessage
Disponibile per: iPhone 4s e modelli successivi, iPod touch (5a generazione) e modelli successivi, iPad 2 e modelli successivi
Impatto: gli allegati potrebbero rimanere memorizzati dopo che il messaggio iMessage o MMS da cui provengono viene eliminato.
Descrizione: si è verificata una race condition nel modo in cui gli allegati venivano eliminati. Questo problema è stato risolto attraverso un ulteriore controllo per verificare se l'allegato è stato eliminato.
CVE-ID
CVE-2014-4353: Silviu Schiau
IOAcceleratorFamily
Disponibile per: iPhone 4s e modelli successivi, iPod touch (5a generazione) e modelli successivi, iPad 2 e modelli successiviImpatto: un'applicazione potrebbe causare la chiusura improvvisa dell'applicazione.Descrizione: si è verificato un problema di dereferenziazione del puntatore null nella gestione degli argomenti API con IOAcceleratorFamily. Il problema è stato risolto attraverso una migliore convalida degli argomenti API con IOAcceleratorFamily.CVE-IDCVE-2014-4369: Sarah aka winocm e Cererdlong di Alibaba Mobile Security Team
Impact: An application may cause an unexpected system termination
Description: A null pointer dereference existed in the handling of IOAcceleratorFamily API arguments. This issue was addressed through improved validation of IOAcceleratorFamily API arguments.
CVE-ID
CVE-2014-4369 : Sarah aka winocm and Cererdlong of Alibaba Mobile Security Team
Entry updated February 3, 2020
IOAcceleratorFamily
Disponibile per: iPhone 4s e modelli successivi, iPod touch (5a generazione) e modelli successivi, iPad 2 e modelli successivi
Impatto: il dispositivo potrebbe riavviarsi inaspettatamente.
Descrizione: si è verificato un problema relativo alla dereferenziazione del puntatore NULL nel driver IntelAccelerator. Questo problema è stato risolto attraverso una migliore gestione degli errori.
CVE-ID
CVE-2014-4373: cunzhang di Adlab of Venustech
IOHIDFamily
Disponibile per: iPhone 4s e modelli successivi, iPod touch (5a generazione) e modelli successivi, iPad 2 e modelli successivi
Impatto: un'applicazione pericolosa potrebbe leggere i puntatori kernel, che possono essere usati per ignorare la funzione Address Space Layout Randomization (ASLR).
Descrizione: si è verificato un problema di lettura non nei limiti nella gestione di una funzione IOHIDFamily. Il problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2014-4379: Ian Beer di Google Project Zero
IOHIDFamily
Disponibile per: iPhone 4s e modelli successivi, iPod touch (5a generazione) e modelli successivi, iPad 2 e modelli successivi
Impatto: un'applicazione dannosa potrebbe eseguire codice arbitrario con privilegi di sistema.
Descrizione: si è verificato un overflow del buffer della memoria heap nella gestione delle proprietà di mappatura dei tasti da parte di IOHIDFamily. Il problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2014-4404: Ian Beer di Google Project Zero
IOHIDFamily
Disponibile per: iPhone 4s e modelli successivi, iPod touch (5a generazione) e modelli successivi, iPad 2 e modelli successivi
Impatto: un'applicazione dannosa potrebbe eseguire codice arbitrario con privilegi di sistema.
Descrizione: si è verificato un problema relativo alla dereferenziazione del puntatore null nella gestione delle proprietà di mappatura dei tasti da parte di IOHIDFamily. Questo problema è stato risolto attraverso una migliore convalida delle proprietà di mappatura dei tasti di IOHIDFamily.
CVE-ID
CVE-2014-4405: Ian Beer di Google Project Zero
IOHIDFamily
Disponibile per: iPhone 4s e modelli successivi, iPod touch (5a generazione) e modelli successivi, iPad 2 e modelli successivi
Impatto: un'applicazione dannosa potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: si è verificato un problema di scrittura non nei limiti nell'estensione kernel di IOHIDFamily. Il problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2014-4380: cunzhang di Adlab of Venustech
IOKit
Disponibile per: iPhone 4s e modelli successivi, iPod touch (5a generazione) e modelli successivi, iPad 2 e modelli successivi
Impatto: un'applicazione dannosa potrebbe leggere dati non inizializzati dalla memoria kernel.
Descrizione: si è verificato un problema relativo all'accesso alla memoria non inizializzata nella gestione delle funzioni di IOKit. Il problema è stato risolto mediante una migliore inizializzazione della memoria
CVE-ID
CVE-2014-4407: @PanguTeam
IOKit
Disponibile per: iPhone 4s e modelli successivi, iPod touch (5a generazione) e modelli successivi, iPad 2 e modelli successivi
Impatto: un'applicazione dannosa potrebbe eseguire codice arbitrario con privilegi di sistema.
Descrizione: si è verificato un problema di convalida nella gestione di alcuni campi metadati di oggetti IODataQueue. Il problema è stato risolto attraverso una migliore convalida dei metadati.
CVE-ID
CVE-2014-4418: Ian Beer di Google Project Zero
IOKit
Disponibile per: iPhone 4s e modelli successivi, iPod touch (5a generazione) e modelli successivi, iPad 2 e modelli successivi
Impatto: un'applicazione dannosa potrebbe eseguire codice arbitrario con privilegi di sistema.
Descrizione: si è verificato un problema di convalida nella gestione di alcuni campi metadati di oggetti IODataQueue. Il problema è stato risolto attraverso una migliore convalida dei metadati.
CVE-ID
CVE-2014-4388: @PanguTeam
IOKit
Disponibile per: iPhone 4s e modelli successivi, iPod touch (5a generazione) e modelli successivi, iPad 2 e modelli successivi
Impatto: un'applicazione dannosa potrebbe eseguire codice arbitrario con privilegi di sistema.
Descrizione: si è verificato un overflow di numeri interi nella gestione delle funzioni di IOKit. Questo problema è stato risolto mediante una migliore convalida degli argomenti API con IOKit.
CVE-ID
CVE-2014-4389 : Ian Beer di Google Project Zero
Kernel
Disponibile per: iPhone 4s e modelli successivi, iPod touch (5a generazione) e modelli successivi, iPad 2 e modelli successivi
Impatto: un utente locale potrebbe determinare il layout della memoria del kernel.
Descrizione: si sono verificati diversi problemi relativi alla memoria non inizializzata nell'interfaccia delle statistiche di rete che comportavano la divulgazione dei contenuti della memoria del kernel. Questo problema è stato risolto attraverso un'ulteriore inizializzazione della memoria.
CVE-ID
CVE-2014-4371 : Fermin J. Serna del Google Security Team
CVE-2014-4419 : Fermin J. Serna del Google Security Team
CVE-2014-4420 : Fermin J. Serna del Google Security Team
CVE-2014-4421 : Fermin J. Serna del Google Security Team
Kernel
Disponibile per: iPhone 4s e modelli successivi, iPod touch (5a generazione) e modelli successivi, iPad 2 e modelli successivi
Impatto: un utente in una posizione privilegiata sulla rete potrebbe causare un'interruzione del servizio.
Descrizione: si è verificata una race condition nella gestione dei pacchetti IPv6. Questo problema è stato risolto attraverso un migliore controllo dello stato di blocco.
CVE-ID
CVE-2011-2391: Marc Heuse
Kernel
Disponibile per: iPhone 4s e modelli successivi, iPod touch (5a generazione) e modelli successivi, iPad 2 e modelli successivi
Impatto: un utente locale potrebbe riuscire a causare una chiusura improvvisa del sistema o l'esecuzione di codice arbitrario nel kernel.
Descrizione: si è verificato un problema relativo al double free nella gestione delle porte Mach. Questo problema è stato risolto attraverso una migliore convalida delle porte Mach.
CVE-ID
CVE-2014-4375: un ricercatore anonimo
Kernel
Disponibile per: iPhone 4s e modelli successivi, iPod touch (5a generazione) e modelli successivi, iPad 2 e modelli successivi
Impatto: un utente locale potrebbe riuscire a causare una chiusura improvvisa del sistema o l'esecuzione di codice arbitrario nel kernel.
Descrizione: si è verificato un problema di lettura non nei limiti in rt_setgate. che poteva comportare la divulgazione o il danneggiamento della memoria. Il problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2014-4408
Kernel
Disponibile per: iPhone 4s e modelli successivi, iPod touch (5a generazione) e modelli successivi, iPad 2 e modelli successivi
Impatto: alcune misure per l'hardening del kernel potrebbero essere ignorate.
Descrizione: il generatore del numero casuale usato in alcune misure per l'hardening del kernel in precedenza durante il processo di avvio non era protetto tramite codifica. e alcuni risultati erano desumibili dallo spazio dell'utente, permettendo di ignorare le misure per l'hardening. Questo problema è stato risolto usando un algoritmo protetto tramite codifica.
CVE-ID
CVE-2014-4422: Tarjei Mandt di Azimuth Security
Libnotify
Disponibile per: iPhone 4s e modelli successivi, iPod touch (5a generazione) e modelli successivi, iPad 2 e modelli successivi
Impatto: un'applicazione dannosa potrebbe eseguire codice arbitrario con privilegi root.
Descrizione: si è verificato un problema di scrittura non nei limiti in Libnotify. Il problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2014-4381: Ian Beer di Google Project Zero
Lockdown
Disponibile per: iPhone 4s e modelli successivi, iPod touch (5a generazione) e modelli successivi, iPad 2 e modelli successivi
Impatto: un dispositivo può essere manipolato per presentare in modo non corretto la schermata Home quando la funzionalità blocco attivazione è attiva sul dispositivo.
Descrizione: si è verificato un problema con lo sblocco che comportava la visualizzazione della schermata Home anche quando la funzionalità blocco attivazione era attiva. Questo problema è stato risolto modificando le informazioni verificate dal dispositivo durante una richiesta di sblocco.
CVE-ID
CVE-2014-1360
Mail
Disponibile per: iPhone 4s e modelli successivi, iPod touch (5a generazione) e modelli successivi, iPad 2 e modelli successivi
Impatto: le credenziali di accesso possono essere inviate senza codifica anche se il server ha indicato la funzionalità LOGINDISABLED IMAP.
Descrizione: Mail ha inviato il comando LOGIN ai server anche se questi avevano indicato la funzionalità LOGINDISABLED IMAP. Questo problema si verificava in genere quando ci si connetteva a server configurati per accettare connessioni non codificate e che indicano la funzionalità LOGINDISABLED IMAP. Questo problema è stato risolto rispettando la funzionalità LOGINDISABLED IMAP.
CVE-ID
CVE-2014-4366: Mark Crispin
Mail
Disponibile per: iPhone 4s e modelli successivi, iPod touch (5a generazione) e modelli successivi, iPad 2 e modelli successivi
Impatto: un individuo con accesso fisico a un dispositivo iOS potrebbe leggere gli allegati dei messaggi email.
Descrizione: si è verificato un problema logico nell'uso di Data Protection sugli allegati email da parte di Mail. Questo problema è stato risolto impostando correttamente la classe di Data Protection per gli allegati dei messaggi email.
CVE-ID
CVE-2014-1348: Andreas Kurtz di NESO Security Labs
Profiles
Disponibile per: iPhone 4s e modelli successivi, iPod touch (5a generazione) e modelli successivi, iPad 2 e modelli successivi
Impatto: Composizione vocale veniva abilitato inaspettatamente in seguito all'upgrade di iOS.
Descrizione: Composizione vocale veniva abilitato automaticamente in seguito all'aggiornamento di iOS. Il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-ID
CVE-2014-4367: Sven Heinemann
Safari
Disponibile per: iPhone 4s e modelli successivi, iPod touch (5a generazione) e modelli successivi, iPad 2 e modelli successivi
Impatto: le credenziali dell'utente potrebbero essere rivelate a un sito sconosciuto tramite la funzione di riempimento automatico.
Descrizione: Safari potrebbe inserire con la funzione di riempimento automatico i nomi e le password dell'utente in un subframe da un dominio diverso dal frame principale. Questo problema è stato risolto attraverso un migliore tracking delle origini.
CVE-ID
CVE-2013-5227: Niklas Malmgren di Klarna AB
Safari
Disponibile per: iPhone 4s e modelli successivi, iPod touch (5a generazione) e modelli successivi, iPad 2 e modelli successivi
Impatto: un utente malintenzionato in una posizione privilegiata sulla rete potrebbe intercettare le credenziali dell'utente.
Descrizione: le password salvate sono state inserite tramite la funzione di riempimento automatico sui siti http, sui siti https non affidabili e negli iframe. Questo problema è stato risolto limitando la funzione di riempimento automatico per le password al frame principale dei siti https con catene di certificati valide.
CVE-ID
CVE-2014-4363: David Silver, Suman Jana e Dan Boneh della Stanford University in collaborazione con Eric Chen e Collin Jackson della Carnegie Mellon University
Safari
Disponibile per: iPhone 4s e modelli successivi, iPod touch (5a generazione) e modelli successivi, iPad 2 e modelli successivi
Impatto: un utente malintenzionato in una posizione privilegiata sulla rete potrebbe eseguire lo spoofing degli URL su Safari.
Descrizione: si è verificata un'incoerenza dell'interfaccia utente in Safari sui dispositivi MDM abilitati. Questo problema è stato risolto migliorando le verifiche della coerenza dell'interfaccia utente.
CVE-ID
CVE-2014-8841: Angelo Prado di Salesforce Product Security
Sandbox Profiles
Disponibile per: iPhone 4s e modelli successivi, iPod touch (5a generazione) e modelli successivi, iPad 2 e modelli successivi
Impatto: app di terze parti possono accedere alle informazioni dell'ID Apple.
Descrizione: si è verificato un problema di divulgazione delle informazioni nella sandbox delle app di terze parti. Questo problema è stato risolto migliorando il profilo della sandbox di terze parti.
CVE-ID
CVE-2014-4362: Andreas Kurtz di NESO Security Labs e Markus Troßbach della Heilbronn University
Settings
Disponibile per: iPhone 4s e modelli successivi, iPod touch (5a generazione) e modelli successivi, iPad 2 e modelli successivi
Impatto: le anteprime dei messaggi di testo potrebbero essere visualizzate nel blocco schermo anche quando questa funzione è disabilitata.
Descrizione: si è verificato un problema nella visualizzazione in anteprima delle notifiche dei messaggi di testo nel blocco schermo. Di conseguenza, i contenuti dei messaggi ricevuti vengono visualizzati nel blocco schermo anche quando la funzione relativa alle anteprime è disabilitata in Impostazioni. Questo problema è stato risolto attraverso un migliore rispetto di questa configurazione.
CVE-ID
CVE-2014-4356: Mattia Schirinzi da San Pietro Vernotico (BR), Italy
syslog
Disponibile per: iPhone 4s e modelli successivi, iPod touch (5a generazione) e modelli successivi, iPad 2 e modelli successivi
Impatto: un utente locale potrebbe modificare i permessi relativi ai file arbitrari.
Descrizione: syslogd seguiva i link simbolici durante la modifica dei permessi relativi ai file. Questo problema è stato risolto attraverso una migliore gestione dei link simbolici.
CVE-ID
CVE-2014-4372: Tielei Wang e YeongJin Jang del Georgia Tech Information Security Center (GTISC)
Weather
Disponibile per: iPhone 4s e modelli successivi, iPod touch (5a generazione) e modelli successivi, iPad 2 e modelli successivi
Impatto: le informazioni di Localizzazione venivano inviate senza essere codificate.
Descrizione: si è verificato un problema di divulgazione delle informazioni in un'API usata per determinare il meteo locale. Questo problema è stato risolto cambiando le API.
WebKit
Disponibile per: iPhone 4s e modelli successivi, iPod touch (5a generazione) e modelli successivi, iPad 2 e modelli successivi
Impatto: un sito web dannoso potrebbe monitorare gli utenti anche quando è attiva la modalità di navigazione privata.
Descrizione: un'applicazione web è riuscita ad archiviare i dati della cache dell'applicazione HTML 5 durante la navigazione in modalità normale e in seguito a leggere i dati durante la navigazione in modalità privata. Questo problema è stato risolto disabilitando l'acceso alla cache dell'applicazione anche quando è attiva la modalità di navigazione privata.
CVE-ID
CVE-2014-4409: Yosuke Hasegawa (NetAgent Co., Led.)
WebKit
Disponibile per: iPhone 4s e successivi, iPod touch (5a generazione) e successivi, iPad 2 e successivi
Impatto: l'accesso a un sito web dannoso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verificavano diversi problemi di danneggiamento della memoria in WebKit, che sono stati risolti mediante una migliore gestione della memoria.
CVE-ID
CVE-2013-6663: Atte Kettunen di OUSPG
CVE-2014-1384: Apple
CVE-2014-1385: Apple
CVE-2014-1387: Google Chrome Security Team
CVE-2014-1388: Apple
CVE-2014-1389: Apple
CVE-2014-4410: Eric Seidel di Google
CVE-2014-4411: Google Chrome Security Team
CVE-2014-4412: Apple
CVE-2014-4413: Apple
CVE-2014-4414: Apple
CVE-2014-4415: Apple
Wi-Fi
Disponibile per: iPhone 4s e modelli successivi, iPod touch (5a generazione) e modelli successivi, iPad 2 e modelli successivi
Impatto: un dispositivo può essere monitorato passivamente attraverso l'indirizzo MAC Wi-Fi.
Descrizione: si è verificato un problema di divulgazione delle informazioni poiché era utilizzato un indirizzo MAC stabile per eseguire la scansione delle reti Wi-Fi. Questo problema è stato risolto tramite la randomizzazione dell'indirizzo MAC per le scansioni Wi-Fi passive.
Nota:
In iOS 8 sono incluse modifiche ad alcuni servizi di diagnostica. Per ulteriori dettagli consulta l'articolo https://support.apple.com/HT6331
iOS 8 consente ora ai dispositivi di rimuovere l'autorizzazione a tutti i computer autorizzati in precedenza. Sono disponibili istruzioni nell'articolo https://support.apple.com/HT5868
FaceTime non è disponibile in tutti i Paesi o in tutte le aree geografiche.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.