Lingua

Informazioni sul contenuto di sicurezza di iOS 4.3

In questo documento viene descritto il contenuto di sicurezza di iOS 4.3.

In questo documento viene illustrato il contenuto di sicurezza di iOS 4.3, che può essere scaricato e installato tramite iTunes.

Per proteggere i propri clienti, Apple non divulga né contesta o conferma informazioni su alcun problema relativo alla sicurezza, finché non è stata eseguita un'indagine approfondita e non sono stati resi disponibili i necessari aggiornamenti e correzioni della versione. Per ulteriori informazioni consulta il sito Web sulla sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta l'articolo "Come usare la chiave PGP per la sicurezza dei prodotti Apple".

Ove possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni aggiuntive sugli aggiornamenti di sicurezza, consulta l'articolo "Aggiornamenti di sicurezza Apple".

iOS 4.3

  • CoreGraphics

    Disponibile per: iOS dalla versione 3.0 alla 4.2.1 per iPhone 3GS e versioni più recenti, iOS dalla versione 3.1 alla 4.2.1 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla 4.2.1 per iPad

    Impatto: diversi problemi di vulnerabilità in FreeType

    Descrizione: si verificano diversi problemi di vulnerabilità in FreeType, il più grave dei quali potrebbe causare l'esecuzione di codice arbitrario durante l'elaborazione di un font pericoloso. Questi problemi vengono risolti effettuando l'aggiornamento alla versione 2.4.3 di FreeType. Ulteriori informazioni sono disponibili sul sito Web di FreeType alla pagina http://www.freetype.org/.

    ID CVE

    CVE-2010-3855

  • ImageIO

    Disponibile per: iOS dalla versione 3.0 alla 4.2.1 per iPhone 3GS e versioni più recenti, iOS dalla versione 3.1 alla 4.2.1 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla 4.2.1 per iPad

    Impatto: l'apertura di un'immagine TIFF pericolosa può causare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un overflow del buffer nella gestione delle immagini TIFF codificate in JPEG di libTIFF. L'apertura di un'immagine TIFF pericolosa può causare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario.

    ID CVE

    CVE-2011-0191: Apple

  • ImageIO

    Disponibile per: iOS dalla versione 3.0 alla 4.2.1 per iPhone 3GS e versioni più recenti, iOS dalla versione 3.1 alla 4.2.1 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla 4.2.1 per iPad

    Impatto: l'apertura di un'immagine TIFF pericolosa può causare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario

    Descrizione: si verifica un overflow del buffer nella gestione delle immagini TIFF codificate in CCITT Group 4 di libTIFF. L'apertura di un'immagine TIFF pericolosa può causare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario.

    ID CVE

    CVE-2011-0192: Apple

  • libxml

    Disponibile per: iOS dalla versione 3.0 alla 4.2.1 per iPhone 3GS e versioni più recenti, iOS dalla versione 3.1 alla 4.2.1 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla 4.2.1 per iPad

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario

    Descrizione: nella gestione di espressioni XPath con libxml si verifica un problema di double free. L'accesso a un sito Web pericoloso potrebbe causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario.

    ID CVE

    CVE-2010-4494: Yang Dingning di NCNIPC, Università di Specializzazione dell'Accademia Cinese delle Scienze

  • Networking

    Disponibile per: iOS dalla versione 3.0 alla 4.2.1 per iPhone 3GS e versioni più recenti, iOS dalla versione 3.1 alla 4.2.1 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla 4.2.1 per iPad

    Impatto: un server potrebbe riuscire a individuare un dispositivo tra le connessioni

    Descrizione: l'indirizzo IPv6 scelto dal dispositivo contiene l'indirizzo MAC del dispositivo durante l'utilizzo dell'autoconfigurazione di indirizzo stateless (SLAAC). Un server con protocollo IPv6 abilitato, contattato dal dispositivo, può utilizzare l'indirizzo per rilevare il dispositivo tra le connessioni. Questo aggiornamento implementa l'estensione di IPv6 descritta in RFC 3041, aggiungendo un indirizzo casuale temporaneo utilizzato per le connessioni in uscita.

  • Safari

    Disponibile per: iOS dalla versione 3.0 alla 4.2.1 per iPhone 3GS e versioni più recenti, iOS dalla versione 3.1 alla 4.2.1 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla 4.2.1 per iPad

    Impatto: l'accesso a un sito Web pericoloso potrebbe forzare la chiusura di MobileSafari all'avvio

    Descrizione: un sito Web pericoloso potrebbe presentare contenuto Javascript che causa l'avvio ripetuto di un'altra applicazione sul dispositivo tramite il suo gestore di URL. L'accesso a questo sito pericoloso con MobileSafari potrebbe causarne la chiusura con l'avvio dell'applicazione di destinazione, generando una sequenza che si ripete a ogni apertura di MobileSafari. Questo problema viene risolto tornando alla pagina precedente al momento della riapertura Safari dopo l'avvio dell'altra applicazione tramite il suo gestore di URL.

    ID CVE

    CVE-2011-0158: Nitesh Dhanjani di Ernst & Young LLP

  • Safari

    Disponibile per: iOS dalla versione 4.0 alla 4.2.1 per iPhone 3GS e versioni più recenti, iOS dalla versione 4.0 alla 4.2.1 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 4.2 alla 4.2.1 per iPad

    Impatto: la cancellazione dei cookie tramite le impostazioni di Safari potrebbe non avere effetto

    Descrizione: talvolta, cancellare i cookie tramite le impostazioni di Safari mentre il programma è in esecuzione potrebbe non avere effetto. Questo problema viene risolto tramite una migliore gestione dei cookie e non ha effetti sui sistemi precedenti a iOS 4.0.

    ID CVE

    CVE-2011-0159: Erik Wong di Google Inc.

  • WebKit

    Disponibile per: iOS dalla versione 3.0 alla 4.2.1 per iPhone 3GS e versioni più recenti, iOS dalla versione 3.1 alla 4.2.1 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla 4.2.1 per iPad

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario

    Descrizione: in WebKit si verificano diversi problemi di corruzione della memoria. L'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    ID CVE

    CVE-2010-1792

    CVE-2010-1824: kuzzcc e wushi del team509, che collaborano con Zero Day Initiative di TippingPoint

    CVE-2011-0111: Sergey Glazunov

    CVE-2011-0112: Yuzo Fujishima di Google Inc.

    CVE-2011-0113: Andreas Kling di Nokia

    CVE-2011-0114: Chris Evans di Google Chrome Security Team

    CVE-2011-0115: J23, che collabora con Zero Day Initiative di TippingPoint ed Emil A Eklund di Google Inc.

    CVE-2011-0116: un ricercatore anonimo che collabora con Zero Day Initiative di TippingPoint

    CVE-2011-0117: Abhishek Arya (Inferno) di Google Inc.

    CVE-2011-0118: Abhishek Arya (Inferno) di Google Inc.

    CVE-2011-0119: Abhishek Arya (Inferno) di Google Inc.

    CVE-2011-0120: Abhishek Arya (Inferno) di Google Inc.

    CVE-2011-0121: Abhishek Arya (Inferno) di Google Inc.

    CVE-2011-0122: Slawomir Blazek

    CVE-2011-0123: Abhishek Arya (Inferno) di Google Inc.

    CVE-2011-0124: Yuzo Fujishima di Google Inc.

    CVE-2011-0125: Abhishek Arya (Inferno) di Google Inc.

    CVE-2011-0126: Mihai Parparita di Google Inc.

    CVE-2011-0127: Abhishek Arya (Inferno) di Google Inc.

    CVE-2011-0128: David Bloom

    CVE-2011-0129: Famlam

    CVE-2011-0130: Apple

    CVE-2011-0131: wushi del team509

    CVE-2011-0132: wushi del team509, che collabora con Zero Day Initiative di TippingPoint

    CVE-2011-0133: wushi del team509, che collabora con Zero Day Initiative di TippingPoint

    CVE-2011-0134: Jan Tosovsky

    CVE-2011-0135: segnalazione anonima

    CVE-2011-0136: Sergey Glazunov

    CVE-2011-0137: Sergey Glazunov

    CVE-2011-0138: kuzzcc

    CVE-2011-0140: Sergey Glazunov

    CVE-2011-0141: Chris Rohlf di Matasano Security

    CVE-2011-0142: Abhishek Arya (Inferno) di Google Inc.

    CVE-2011-0143: Slawomir Blazek e Sergey Glazunov

    CVE-2011-0144: Emil A Eklund di Google Inc.

    CVE-2011-0145: Abhishek Arya (Inferno) di Google Inc.

    CVE-2011-0146: Abhishek Arya (Inferno) di Google Inc.

    CVE-2011-0147: Dirk Schulze

    CVE-2011-0148: Michal Zalewski di Google Inc.

    CVE-2011-0149: wushi del team509, che collabora con Zero Day Initiative di TippingPoint e SkyLined di Google Chrome Security Team

    CVE-2011-0150: Michael Gundlach di safariadblock.com

    CVE-2011-0151: Abhishek Arya (Inferno) di Google Inc.

    CVE-2011-0152: SkyLined di Google Chrome Security Team

    CVE-2011-0153: Abhishek Arya (Inferno) di Google Inc.

    CVE-2011-0154: un ricercatore anonimo che collabora con Zero Day Initiative di TippingPoint

    CVE-2011-0155: Aki Helin di OUSPG

    CVE-2011-0156: Abhishek Arya (Inferno) di Google Inc.

    CVE-2011-0157: Benoit Jacob di Mozilla

    CVE-2011-0168: Sergey Glazunov

  • WebKit

    Disponibile per: iOS dalla versione 3.0 alla 4.2.1 per iPhone 3GS e versioni più recenti, iOS dalla versione 3.1 alla 4.2.1 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla 4.2.1 per iPad

    Impatto: le credenziali di autenticazione HTTP di base potrebbero essere inavvertitamente divulgate a un altro sito

    Descrizione: se un sito utilizza l'autenticazione HTTP di base con reindirizzamento a un altro sito, le credenziali di autenticazione potrebbero essere inviate all'altro sito. Questo problema viene risolto tramite una migliore gestione delle credenziali.

    ID CVE

    CVE-2011-0160: McIntosh Cooey di Twelve Hundred Group, Harald Hanche-Olsen, Chuck Hohn di 1111 Internet LLC che collabora con CERT e Paul Hinze di Braintree

  • WebKit

    Disponibile per: iOS dalla versione 3.0 alla 4.2.1 per iPhone 3GS e versioni più recenti, iOS dalla versione 3.1 alla 4.2.1 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla 4.2.1 per iPad

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare dichiarazioni di cross-site

    Descrizione: si verifica un problema di diverse origini nella gestione della funzione di accesso Attr. di WebKit. L'accesso a un sito Web pericoloso potrebbe permettere al sito di inserire CSS negli altri documenti. Questo problema viene risolto eliminando la funzione di accesso Attr.

    ID CVE

    CVE-2011-0161: Apple

  • WebKit

    Disponibile per: iOS dalla versione 3.0 alla 4.2.1 per iPhone 3GS e versioni più recenti, iOS dalla versione 3.1 alla 4.2.1 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla 4.2.1 per iPad

    Impatto: un sito Web pericoloso potrebbe riuscire a bloccare le richieste di determinate risorse da parte di altri siti

    Descrizione: esiste un problema di inquinamento della cache nella gestione delle risorse cache di WebKit. Un sito Web pericoloso potrebbe riuscire a bloccare le richieste di determinate risorse da parte di altri siti. Questo problema viene risolto tramite un migliore controllo dei tipi.

    ID CVE

    CVE-2011-0163: Apple

  • Wi-Fi

    Disponibile per: iOS dalla versione 3.0 alla 4.2.1 per iPhone 3GS e versioni più recenti, iOS dalla versione 3.1 alla 4.2.1 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla 4.2.1 per iPad

    Impatto: durante la connessione alla rete Wi-Fi, un malintenzionato connesso alla stessa rete potrebbe causare il ripristino di un dispositivo

    Descrizione: si verifica un problema di controllo dei limiti nella gestione dei frame Wi-Fi. Durante la connessione alla rete Wi-Fi, un malintenzionato connesso alla stessa rete potrebbe causare il ripristino di un dispositivo.

    ID CVE

    CVE-2011-0162: Scott Boyd di ePlus Technology Inc.

Importante: Le informazioni su prodotti non fabbricati da Apple vengono fornite solo a scopo informativo e non costituiscono raccomandazioni o approvazioni da parte di Apple. Per ulteriori informazioni, si prega di contattare il produttore.

Ultima modifica: 20-giu-2012
Utile?
No
  • Last Modified: 20-giu-2012
  • Article: HT4564
  • Views:

    null

Informazioni aggiuntive di supporto al prodotto