Informazioni sui contenuti di sicurezza di Aggiornamento v1.0.1 di iPhone

Questo documento descrive i contenuti di sicurezza di Aggiornamento v1.0.1 di iPhone, che può essere scaricato e installato tramite iTunes come descritto di seguito.

Per proteggere la propria clientela, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Consulta il sito web dedicato alla sicurezza dei prodotti Apple per ulteriori informazioni in merito.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta l’articolo “Come usare la chiave PGP per la sicurezza dei prodotti Apple”.

Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza consulta “Aggiornamenti di sicurezza Apple”.

Aggiornamento v1.0.1 di iPhone

Safari

CVE-ID: CVE-2007-2400

Disponibile per: iPhone v1.0

Impatto: l’accesso a un sito web pericoloso può attivare un attacco di tipo Cross-Site Scripting (CSS).

Descrizione: il modello di sicurezza di Safari impedisce a JavaScript nelle pagine web remote di modificare le pagine al di fuori del loro dominio. Una race condition nell’aggiornamento della pagina, combinata con il reindirizzamento HTTP, può consentire a JavaScript su una pagina di modificare una pagina reindirizzata. Ciò potrebbe consentire la lettura o la modifica arbitraria dei cookie e delle pagine. Questo aggiornamento risolve il problema correggendo il controllo dell’accesso alle proprietà della finestra. Ringraziamo Lawrence Lai, Stan Switzer e Ed Rowe di Adobe Systems, Inc. per aver segnalato questo problema.

Safari

CVE-ID: CVE-2007-3944

Disponibile per: iPhone v1.0

Impatto: la visualizzazione di una pagina web dannosa può causare l’esecuzione di codice arbitrario.

Descrizione: esistono overflow del buffer heap nella libreria di espressioni regolari compatibili con Perl (PCRE) utilizzata dal motore JavaScript in Safari. Inducendo un utente a visitare una pagina web dannosa, un utente malintenzionato può innescare il problema, che può causare l’esecuzione di codice arbitrario. Questo aggiornamento risolve il problema eseguendo un’ulteriore convalida delle espressioni regolari JavaScript. Ringraziamo Charlie Miller e Jake Honoroff di Independent Security Evaluators per aver segnalato questi problemi.

WebCore

CVE-ID: CVE-2007-2401

Disponibile per: iPhone v1.0

Impatto: l’accesso può attivare richieste di tipo Cross-Site.

Descrizione: esiste un problema di iniezione HTTP in XMLHttpRequest quando si serializzano le intestazioni in una richiesta HTTP. Inducendo un utente a visitare una pagina web dannosa, un utente malintenzionato potrebbe innescare un problema di Cross-Site Scripting. Questo aggiornamento risolve il problema eseguendo un’ulteriore convalida dei parametri delle intestazioni. Ringraziamo Richard Moore di Westpoint Ltd. per aver segnalato questo problema.

WebKit

CVE-ID: CVE-2007-3742

Disponibile per: iPhone v1.0

Impatto: un URL contenente caratteri simili può essere utilizzato per mascherare un sito web.

Descrizione il supporto di IDN (International Domain Name) e i caratteri Unicode incorporati in Safari possono essere utilizzati per creare un URL contenente caratteri simili. Questi URL possono essere utilizzati in un sito web pericoloso per indirizzare l’utente verso un sito fraudolento, ma di aspetto visivo simile a un dominio legittimo. Questo aggiornamento risolve il problema attraverso un migliore controllo della validità del nome di dominio. Ringraziamo Tomohito Yoshino di Business Architects Inc. per aver segnalato questo problema.

WebKit

CVE-ID: CVE-2007-2399

Disponibile per: iPhone v1.0

Impatto: l’accesso a un sito web pericoloso può provocare la chiusura improvvisa delle applicazioni o l’esecuzione di codice arbitrario.

Descrizione: una conversione di tipo non valida durante il rendering di set di frame può causare il danneggiamento della memoria. L’accesso a una pagina web pericolosa può provocare la chiusura improvvisa delle applicazioni o l’esecuzione di codice arbitrario. Ringraziamo Rhys Kidd di Westnet per aver segnalato questo problema.

Nota sull’installazione

Questo aggiornamento è disponibile solo tramite iTunes e non apparirà nell’applicazione Aggiornamento Software del tuo computer e nemmeno sul sito Download del supporto Apple. Verifica di disporre di una connessione a Internet e di aver installato la versione più recente di iTunes da (www.apple.com/it/itunes/).

iTunes verifica automaticamente il server di aggiornamento di Apple nella pianificazione settimanale. Quando rileva un aggiornamento lo scarica. Quando l’iPhone è inserito nel dock, iTunes offre all’utente la possibilità di installare l’aggiornamento. Consigliamo di applicare subito l’aggiornamento, se possibile. Se scegli di non installare l’aggiornamento, l’opzione ti viene ripresentata alla successiva connessione dell’iPhone. l processo di aggiornamento automatico può richiedere fino a una settimana, a seconda del giorno in cui iTunes verifica la disponibilità degli aggiornamenti.

È possibile effettuare manualmente l’aggiornamento con l’opzione “Verifica aggiornamenti” di iTunes. Dopo questa operazione è possibile applicare l’aggiornamento quando l’iPhone è collegato tramite dock al computer.

Per verificare che l’iPhone sia stato aggiornato:

  1. Vai a Impostazioni sull’iPhone.

  2. Fai clic su Generali.

  3. Fai clic su Informazioni. Dopo l’aggiornamento, la versione visualizzata è “1.0.1 (1C25)”.

Data di pubblicazione: