Informazioni sui contenuti di sicurezza dell'aggiornamento software iOS 4.2.7 per iPhone

In questo documento vengono descritti i contenuti di sicurezza di iOS 4.2.7.

In questo documento vengono descritti i contenuti di sicurezza dell'aggiornamento software iOS 4.2.7, che può essere scaricato e installato utilizzando iTunes.

Per proteggere la propria clientela, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Consulta il sito web dedicato alla sicurezza dei prodotti Apple per ulteriori informazioni in merito.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza consulta "Aggiornamenti di sicurezza Apple."

Aggiornamento software iOS 4.2.7 per iPhone

• Certificate Trust Policy

  Disponibile per: iOS da 4.2.5 a 4.2.6 per iPhone 4 (CDMA)

  Impatto: un utente malintenzionato con una posizione di rete privilegiata può intercettare le credenziali degli utenti o altre informazioni sensibili.

  Descrizione: più certificati SSL fraudolenti sono stati emessi da un'autorità di registrazione affiliata a Comodo. Ciò consentiva a un malintenzionato di portare a termine attacchi man-in-the-middle reindirizzando le connessioni e intercettando le credenziali utente o altre informazioni riservate. Questo problema è stato risolto inserendo nella lista nera i certificati fraudolenti.

  Nota: per i sistemi Mac OS X, questo problema è stato risolto con l'aggiornamento di sicurezza 2011-002. Per i sistemi Windows, Safari si avvale dell'archivio dei certificati del sistema operativo host per determinare se un certificato del server SSL è affidabile. Con l'aggiornamento descritto nell'articolo 2524375 della Microsoft Knowledge Base, Safari considererà questi certificati come non attendibili. L'articolo è disponibile alla pagina http://support.microsoft.com/kb/2524375

• QuickLook

  Disponibile per: iOS da 4.2.5 a 4.2.6 per iPhone 4 (CDMA)

  Impatto: la visualizzazione di un file Microsoft Office pericoloso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

  Descrizione: si verificava un problema di corruzione della memoria nella gestione dei file Microsoft Office da parte di QuickLook. La visualizzazione di un file Microsoft Office pericoloso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

  CVE-ID

  CVE-2011-1417: Charlie Miller e Dion Blazakis in collaborazione con Zero Day Initiative di TippingPoint

• WebKit

  Disponibile per: iOS da 4.2.5 a 4.2.6 per iPhone 4 (CDMA)

  Impatto: L'accesso a un sito web pericoloso può portare alla terminazione inattesa dell'applicazione o all'esecuzione di codice arbitrario.

  Descrizione: si verificava un problema di overflow dei numeri interi nella gestione dei nodeset. L’accesso a un sito web pericoloso può provocare la chiusura improvvisa delle applicazioni o l’esecuzione di codice arbitrario.

  CVE-ID

  CVE-2011-1290: Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp Weinmann e un ricercatore anonimo in collaborazione con Zero Day Initiative di TippingPoint

• WebKit

  Disponibile per: iOS da 4.2.5 a 4.2.6 per iPhone 4 (CDMA)

  Impatto: l'accesso a un sito web pericoloso può portare alla terminazione inattesa dell'applicazione o all'esecuzione di codice arbitrario.

  Descrizione: si verificava un problema use-after-free nella gestione dei nodi di testo. L’accesso a un sito web pericoloso può provocare la chiusura improvvisa delle applicazioni o l’esecuzione di codice arbitrario.

  CVE-ID

  CVE-2011-1344: Vupen Security in collaborazione con Zero Day Initiative di TippingPoint e Martin Barbella