Lingua

Informazioni sul contenuto di sicurezza dell'aggiornamento del software di iOS 5

In questo documento viene descritto il contenuto di sicurezza di Aggiornamento Software di iOS 5.

In questo documento viene illustrato il contenuto di sicurezza dell'aggiornamento del software di iOS 5, che può essere scaricato e installato tramite iTunes.

Per proteggere i propri clienti, Apple non divulga né contesta o conferma informazioni su alcun problema relativo alla sicurezza, finché non è stata eseguita un'indagine approfondita e non sono stati resi disponibili i necessari aggiornamenti e correzioni della versione. Per ulteriori informazioni consulta il sito Web sulla sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta l'articolo "Come usare la chiave PGP per la sicurezza dei prodotti Apple".

Ove possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per ulteriori informazioni sugli aggiornamenti relativi alla sicurezza, leggi l'articolo "Aggiornamenti di sicurezza Apple."

Aggiornamento del software di iOS 5

  • CalDAV

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: un malintenzionato con una posizione privilegiata in rete potrebbe intercettare le credenziali dell'utente o altre informazioni riservate da un server di calendari CalDAV.

    Descrizione: CalDAV non ha verificato l'attendibilità del certificato SSL presentato dal server.

    ID CVE

    CVE-2011-3253: Leszek Tasiemski di nSense

  • Calendario

    Disponibile per: iOS dalla versione 4.2.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 4.2.0 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 4.2.0 alla versione 4.3.5 per iPad

    Impatto: la visualizzazione di un invito di calendario pericoloso può inserire script nel dominio locale.

    Descrizione: si è verificato un problema di inserimento di script nella gestione delle note all'invito di Calendario. Questo problema viene risolto tramite un migliore escape di caratteri speciali nelle note all'invito e non interessa i dispositivi con sistema operativo meno recente di iOS 4.2.0.

    ID CVE

    CVE-2011-3254: Rick Deacon

  • CFNetwork

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: la password dell'ID Apple dell'utente potrebbe permettere l'accesso a un file locale.

    Descrizione: la password e il nome dell'ID Apple di un utente hanno permesso l'accesso a un file leggibile da applicazioni sul sistema. Questo problema viene risolto evitando di usare tali credenziali per l'accesso.

    ID CVE

    CVE-2011-3255: Peter Quade di qdevelop

  • CFNetwork

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: visitare un sito Web pericoloso può comportare la divulgazione di dati sensibili.

    Descrizione: si è verificato un problema nella gestione dei cookie HTTP da parte di CFNetwork. Con l'accesso a URL HTTP o HTTPS pericolosi, CFNetwork potrebbe inviare erroneamente i cookie per un dominio a un server esterno al dominio stesso.

    ID CVE

    CVE-2011-3246: Erling Ellingsen di Facebook

  • CoreFoundation

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: l'accesso a un sito Web o a un messaggio di posta pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si è verificato un problema di corruzione della memoria nella gestione della tokenizzazione di stringhe da parte di CoreFoundation.

    ID CVE

    CVE-2011-0259: Apple

  • CoreGraphics

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: la visualizzazione di un documento con un font pericoloso incorporato può comportare l'esecuzione di codice arbitrario.

    Descrizione: si sono verificati più problemi di corruzione della memoria in freetype, il più grave dei quali ha causato l'esecuzione di codice arbitrario durante l'elaborazione di un font pericoloso.

    ID CVE

    CVE-2011-3256: Apple

  • CoreMedia

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: l'accesso a un sito Web pericoloso potrebbe comportare la divulgazione dei dati video da un altro sito.

    Descrizione: si è verificato un problema di origini diverse nella gestione dei reindirizzamenti cross-site da parte di CoreMedia. Questo problema viene risolto migliorando il tracking delle origini.

    ID CVE

    CVE-2011-0187: Nirankush Panchbhai e Microsoft Vulnerability Research (MSVR)

  • Accesso ai dati

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: un problema di gestione dei cookie per le e-mail di scambio potrebbe causare una sincronizzazione erronea dei dati tra i diversi account.

    Descrizione: quando sono configurati più account di scambio di e-mail collegati sullo stesso server, una sessione potrebbe potenzialmente ricevere un cookie valido corrispondente a un account diverso. Questo problema viene risolto assicurandosi che i cookie siano separati tra i diversi account.

    ID CVE

    CVE-2011-3257: Bob Sielken di IBM

  • Sicurezza dei dati

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: un malintenzionato con una posizione privilegiata in rete potrebbe intercettare le credenziali dell'utente o altre informazioni riservate.

    Descrizione: molte autorità di certificazione hanno emesso certificati falsificati operati da DigiNotar. Questo problema viene risolto rimuovendo DigiNotar dall'elenco dei certificati root attendibili e dall'elenco delle autorità di certificazione Convalida estesa e configurando le impostazioni di default per la verifica della fiducia del sistema, in modo da rendere attendibili i certificati DigiNotar, inclusi quelli emessi da altre autorità.

  • Sicurezza dei dati

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: il supporto per i certificati X.509 con hash MD5 può esporre gli utenti allo spoofing e alla divulgazione di informazioni man mano che gli attacchi vengono perfezionati.

    Descrizione: i certificati firmati che utilizzano l'algoritmo con hash MD5 sono stati accettati da iOS. Questo algoritmo ha dei punti di debolezza crittografici noti. Ulteriori ricerche o un'autorità di certificazione erroneamente configurata, possono disporre del criterio dei certificati X.509 con valori di attacco controllati resi attendibili dal sistema. Questi dispongono di protocolli basati su X.509 che possono essere esposti ad attacchi di spoofing, man in the middle e divulgazione delle informazioni. L'aggiornamento consente di supportare un certificato X.509 con hash MD5 per qualsiasi uso diverso da quello del certificato root attendibile.

    ID CVE

    CVE-2011-3427

  • Sicurezza dei dati

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: un malintenzionato potrebbe decriptare parte di una connessione SSL.

    Descrizione: erano supportate solo le versioni SSLv3 e TLS 1.0 di SSL. Quando viene utilizzata la crittografia a blocchi, tali versioni sono soggette a debolezze del protocollo. Un malintenzionato man-in-the-middle potrebbe aver inserito dati non validi, provocando la chiusura della connessione ma la visualizzazione di alcune informazioni relative ai dati precedenti. In caso di tentativi di connessione ripetuti, il malintenzionato potrebbe essere in grado di decrittografare i dati inviati, come ad esempio una password. Il problema viene risolto aggiungendo il supporto per TLS 1.2.

    ID CVE

    CVE-2011-3389

  • Schermata Home

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: il passaggio da un'applicazione all'altra potrebbe causare la divulgazione di informazioni sensibili relative alle applicazioni.

    Descrizione: quando si passa da un'applicazione all'altra tramite i gesti con quattro dita, lo schermo potrebbe mostrare lo stato dell'applicazione precedente. Questo problema viene risolto assicurandosi che il sistema richiami correttamente il metodo applicationWillResignActive: al momento della transizione tra applicazioni.

    ID CVE

    CVE-2011-3431: Abe White di Hedonic Software Inc.

  • ImageIO

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: l'apertura di un'immagine TIFF pericolosa può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un overflow del buffer nella gestione delle immagini TIFF codificate in CCITT Group 4 di libTIFF.

    ID CVE

    CVE-2011-0192: Apple

  • ImageIO

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: la visualizzazione di un'immagine TIFF pericolosa può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: un overflow del buffer di heap nella gestione delle immagini TIFF codificate in CCITT Group 4 di ImageIO.

    ID CVE

    CVE-2011-0241: Cyril CATTIAUX di Tessi Technologies

  • ICU (International Components for Unicode)

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: le applicazioni che usano ICU potrebbero essere soggette a chiusura improvvisa o a esecuzione di codice arbitrario.

    Descrizione: si è verificato un overflow del buffer nella generazione di chiavi di collazione da parte di ICU per lunghe stringhe di lettere per la maggior parte in maiuscolo.

    ID CVE

    CVE-2011-0206: David Bienvenu di Mozilla

  • Kernel

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: un malintenzionato collegato in remoto potrebbe causare la reinizializzazione del dispositivo.

    Descrizione: kernel non riuscito per recuperare immediatamente la memoria delle connessione TCP incomplete. Un malintenzionato in grado di connettersi a un servizio di ascolto di un dispositivo iOS potrebbe esaurire le risorse di sistema.

    ID CVE

    CVE-2011-3259: Wouter van der Veer di Topicus I&I e Josh Enders

  • Kernel

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: un utente locale potrebbe causare il ripristino del sistema.

    Descrizione: si è verificato un deferenziamento nella gestione delle opzioni socket IPV6.

    ID CVE

    CVE-2011-1132: Thomas Clement di Intego

  • Tastiere

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: un utente potrebbe essere in grado di rilevare informazioni sull'ultimo carattere di una password.

    Descrizione: la tastiera usata per digitare l'ultimo carattere di una password è stata visualizzata brevemente la volta successiva che essa è stata utilizzata.

    ID CVE

    CVE-2011-3245: Paul Mousdicas

  • libxml

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si è verificato un overflow del buffer di heap da 1 byte nella gestione dei dati XML da parte di libxml.

    ID CVE

    CVE-2011-0216: Billy Rios di Google Security Team

  • OfficeImport

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: la visualizzazione di un file Word pericoloso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si è verificato un overflow del buffer nella gestione dei documenti Microsoft Word da parte di OfficeImport.

    ID CVE

    CVE-2011-3260: Tobias Klein, collaboratore di Verisign iDefense Labs

  • OfficeImport

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: la visualizzazione di un file Excel pericoloso potrebbe provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si è verificato un problema di double free nella gestione dei file Excel da parte di OfficeImport.

    ID CVE

    CVE-2011-3261: Tobias Klein di www.trapkit.de

  • OfficeImport

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: il download di un file Microsoft Office pericoloso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si è verificato un problema di corruzione della memoria nella gestione dei file Microsoft Office da parte di OfficeImport.

    ID CVE

    CVE-2011-0208: Tobias Klein, collaboratore di iDefense VCP

  • OfficeImport

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: il download di un file Excel pericoloso potrebbe provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si è verificato un problema di corruzione della memoria nella gestione dei file Excel da parte di OfficeImport.

    ID CVE

    CVE-2011-0184: Tobias Klein, collaboratore di iDefense VCP

  • Safari

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: l'apertura di file pericolosi su determinati siti Web può causare un attacco allo scripting cross-site.

    Descrizione: iOS non ha supportato il valore di un "allegato" per l'intestazione Content-Disposition HTTP, impiegata da molti siti Web per utilizzare file che sono stati caricati sul sito da terze parti, come ad esempio gli allegati di applicazioni e-mail basate sul Web. Qualsiasi script presente in file forniti con questo valore di intestazione potrebbe essere eseguito come se il file fosse stato utilizzato in linea, con accesso completo alle altre risorse sul server di origine. Questo problema viene risolto caricando gli allegati da un'origine di sicurezza isolata senza accesso alle risorse su altri siti.

    ID CVE

    CVE-2011-3426: Christian Matthies, collaboratore di iDefense VCP, e Yoshinori Oota di Business Architects Inc, collaboratore di JP/CERT

  • Impostazioni

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: un malintenzionato con accesso fisico a un dispositivo potrebbe riuscire a recuperare il codice di accesso alle restrizioni.

    Descrizione: la funzione di restrizioni di censura impone limitazioni all'interfaccia utente. La configurazione delle restrizioni di censura è protetta da un codice di accesso, precedentemente archiviato come testo normale su disco. Questo problema viene risolto archiviando in sicurezza il codice di accesso alle restrizioni di censura nel portachiavi di sistema.

    ID CVE

    CVE-2011-3429: segnalazione anonima

  • Impostazioni

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: interfaccia utente fuorviante.

    Descrizione: le configurazioni e le impostazioni applicate tramite profili di configurazione apparentemente non funzionano correttamente in qualsiasi lingua non inglese. Le impostazioni quindi potrebbero essere visualizzate in modo non corretto. Questo problema viene risolto correggendo un problema di localizzazione.

    ID CVE

    CVE-2011-3430: Florian Kreitmaier di Siemens CERT

  • Avvisi UIKit

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare un blocco improvviso del dispositivo.

    Descrizione: un layout di testo di lunghezza massima eccessiva ha permesso a siti Web pericolosi di causare il blocco di iOS, nell'estrazione di finestra di dialogo di accettazione per URI tel:. Questo problema viene risolto utilizzando una dimensione massima degli URI più ragionevole.

    ID CVE

    CVE-2011-3432: Simon Young di Anglia Ruskin University

  • WebKit

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: in WebKit si sono verificati diversi problemi di corruzione della memoria.

    ID CVE

    CVE-2011-0218: SkyLined di Google Chrome Security Team

    CVE-2011-0221: Abhishek Arya (Inferno) di Google Chrome Security Team

    CVE-2011-0222: Nikita Tarakanov e Alex Bazhanyuk di CISS Research Team e Abhishek Arya (Inferno) di Google Chrome Security Team

    CVE-2011-0225: Abhishek Arya (Inferno) di Google Chrome Security Team

    CVE-2011-0232: J23, collaboratore della Zero Day Initiative di TippingPoint

    CVE-2011-0233: wushi del team509, collaboratore di Zero Day Initiative di TippingPoint

    CVE-2011-0234: Rob King e wushi di team509, collaboratori di Zero Day Initiative di TippingPoint

    CVE-2011-0235: Abhishek Arya (Inferno) di Google Chrome Security Team

    CVE-2011-0238: Adam Barth di Google Chrome Security Team

    CVE-2011-0254: un ricercatore anonimo, collaboratore della Zero Day Initiative di TippingPoint

    CVE-2011-0255: segnalazione anonima da un collaboratore della Zero Day Initiative di TippingPoint

    CVE-2011-0981: Rik Cabanier di Adobe Systems, Inc

    CVE-2011-0983: Martin Barbella

    CVE-2011-1109: Sergey Glazunov

    CVE-2011-1114: Martin Barbella

    CVE-2011-1115: Martin Barbella

    CVE-2011-1117: wushi di team509

    CVE-2011-1121: miaubiz

    CVE-2011-1188: Martin Barbella

    CVE-2011-1203: Sergey Glazunov

    CVE-2011-1204: Sergey Glazunov

    CVE-2011-1288: Andreas Kling di Nokia

    CVE-2011-1293: Sergey Glazunov

    CVE-2011-1296: Sergey Glazunov

    CVE-2011-1449: Marek Majkowski

    CVE-2011-1451: Sergey Glazunov

    CVE-2011-1453: wushi di team509, collaboratore di Zero Day Initiative di TippingPoint

    CVE-2011-1457: John Knottenbelt di Google

    CVE-2011-1462: wushi di team509

    CVE-2011-1797: wushi di team509

    CVE-2011-2338: Abhishek Arya (Inferno) di Google Chrome Security Team tramite AddressSanitizer

    CVE-2011-2339: Cris Neckar del Google Chrome Security Team

    CVE-2011-2341 : wushi di team509 in collaborazione con Verisign iDefense Labs

    CVE-2011-2351: miaubiz

    CVE-2011-2352: Apple

    CVE-2011-2354: Apple

    CVE-2011-2356: Adam Barth e Abhishek Arya del Google Chrome Security Team con AddressSanitizer

    CVE-2011-2359: miaubiz

    CVE-2011-2788: Mikolaj Malecki di Samsung

    CVE-2011-2790: miaubiz

    CVE-2011-2792: miaubiz

    CVE-2011-2797: miaubiz

    CVE-2011-2799: miaubiz

    CVE-2011-2809: Abhishek Arya (Inferno) di Google Chrome Security Team

    CVE-2011-2813: Cris Neckar di Google Chrome Security Team tramite AddressSanitizer

    CVE-2011-2814: Abhishek Arya (Inferno) di Google Chrome Security Team tramite AddressSanitizer

    CVE-2011-2816: Apple

    CVE-2011-2817: Abhishek Arya (Inferno) del Google Chrome Security Team con AddressSanitizer

    CVE-2011-2818: Martin Barbella

    CVE-2011-2820: Raman Tenneti e Philip Rogers di Google

    CVE-2011-2823: SkyLined del Google Chrome Security Team

    CVE-2011-2827: miaubiz

    CVE-2011-2831: Abhishek Arya (Inferno) del Google Chrome Security Team con AddressSanitizer

    CVE-2011-3232: Aki Helin di OUSPG

    CVE-2011-3234: miaubiz

    CVE-2011-3235: Dimitri Glazkov, Kent Tamura, Dominic Cooney della comunità di sviluppo Chromium e Abhishek Arya (Inferno) del Google Chrome Security Team

    CVE-2011-3236: Abhishek Arya (Inferno) del Google Chrome Security Team con AddressSanitizer

    CVE-2011-3237: Dimitri Glazkov, Kent Tamura e Dominic Cooney della community di sviluppo Chromium e Abhishek Arya (Inferno) di Google Chrome Security Team

    CVE-2011-3244: vkouchna

  • WebKit

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare un attacco di scripting cross-site.

    Descrizione: si è verificato un problema di diverse origini nella gestione di URL con un nome utente incorporato. Questo problema viene risolto tramite una migliore gestione degli URL con un nome utente incorporato.

    ID CVE

    CVE-2011-0242: Jobert Abma di Online24

  • WebKit

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare un attacco di scripting cross-site.

    Descrizione: si è verificato un problema di diverse origini nella gestione di nodi DOM.

    ID CVE

    CVE-2011-1295: Sergey Glazunov

  • WebKit

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: un sito Web pericoloso potrebbe causare la visualizzazione di un URL diverso nella barra degli indirizzi.

    Descrizione: si è verificato un attacco di spoofing degli URL nella gestione dell'oggetto della cronologia DOM.

    ID CVE

    CVE-2011-1107: Jordi Chancel

  • WebKit

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: l'accesso a un sito Web pericoloso può causare l'esecuzione di codice arbitrario.

    Descrizione: si è verificato un problema di configurazione nell'utilizzo di libxslt da parte di WebKit. L'accesso a un sito Web pericoloso potrebbe causare la creazione di file arbitrari con privilegi di un utente, che potrebbe provocare l'esecuzione di codice arbitrario. Questo problema viene risolto tramite una migliore gestione di libxslt.

    ID CVE

    CVE-2011-1774: Nicolas Gregoire di Agarri

  • WebKit

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: l'accesso a un sito Web pericoloso e il trascinamento dei contenuti nella pagina può provocare la divulgazione di informazioni.

    Descrizione: si verifica un problema di diverse origini nella gestione del trascinamento della sezione HTML5 di WebKit. Questo problema viene risolto non consentendo la funzione di trascinamento della sezione sulle diverse origini.

    ID CVE

    CVE-2011-0166: Michal Zalewski di Google Inc.

  • WebKit

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: l'accesso a un sito Web pericoloso potrebbe comportare la divulgazione di informazioni.

    Descrizione: si è verificato un problema di diverse origini nella gestione di Web Workers.

    ID CVE

    CVE-2011-1190: Daniel Divricean di divricean.ro

  • WebKit

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare un attacco di scripting cross-site.

    Descrizione: era presente un problema di origini diverse nella gestione del metodo window.open.

    ID CVE

    CVE-2011-2805: Sergey Glazunov

  • WebKit

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare un attacco di scripting cross-site.

    Descrizione: era presente un problema di origini diverse nella gestione delle finestre DOM inattive.

    ID CVE

    CVE-2011-3243: Sergey Glazunov

  • WebKit

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: l'accesso a un sito Web pericoloso potrebbe causare un attacco di scripting cross-site.

    Descrizione: era presente un problema di origini diverse nella gestione delle proprietà del documento documentURI.

    ID CVE

    CVE-2011-2819: Sergey Glazunov

  • WebKit

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: un sito Web pericoloso potrebbe essere in grado di tracciare gli URL che un utente visita all'interno di un frame.

    Descrizione: era presente un problema di origini diverse nella gestione dell'evento di beforeload.

    ID CVE

    CVE-2011-2800: Juho Nurminen

  • Wi-Fi

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: le credenziali per la connessione Wi-Fi potrebbero consentire l'accesso a un file locale.

    Descrizione: le credenziali per la connessione Wi-Fi, incluse la frase chiave e le chiavi di crittografia, hanno permesso l'accesso a un file leggibile da applicazioni sul sistema. Questo problema viene risolto evitando di usare tali credenziali per l'accesso.

    ID CVE

    CVE-2011-3434: Laurent OUDOT di TEHTRI Security

 

Importante: Le informazioni su prodotti non fabbricati da Apple vengono fornite solo a scopo informativo e non costituiscono raccomandazioni o approvazioni da parte di Apple. Per ulteriori informazioni, si prega di contattare il produttore.

Importante: Le citazioni di siti Web e prodotti di terze parti sono soltanto a scopo informativo e non costituiscono né una approvazione, né una raccomandazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all’utilizzo di informazioni o prodotti reperibili presso i siti Web di terze parti. Apple fornisce queste informazioni solo per comodità dei propri utenti. Apple non ha verificato le informazioni reperibili su questi siti e non esprime alcuna opinione in merito alla loro precisione o affidabilità. Esistono rischi inerenti l’utilizzo di informazioni o prodotti reperibili in Internet e Apple non si assume alcuna responsabilità al riguardo. Qualsiasi sito di terze parti è indipendente da Apple e Apple non esercita alcun controllo sul contenuto di tali siti Web. Per ulteriori informazioni, si prega di contattare il produttore.

Ultima modifica: 5-giu-2012
Utile?
No
Not helpful Somewhat helpful Helpful Very helpful Solved my problem
Stampa questa pagina
  • Ultima modifica: 5-giu-2012
  • Articolo: HT4999
  • Viste:

    517675
  • Classifica:
    • 72.0

    (12 risposte)

Informazioni aggiuntive di supporto al prodotto