Informazioni sul contenuto di sicurezza di iOS 6
Leggi di seguito le informazioni sul contenuto di sicurezza di iOS 6.
iOS 6 può essere scaricato e installato tramite iTunes.
In questo documento viene descritto il contenuto di sicurezza di iOS 6.
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.
Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple leggi l'articolo "Come usare la chiave PGP per la sicurezza dei prodotti Apple".
Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.
Per informazioni su altri aggiornamenti di sicurezza consulta "Aggiornamenti di sicurezza Apple".
iOS 6
CFNetwork
Disponibile per: iPhone 3GS e versioni più recenti, iPod touch (4a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: l'accesso a un sito web pericoloso potrebbe comportare la divulgazione di informazioni riservate.
Descrizione: si verifica un problema nella gestione di URL non corretti da parte di CFNetwork. CFNetwork poteva inviare richieste a un nome host non corretto, divulgando di conseguenza informazioni sensibili. Questo problema è stato risolto migliorando la gestione degli URL.
CVE-ID
CVE-2012-3724: Erling Ellingsen di Facebook
CoreGraphics
Disponibile per: iPhone 3GS e versioni più recenti, iPod touch (4a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: diverse vulnerabilità in FreeType.
Descrizione: erano presenti diverse vulnerabilità in FreeType, la più grave delle quali poteva causare l'esecuzione di codice arbitrario durante l'elaborazione di un font pericoloso. Questi problemi sono stati risolti con l'aggiornamento alla versione 2.4.9 di FreeType. Ulteriori informazioni sono disponibili sul sito web di FreeType alla pagina http://www.freetype.org/.
CVE-ID
CVE-2012-1126
CVE-2012-1127
CVE-2012-1128
CVE-2012-1129
CVE-2012-1130
CVE-2012-1131
CVE-2012-1132
CVE-2012-1133
CVE-2012-1134
CVE-2012-1135
CVE-2012-1136
CVE-2012-1137
CVE-2012-1138
CVE-2012-1139
CVE-2012-1140
CVE-2012-1141
CVE-2012-1142
CVE-2012-1143
CVE-2012-1144
CoreMedia
Disponibile per: iPhone 3GS e versioni più recenti, iPod touch (4a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: la visualizzazione di un file video pericoloso potrebbe provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verificava un problema di accesso alla memoria non inizializzata nella gestione dei filmati codificati di Sorenson. Questo problema è stato risolto mediante una migliore inizializzazione della memoria.
CVE-ID
CVE-2012-3722: Will Dormann di CERT/CC
DHCP
Disponibile per: iPhone 3GS e versioni più recenti, iPod touch (4a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: una rete Wi-Fi pericolosa potrebbe individuare le reti da cui un dispositivo ha precedentemente effettuato l'accesso.
Descrizione: connettendosi a una rete Wi-Fi, iOS poteva trasmettere gli indirizzi MAC delle reti a cui è stato effettuato l'accesso precedentemente tramite il protocollo DNAv4. Questo problema è stato risolto disattivando DNAv4 su reti Wi-Fi non crittografate.
CVE-ID
CVE-2012-3725: Mark Wuergler di Immunity, Inc.
ImageIO
Disponibile per: iPhone 3GS e versioni più recenti, iPod touch (4a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: la visualizzazione di un file TIFF pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verificava un overflow del buffer nella gestione di immagini TIFF codificate in ThunderScan. Questo problema è stato risolto aggiornando libtiff alla versione 3.9.5.
CVE-ID
CVE-2011-1167
ImageIO
Disponibile per: iPhone 3GS e versioni più recenti, iPod touch (4a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: l'apertura di un'immagine PNG pericolosa potrebbe causare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario.
Descrizione: si verificavano diversi problemi di corruzione della memoria nella gestione delle immagini PNG da parte di libpng. Questi problemi sono stati risolti mediante una migliore convalida delle immagini PNG.
CVE-ID
CVE-2011-3026: Jüri Aedla
CVE-2011-3048
CVE-2011-3328
ImageIO
Disponibile per: iPhone 3GS e versioni più recenti, iPod touch (4a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: la visualizzazione di un'immagine JPEG pericolosa potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verificava un problema di double free nella gestione di immagini JPEG. Questo problema viene risolto attraverso una migliore gestione della memoria.
CVE-ID
CVE-2012-3726: Phil di PKJE Consulting
ImageIO
Disponibile per: iPhone 3GS e versioni più recenti, iPod touch (4a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: la visualizzazione di un'immagine TIFF pericolosa potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verificava un problema di overflow di numero intero nella gestione delle immagini TIFF da parte di libTIFF. Questo problema è stato risolto mediante una migliore gestione delle immagini TIFF.
CVE-ID
CVE-2012-1173: Alexander Gavrun, collaboratore della Zero Day Initiative di HP
ICU (International Components for Unicode)
Disponibile per: iPhone 3GS e versioni più recenti, iPod touch (4a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: le applicazioni che usano ICU potrebbero essere soggette a chiusura improvvisa o a esecuzione di codice arbitrario.
Descrizione: si verifica un overflow del buffer di stack nella gestione degli ID locali di ICU. Questo problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2011-4599
IPSec
Disponibile per: iPhone 3GS e versioni più recenti, iPod touch (4a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: il caricamento di un file di configurazione racoon potrebbe causare l'esecuzione di codice arbitrario.
Descrizione: si verificava un overflow del buffer nella gestione di file di configurazione racoon. Questo problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-3727: Jailbreak Dream Team per iOS 2012
Kernel
Disponibile per: iPhone 3GS e versioni più recenti, iPod touch (4a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un utente locale potrebbe eseguire codici arbitrari con privilegi di sistema.
Descrizione: si verificava un problema di dereferenziazione a un puntatore invalido nella gestione di ioctls del filtro di pacchetto da parte del kernel. Ciò poteva consentire a un aggressore di alterare la memoria di kernel. Questo problema è stato risolto mediante una migliore gestione degli errori.
CVE-ID
CVE-3728: Jailbreak Dream Team per iOS 2012
Kernel
Disponibile per: iPhone 3GS e versioni più recenti, iPod touch (4a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un utente locale potrebbe determinare il layout della memoria di kernel.
Descrizione: si verificava un problema di accesso alla memoria non inizializzato nell'interprete del filtro di pacchetto Berkeley, che causava la divulgazione del contenuto della memoria. Questo problema è stato risolto mediante una migliore inizializzazione della memoria.
CVE-ID
CVE-2012-3729: Dan Rosenberg
libxml
Disponibile per: iPhone 3GS e versioni più recenti, iPod touch (4a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: l'accesso a una pagina web pericolosa potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verificavano diversi problemi di vulnerabilità in libxml, il più grave dei quali poteva causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questi problemi sono stati risolti applicando le relative patch upstream.
CVE-ID
CVE-2011-1944: Chris Evans del Google Chrome Security Team
CVE-2011-2821: Yang Dingning di NCNIPC, Università di Specializzazione dell'Accademia Cinese delle Scienze
CVE-2011-2834: Yang Dingning di NCNIPC, Università di Specializzazione dell'Accademia Cinese delle Scienze
CVE-2011-3919: Jüri Aedla
Mail
Disponibile per: iPhone 3GS e versioni più recenti, iPod touch (4a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: Mail potrebbe presentare l'allegato sbagliato in un messaggio.
Descrizione: si verificava un problema di logica nella gestione degli allegati da parte di Mail. Se l'allegato di un messaggio seguente utilizzava lo stesso ID contenuto di uno precedente, l'allegato precedente veniva visualizzato anche nel caso in cui 2 email fossero state inviate da mittenti diversi. Ciò poteva facilitare gli attacchi di spoofing o phishing. Questo problema è stato risolto mediante una migliore gestione degli allegati.
CVE-ID
CVE-2012-3730: Angelo Prado del salesforce.com Product Security Team
Mail
Disponibile per: iPhone 3GS e versioni più recenti, iPod touch (4a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: gli allegati delle email potrebbero essere letti senza il codice dell'utente.
Descrizione: si verificava un problema logico nell'uso di Data Protection sugli allegati email da parte di Mail. Questo problema è stato risolto impostando correttamente la classe di Data Protection per gli allegati dei messaggi email.
CVE-ID
CVE-2012-3731: Stephen Prairie di Travelers Insurance, Erich Stuntebeck di AirWatch
Mail
Disponibile per: iPhone 3GS e versioni più recenti, iPod touch (4a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un aggressore potrebbe eseguire lo spoofing del mittente di un messaggio firmato S/MIME.
Descrizione: i messaggi firmati S/MIME presentavano un indirizzo "Da" non affidabile, al posto del nome associato all'identità del mittente. Questo problema è stato risolto mostrando l'indirizzo associato all'identità del mittente, dove disponibile.
CVE-ID
CVE-2012-3732: Un ricercatore anonimo.
Messaggi
Disponibile per: iPhone 3GS e versioni più recenti, iPod touch (4a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un utente potrebbe divulgare involontariamente l'esistenza dei propri indirizzi email.
Descrizione: quando un utente disponeva di più indirizzi email associati a iMessage, la risposta a un messaggio poteva causare l'invio della stessa da un diverso indirizzo email. Ciò poteva causare la divulgazione di un altro indirizzo email associato all'account dell'utente. Questo problema è stato risolto rispondendo sempre dall'indirizzo email a cui il messaggio originale è stato inviato.
CVE-ID
CVE-2012-3733: Rodney S. Foley di Gnomesoft, LLC
Office Viewer
Disponibile per: iPhone 3GS e versioni più recenti, iPod touch (4a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: i dati di un documento non crittografato potrebbero essere scritti in un file temporaneo.
Descrizione: si verificava un problema di divulgazione di informazioni nel supporto per la visualizzazione dei file Microsoft Office. Quando veniva visualizzato un documento, Office Viewer generava un file temporaneo contenente i dati da tale documento su una directory temporanea del processo che lo richiedeva. Per un'applicazione che usa la protezione dei dati o altro tipo di crittografia per proteggere i file dell'utente, ciò poteva comportare la divulgazione delle informazioni. Questo problema è stato risolto evitando di creare file temporanei durante la visualizzazione di documenti Office.
CVE-ID
CVE-2012-3734: Salvatore Cataudella di Open Systems Technologies
OpenGL
Disponibile per: iPhone 3GS e versioni più recenti, iPod touch (4a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: le applicazioni che utilizzano l'implementazione di OpenGL per OS X potrebbero essere soggette a chiusura improvvisa o all'esecuzione di codice arbitrario.
Descrizione: si verificava un danneggiamento della memoria nella gestione della compilation GLSL. Questi problemi sono stati risolti mediante una migliore convalida degli shader GLSL.
CVE-ID
CVE-2011-3457: Chris Evans del Google Chrome Security Team e Marc Schoenefeld del Red Hat Security Response Team
Blocco con codice
Disponibile per: iPhone 3GS e versioni più recenti, iPod touch (4a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un individuo con accesso fisico al dispositivo potrebbe visualizzare per breve tempo l'ultima app di terze parti usata su un dispositivo bloccato.
Descrizione: si verificava un problema di logica con la visualizzazione dell'interruttore "spegni" sulla schermata di blocco. Questo problema è stato risolto migliorando la gestione dello stato di blocco.
CVE-ID
CVE-2012-3735: Chris Lawrence DBB
Blocco con codice
Disponibile per: iPhone 3GS e versioni più recenti, iPod touch (4a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un individuo con accesso fisico al dispositivo potrebbe evitare il blocco dello schermo.
Descrizione: si verificava un problema di logica nella terminazione delle chiamate con FaceTime dalla schermata di blocco. Questo problema è stato risolto migliorando la gestione dello stato di blocco.
CVE-ID
CVE-2012-3736: Ian Vitek di 2Secure AB
Blocco con codice
Disponibile per: iPhone 3GS e versioni più recenti, iPod touch (4a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: è possibile accedere a tutte le foto dalla schermata di blocco.
Descrizione: si verificava un problema di design nel supporto per la visualizzazione delle foto scattate sulla schermata di blocco. Per stabilire quali foto rendere accessibili, il blocco con codice faceva riferimento al momento in cui il dispositivo era stato bloccato e lo confrontava con il momento in cui la foto era stata scattata. Eseguendo lo spoofing nel periodo corrente, un aggressore poteva accedere alle foto scattate prima del blocco del dispositivo. Questi problemi sono stati risolti tenendo esplicitamente traccia delle foto scattate quando il dispositivo era bloccato.
CVE-ID
CVE-2012-3737: Ade Barkah di BlueWax Inc.
Blocco con codice
Disponibile per: iPhone 3GS e versioni più recenti, iPod touch (4a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un individuo con accesso fisico a un dispositivo bloccato potrebbe effettuare chiamate con FaceTime.
Descrizione: si verificava un problema di logica nella schermata Emergency Dialer, che consentiva di effettuare chiamate con FaceTime tramite Composizione vocale sul dispositivo bloccato. Ciò poteva inoltre causare la divulgazione dei contatti dell'utente tramite i suggerimenti di contatto. Questo problema è stato risolto disabilitando Composizione vocale sulla schermata Emergency Dialer
CVE-ID
CVE-2012-3738: Ade Barkah di BlueWax Inc.
Blocco con codice
Disponibile per: iPhone 3GS e versioni più recenti, iPod touch (4a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un individuo con accesso fisico al dispositivo potrebbe evitare il blocco dello schermo.
Descrizione: l'uso della fotocamera dal blocca schermo talvolta poteva interferire con la funzione di blocco, consentendo a un individuo con accesso fisico al dispositivo di superare la schermata Blocco con codice. Questo problema è stato risolto migliorando la gestione dello stato di blocco.
CVE-ID
CVE-2012-3739: Sebastian Spanninger del Austrian Federal Computing Centre (BRZ)
Blocco con codice
Disponibile per: iPhone 3GS e versioni più recenti, iPod touch (4a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un individuo con accesso fisico al dispositivo potrebbe evitare il blocco dello schermo.
Descrizione: si verificava un problema relativo alla gestione dello stato nella gestione del blocco schermo. Questo problema è stato risolto migliorando la gestione dello stato di blocco.
CVE-ID
CVE-2012-3740: Ian Vitek di 2Secure AB
Restrizioni
Disponibile per: iPhone 3GS e versioni più recenti, iPod touch (4a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un utente potrebbe effettuare acquisti senza immettere le credenziali dell'ID Apple.
Descrizione: dopo aver disabilitato le Restrizioni, iOS poteva non chiedere la password dell'utente durante una transazione. Questo problema è stato risolto applicando ulteriormente l'autorizzazione all'acquisto.
CVE-ID
CVE-2012-3741: Kevin Makens di Redwood High School
Safari
Disponibile per: iPhone 3GS e versioni più recenti, iPod touch (4a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: è possibile che nei titoli dei siti web siano usati caratteri con aspetto simile a quello dell'icona di blocco.
Descrizione: è possibile che nei siti web sia usato un carattere Unicode per creare un'icona di blocco nel titolo di pagina. Questa icona aveva un aspetto simile a quello dell'icona usata per indicare una connessione sicura e poteva portare l'utente a credere che fosse stata stabilita una connessione sicura. Questo problema è stato risolto rimuovendo questi caratteri dai titoli delle pagine.
CVE-ID
CVE-2012-3742: Boku Kihara di Lepidum
Safari
Disponibile per: iPhone 3GS e versioni più recenti, iPod touch (4a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: le password potrebbero autocompletarsi anche quando il sito specifica che l'autocompletamento dovrebbe essere disattivato.
Descrizione: alcuni elementi di input della password con l'attributo di autocompletamento impostato su "off" sono stati autocompletati. Questo problema è stato risolto attraverso una gestione migliorata dell'attributo di autocompletamento.
CVE-ID
CVE-2012-0680: Dan Poltawski di Moodle
Registri di sistema
Disponibile per: iPhone 3GS e versioni più recenti, iPod touch (4a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: le app sandbox potrebbero ricevere contenuto dal registro di sistema.
Descrizione: le app sandbox hanno avuto accesso di lettura alla directory /var/log, che poteva aver consentito loro di ottenere informazioni sensibili contenute nei registri di sistema. Questo problema è stato risolto negando alle app sandbox l'accesso alla directory /var/log.
CVE-ID
CVE-2012-3743
Telefonia
Disponibile per: iPhone 3GS e versioni più recenti, iPod touch (4a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un messaggio SMS potrebbe risultare inviato da un utente arbitrario.
Descrizione: i messaggi presentavano come mittente l'indirizzo per la risposta di un messaggio SMS. Gli indirizzi per la risposta potevano essere soggetti a spoofing. Questo problema è stato risolto mostrando sempre l'indirizzo di origine anziché l'indirizzo di risposta.
CVE-ID
CVE-2012-3744: pod2g
Telefonia
Disponibile per: iPhone 3GS e versioni più recenti, iPod touch (4a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un messaggio SMS potrebbe interrompere la connettività cellulare.
Descrizione: si verificava un overflow del buffer di off-by-one nella gestione delle intestazioni dei dati dell'utente nell'SMS. Questo problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2012-3745: pod2g
UIKit
Disponibile per: iPhone 3GS e versioni più recenti, iPod touch (4a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un aggressore che ottiene accesso al file system di un dispositivo potrebbe riuscire a leggere i file visualizzati in un UIWebView.
Descrizione: le applicazioni che usano UIWebView potevano lasciare non crittografati i file sul file system, anche quando è attivo un codice. Questo problema è stato risolto mediante l'uso migliorato della protezione dei dati.
CVE-ID
CVE-2012-3746: Ben Smith di Box
WebKit
Disponibile per: iPhone 3GS e versioni più recenti, iPod touch (4a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: l'accesso a un sito web dannoso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: sono stati rilevati diversi problemi di danneggiamento della memoria in WebKit. Questi problemi vengono risolti mediante una migliore gestione della memoria.
CVE-ID
CVE-2011-3016: miaubiz
CVE-2011-3021: Arthur Gerkis
CVE-2011-3027: miaubiz
CVE-2011-3032: Arthur Gerkis
CVE-2011-3034: Arthur Gerkis
CVE-2011-3035: wushi di team509, collaboratore di iDefense VCP, Arthur Gerkis
CVE-2011-3036: miaubiz
CVE-2011-3037: miaubiz
CVE-2011-3038: miaubiz
CVE-2011-3039: miaubiz
CVE-2011-3040: miaubiz
CVE-2011-3041: miaubiz
CVE-2011-3042: miaubiz
CVE-2011-3043: miaubiz
CVE-2011-3044: Arthur Gerkis
CVE-2011-3050: miaubiz
CVE-2011-3053: miaubiz
CVE-2011-3059: Arthur Gerkis
CVE-2011-3060: miaubiz
CVE-2011-3064: Atte Kettunen di OUSPG
CVE-2011-3068: miaubiz
CVE-2011-3069: miaubiz
CVE-2011-3071: pa_kt, collaboratore della Zero Day Initiative di HP
CVE-2011-3073: Arthur Gerkis
CVE-2011-3074: Slawomir Blazek
CVE-2011-3075: miaubiz
CVE-2011-3076: miaubiz
CVE-2011-3078: Martin Barbella del Google Chrome Security Team
CVE-2011-3081: miaubiz
CVE-2011-3086: Arthur Gerkis
CVE-2011-3089: Skylined del Google Chrome Security Team, miaubiz
CVE-2011-3090: Arthur Gerkis
CVE-2011-3105: miaubiz
CVE-2011-3913: Arthur Gerkis
CVE-2011-3924: Arthur Gerkis
CVE-2011-3926: Arthur Gerkis
CVE-2011-3958: miaubiz
CVE-2011-3966: Aki Helin di OUSPG
CVE-2011-3968: Arthur Gerkis
CVE-2011-3969: Arthur Gerkis
CVE-2011-3971: Arthur Gerkis
CVE-2012-0682: sicurezza dei prodotti Apple
CVE-2012-0683: Dave Mandelin di Mozilla
CVE-2012-1520: Martin Barbella del Google Chrome Security Team tramite AddressSanitizer, Jose A. Vazquez di spa-s3c.blogspot.com, collaboratore di iDefense VCP
CVE-2012-1521: Skylined del Google Chrome Security Team, Jose A. Vazquez di spa-s3c.blogspot.com, collaboratore di iDefense VCP
CVE-2012-2818: miaubiz
CVE-2012-3589: Dave Mandelin di Mozilla
CVE-2012-3590: sicurezza dei prodotti Apple
CVE-2012-3591: sicurezza dei prodotti Apple
CVE-2012-3592: sicurezza dei prodotti Apple
CVE-2012-3593: sicurezza dei prodotti Apple
CVE-2012-3594: miaubiz
CVE-2012-3595: Martin Barbella di Google Chrome Security
CVE-2012-3596: Skylined del Google Chrome Security Team
CVE-2012-3597: Abhishek Arya (Inferno) del Google Chrome Security Team
CVE-2012-3598: sicurezza dei prodotti Apple
CVE-2012-3599: Abhishek Arya (Inferno) del Google Chrome Security Team
CVE-2012-3600: David Levin della community di sviluppo di Chromium
CVE-2012-3601: Martin Barbella del Google Chrome Security Team tramite AddressSanitizer
CVE-2012-3602: miaubiz
CVE-2012-3603: sicurezza dei prodotti Apple
CVE-2012-3604: Skylined del Google Chrome Security Team
CVE-2012-3605: Cris Neckar del Google Chrome Security Team
CVE-2012-3608: Skylined del Google Chrome Security Team
CVE-2012-3609: Skylined del Google Chrome Security Team
CVE-2012-3610: Skylined del Google Chrome Security Team
CVE-2012-3611: sicurezza dei prodotti Apple
CVE-2012-3612: Skylined del Google Chrome Security Team
CVE-2012-3613: Abhishek Arya (Inferno) del Google Chrome Security Team
CVE-2012-3614: Yong Li di Research In Motion, Inc.
CVE-2012-3615: Stephen Chenney della community di sviluppo di Chromium
CVE-2012-3617: sicurezza dei prodotti Apple
CVE-2012-3618: Abhishek Arya (Inferno) del Google Chrome Security Team
CVE-2012-3620: Abhishek Arya (Inferno) del Google Chrome Security Team
CVE-2012-3624: Skylined del Google Chrome Security Team
CVE-2012-3625: Skylined del Google Chrome Security Team
CVE-2012-3626: sicurezza dei prodotti Apple
CVE-2012-3627: Skylined e Abhishek Arya (Inferno) del Google Chrome Security Team
CVE-2012-3628: sicurezza dei prodotti Apple
CVE-2012-3629: Abhishek Arya (Inferno) del Google Chrome Security Team
CVE-2012-3630: Abhishek Arya (Inferno) del Google Chrome Security Team
CVE-2012-3631: Abhishek Arya (Inferno) del Google Chrome Security Team
CVE-2012-3633: Martin Barbella del Google Chrome Security Team tramite AddressSanitizer
CVE-2012-3634: Martin Barbella del Google Chrome Security Team tramite AddressSanitizer
CVE-2012-3635: Martin Barbella del Google Chrome Security Team tramite AddressSanitizer
CVE-2012-3636: Martin Barbella del Google Chrome Security Team tramite AddressSanitizer
CVE-2012-3637: Martin Barbella del Google Chrome Security Team tramite AddressSanitizer
CVE-2012-3638: Martin Barbella del Google Chrome Security Team tramite AddressSanitizer
CVE-2012-3639: Martin Barbella del Google Chrome Security Team tramite AddressSanitizer
CVE-2012-3640: miaubiz
CVE-2012-3641: Slawomir Blazek
CVE-2012-3642: miaubiz
CVE-2012-3644: miaubiz
CVE-2012-3645: Martin Barbella del Google Chrome Security Team tramite AddressSanitizer
CVE-2012-3646: Julien Chaffraix della community di sviluppo di Chromium, Martin Barbella del Google Chrome Security Team tramite AddressSanitizer
CVE-2012-3647: Skylined del Google Chrome Security Team
CVE-2012-3648: Abhishek Arya (Inferno) del Google Chrome Security Team
CVE-2012-3651: Abhishek Arya (Inferno) e Martin Barbella del Google Chrome Security Team
CVE-2012-3652: Martin Barbella del Google Chrome Security Team
CVE-2012-3653: Martin Barbella del Google Chrome Security Team tramite AddressSanitizer
CVE-2012-3655: Skylined del Google Chrome Security Team
CVE-2012-3656: Abhishek Arya (Inferno) del Google Chrome Security Team
CVE-2012-3658: Apple
CVE-2012-3659: Mario Gomes di netfuzzer.blogspot.com, Abhishek Arya (Inferno) del Google Chrome Security Team
CVE-2012-3660: Abhishek Arya (Inferno) del Google Chrome Security Team
CVE-2012-3661: sicurezza dei prodotti Apple
CVE-2012-3663: Skylined del Google Chrome Security Team
CVE-2012-3664: Thomas Sepez della community di sviluppo di Chromium
CVE-2012-3665: Martin Barbella del Google Chrome Security Team tramite AddressSanitizer
CVE-2012-3666: Apple
CVE-2012-3667: Trevor Squires di propaneapp.com
CVE-2012-3668: sicurezza dei prodotti Apple
CVE-2012-3669: sicurezza dei prodotti Apple
CVE-2012-3670: Abhishek Arya (Inferno) del Google Chrome Security Team, Arthur Gerkis
CVE-2012-3671: Skylined e Martin Barbella del Google Chrome Security Team
CVE-2012-3672: Abhishek Arya (Inferno) del Google Chrome Security Team
CVE-2012-3673: Abhishek Arya (Inferno) del Google Chrome Security Team
CVE-2012-3674: Skylined del Google Chrome Security Team
CVE-2012-3676: Julien Chaffraix della community di sviluppo di Chromium
CVE-2012-3677: Apple
CVE-2012-3678: sicurezza dei prodotti Apple
CVE-2012-3679: Chris Leary di Mozilla
CVE-2012-3680: Skylined del Google Chrome Security Team
CVE-2012-3681: Apple
CVE-2012-3682: Adam Barth del Google Chrome Security Team
CVE-2012-3683: wushi di team509, collaboratore di iDefense VCP
CVE-2012-3684: kuzzcc
CVE-2012-3686: Robin Cao di Torch Mobile (Pechino)
CVE-2012-3703: sicurezza dei prodotti Apple
CVE-2012-3704: Skylined del Google Chrome Security Team
CVE-2012-3706: sicurezza dei prodotti Apple
CVE-2012-3708: Apple
CVE-2012-3710: James Robinson di Google
CVE-2012-3747: David Bloom di Cue
WebKit
Disponibile per: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3a generazione) e versioni più recenti, iPad, iPad 2
Impatto: l'accesso a un sito web pericoloso potrebbe causare la diffusione di informazioni cross-site.
Descrizione: si verificava un problema cross-origin nella gestione dei valori della proprietà del CSS. Questo problema è stato risolto migliorando il tracking delle origini.
CVE-ID
CVE-2012-3691: Apple
WebKit
Disponibile per: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3a generazione) e versioni più recenti, iPad, iPad 2
Impatto: un sito web pericoloso potrebbe essere in grado di sostituire i contenuti di un iframe in un altro sito.
Descrizione: si verificava un problema cross-origin nella gestione degli iframe nelle finestre popup. Questo problema è stato risolto migliorando il tracking delle origini.
CVE-ID
CVE-2011-3067: Sergey Glazunov
WebKit
Disponibile per: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3a generazione) e versioni più recenti, iPad, iPad 2
Impatto: l'accesso a un sito web pericoloso potrebbe causare la diffusione di informazioni cross-site.
Descrizione: si verificava un problema cross-origin nella gestione degli identificatori di iframe e frammenti. Questo problema è stato risolto migliorando il tracking delle origini.
CVE-ID
CVE-2012-2815: Elie Bursztein, Baptiste Gourdin, Gustav Rydstedt e Dan Boneh dello Stanford University Security Laboratory
WebKit
Disponibile per: iPhone 3GS e versioni più recenti, iPod touch (4a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: i caratteri simili di un URL potrebbero essere utilizzati per mascherare un sito web.
Descrizione: il supporto IDN (International Domain Name) e i caratteri Unicode integrati in Safari potevano essere stati utilizzati per creare un URL che contiene caratteri simili. Tali caratteri potevano essere stati utilizzati in un sito web pericoloso per indirizzare l'utente verso un sito fraudolento, ma dall'aspetto simile a un dominio legittimo. Questo problema è stato risolto inserendo nell'elenco di WebKit i caratteri simili noti. I caratteri simili sono visualizzati in Punycode nella barra dell'indirizzo.
CVE-ID
CVE-2012-3693: Matt Cooley di Symantec
WebKit
Disponibile per: iPhone 3GS e versioni più recenti, iPod touch (4a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: l'accesso a un sito web pericoloso potrebbe causare un attacco tramite script da altri siti.
Descrizione: si verificava un problema di canonicalizzazione nella gestione degli URL. Ciò poteva causare lo scripting cross-site in siti che utilizzano la proprietà location.href. Questo problema è stato risolto attraverso la canonicalizzazione migliorata degli URL.
CVE-ID
CVE-2012-3695: Masato Kinugawa
WebKit
Disponibile per: iPhone 3GS e versioni più recenti, iPod touch (4a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: l'accesso a un sito web pericoloso potrebbe comportare una divisione della richiesta HTTP.
Descrizione: si verificava un problema di immissione intestazione nella gestione di WebSockets. Questo problema è stato risolto migliorando la sanitizzazione di WebSockets URI.
CVE-ID
CVE-2012-3696: David Belcher del BlackBerry Security Incident Response Team
WebKit
Disponibile per: iPhone 3GS e versioni più recenti, iPod touch (4a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un sito web pericoloso potrebbe essere in grado di corrompere il valore nella barra degli URL.
Descrizione: si verificava un problema di gestione dello stato nella gestione della cronologia della sessione. Le navigazioni a un frammento della pagina corrente potevano causare, in Safari, la visualizzazione di informazioni non corrette nella barra degli URL. Questo problema è stato risolto migliorando la sessione di tracciamento dello stato.
CVE-ID
CVE-2011-2845: Jordi Chancel
WebKit
Disponibile per: iPhone 3GS e versioni più recenti, iPod touch (4a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: l'accesso a un sito web pericoloso potrebbe comportare la diffusione di contenuti della memoria.
Descrizione: si verificava un problema di accesso alla memoria non inizializzata nella gestione delle immagini SVG. Questo problema è stato risolto mediante una migliore inizializzazione della memoria.
CVE-ID
CVE-2012-3650: Apple
FaceTime non è disponibile in tutti i Paesi o in tutte le aree geografiche.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.