Informazioni sul contenuto di sicurezza di iOS 4.1 per iPhone e iPod touch
In questo documento viene descritto il contenuto di sicurezza di iOS 4.1 per iPhone e iPod touch.
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.
Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple leggi l'articolo "Come usare la chiave PGP per la sicurezza dei prodotti Apple".
Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.
Per informazioni su altri aggiornamenti di sicurezza consulta l'articolo "Aggiornamenti di sicurezza Apple".
iOS 4.1 per iPhone e iPod touch
Accessibilità
ID CVE: CVE-2010-1809
Disponibile per: iOS dalla versione 3.0 alla 4.0.2 per iPhone 3GS e versioni successive, iOS dalla versione 3.0 alla 4.0.2 per iPod touch (3a generazione)
Impatto: l'uso dei servizi di localizzazione da parte di un'applicazione potrebbe non essere segnalato tramite VoiceOver
Descrizione: si verifica un problema di accessibilità all'interfaccia utente nel pannello delle impostazioni dei servizi di localizzazione. VoiceOver non segnala la presenza dell'icona dei servizi di localizzazione visualizzata vicino a un'applicazione per cui è stata necessaria la localizzazione da parte dell'utente durante le ultime 24 ore. Questo problema viene risolto accertandosi che VoiceOver segnali la presenza dell'icona. Ringraziamo Robin Kipp di Forever Living Products Europe per aver segnalato il problema.
FaceTime
ID CVE: CVE-2010-1810
Disponibile per: iOS dalla versione 2.0 alla 4.0.2 per iPhone 3G e versioni successive, iOS 2.1 dalla versione 4.0.2 per iPod touch (2a generazione) e versioni successive
Impatto: un malintenzionato con una posizione privilegiata in rete potrebbe reindirizzare le chiamate FaceTime
Descrizione: un problema nella gestione di certificati non validi potrebbe consentire a un malintenzionato con una posizione privilegiata in rete di reindirizzare le chiamate FaceTime. Questo problema viene risolto attraverso una migliore gestione dei certificati. Ringraziamo Aaron Sigel di vtty.com per aver segnalato il problema.
ImageIO
ID CVE: CVE-2010-1811
Disponibile per: iOS dalla versione 2.0 alla 4.0.2 per iPhone 3G e versioni successive, iOS 2.1 dalla versione 4.0.2 per iPod touch (2a generazione) e versioni successive
Impatto: l'elaborazione di un'immagine TIFF pericolosa potrebbe causare una chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario
Descrizione: si verifica un problema di danneggiamento della memoria nella gestione delle immagini TIFF. L'elaborazione di un'immagine TIFF pericolosa potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto attraverso una migliore gestione delle immagini TIFF. Si ringrazia: Apple.
ImageIO
ID CVE: CVE-2010-1817
Disponibile per: iOS dalla versione 2.0 alla 4.0.2 per iPhone 3G e versioni successive, iOS 2.1 dalla versione 4.0.2 per iPod touch (2a generazione) e versioni successive
Impatto: l'elaborazione di un'immagine GIF pericolosa potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario
Descrizione: si verifica un overflow del buffer nella gestione delle immagini GIF. L'elaborazione di un'immagine GIF pericolosa potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto attraverso un migliore controllo dei limiti. Ringraziamo Tom Ferris di Adobe PSIRT per aver segnalato il problema.
WebKit
ID CVE: CVE-2010-1786
Disponibile per: iOS dalla versione 2.0 alla 4.0.2 per iPhone 3G e versioni successive, iOS 2.1 dalla versione 4.0.2 per iPod touch (2a generazione) e versioni successive
Impatto: l'accesso a un sito web dannoso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario
Descrizione: si verifica un problema di tipo use-after-free nella gestione degli elementi "foreignObject" dei documenti SVG da parte di WebKit. L'accesso a un sito web dannoso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto attraverso l'aggiunta di un'ulteriore convalida dei documenti SVG. Ringraziamo wushi di team509, collaboratore della Zero Day Initiative di TippingPoint, per aver segnalato il problema.
WebKit
ID CVE: CVE-2010-1770
Disponibile per: iOS dalla versione 2.0 alla 4.0.2 per iPhone 3G e versioni successive, iOS 2.1 dalla versione 4.0.2 per iPod touch (2a generazione) e versioni successive
Impatto: l'accesso a un sito web dannoso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario
Descrizione: si verifica un problema di controllo nella gestione dei nodi di testo da parte di WebKit. L'accesso a un sito web dannoso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto attraverso un migliore controllo dei tipi. Ringraziamo wushi di team509, collaboratore della Zero Day Initiative di TippingPoint, per aver segnalato il problema.
WebKit
ID CVE: CVE-2010-1785
Disponibile per: iOS dalla versione 2.0 alla 4.0.2 per iPhone 3G e versioni successive, iOS 2.1 dalla versione 4.0.2 per iPod touch (2a generazione) e versioni successive
Impatto: l'accesso a un sito web dannoso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario
Descrizione: si verifica un problema di accesso alla memoria non inizializzata nella gestione degli pseudo elementi ":first-letter" e ":first-line" degli elementi di testo SVG da parte di WebKit. L'accesso a un sito web dannoso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto eliminando il rendering degli pseudo elementi ":first-letter" o ":first-line" negli elementi di testo SVG. Ringraziamo wushi di team509, collaboratore della Zero Day Initiative di TippingPoint, per aver segnalato il problema.
WebKit
ID CVE: CVE-2010-1780
Disponibile per: iOS dalla versione 2.0 alla 4.0.2 per iPhone 3G e versioni successive, iOS 2.1 dalla versione 4.0.2 per iPod touch (2a generazione) e versioni successive
Impatto: l'accesso a un sito web dannoso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario
Descrizione: si verifica un problema di tipo utilizzo use-after-free nella gestione della messa a fuoco degli elementi da parte di WebKit. L'accesso a un sito web dannoso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto attraverso una migliore gestione della messa a fuoco degli elementi. Ringraziamo Tony Chang di Google Inc. per aver segnalato il problema.
WebKit
ID CVE: CVE-2010-1793
Disponibile per: iOS dalla versione 2.0 alla 4.0.2 per iPhone 3G e versioni successive, iOS 2.1 dalla versione 4.0.2 per iPod touch (2a generazione) e versioni successive
Impatto: l'accesso a un sito web dannoso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario
Descrizione: si verifica un problema di tipo utilizzo use-after-free nella gestione degli elementi "font-face" e "use" dei documenti SVG da parte di WebKit. L'accesso a un sito web dannoso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto attraverso una migliore gestione degli elementi "font-face" e "use" nei documenti SVG. Ringraziamo Aki Helin di OUSPG per aver segnalato il problema.
WebKit
ID CVE: CVE-2010-1421
Disponibile per: iOS dalla versione 2.0 alla 4.0.2 per iPhone 3G e versioni successive, iOS 2.1 dalla versione 4.0.2 per iPod touch (2a generazione) e versioni successive
Impatto: l'accesso a un sito web dannoso potrebbe modificare i contenuti degli appunti
Descrizione: si verifica un problema di progettazione nell'implementazione della funzione execCommand di JavaScript. Una pagina web pericolosa può modificare i contenuti degli appunti senza l'interazione dell'utente. Questo problema viene risolto consentendo ai comandi degli appunti di essere eseguiti solo se avviati dall'utente. Si ringrazia: Apple.
WebKit
ID CVE: CVE-2010-1422
Disponibile per: iOS dalla versione 2.0 alla 4.0.2 per iPhone 3G e versioni successive, iOS 2.1 dalla versione 4.0.2 per iPod touch (2a generazione) e versioni successive
Impatto: l'interazione con un sito web dannoso potrebbe causare attività impreviste su altri siti
Descrizione: si verifica un problema di implementazione nella gestione del punto focale da tastiera da parte di WebKit. Se il punto focale da tastiera varia durante l'elaborazione dei tasti premuti, WebKit potrebbe inviare un evento al frame appena attivato, anziché a quello attivo nel momento in cui sono stati premuti i tasti. Un sito web dannoso potrebbe indurre l'utente a compiere azioni indesiderate, ad esempio, iniziare una procedura di acquisto. Questo problema viene risolto impedendo l'invio di eventi generati dalla pressione dei tasti se il punto focale da tastiera varia durante l'elaborazione. Ringraziamo Michal Zalewski di Google Inc. per aver segnalato il problema.
WebKit
ID CVE: CVE-2010-1771
Disponibile per: iOS dalla versione 2.0 alla 4.0.2 per iPhone 3G e versioni successive, iOS 2.1 dalla versione 4.0.2 per iPod touch (2a generazione) e versioni successive
Impatto: l'accesso a un sito web dannoso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario
Descrizione: si verifica un problema di tipo use-after-free nella gestione dei font da parte di WebKit. L'accesso a un sito web dannoso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto attraverso una migliore gestione dei font. Si ringrazia: Apple.
WebKit
ID CVE: CVE-2010-1783
Disponibile per: iOS dalla versione 2.0 alla 4.0.2 per iPhone 3G e versioni successive, iOS 2.1 dalla versione 4.0.2 per iPod touch (2a generazione) e versioni successive
Impatto: l'accesso a un sito web dannoso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario
Descrizione: si verifica un problema di corruzione della memoria nella gestione delle modifiche dinamiche ai nodi di testo da parte di WebKit. L'accesso a un sito web dannoso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto attraverso una migliore gestione della memoria.
WebKit
ID CVE: CVE-2010-1764
Disponibile per: iOS dalla versione 2.0 alla 4.0.2 per iPhone 3G e versioni successive, iOS 2.1 dalla versione 4.0.2 per iPod touch (2a generazione) e versioni successive
Impatto: l'accesso a un sito web che reindirizza gli invii di moduli potrebbe comportare la divulgazione di informazioni
Descrizione: si verifica un problema di progettazione nella gestione dei reindirizzamenti HTTP da parte di WebKit. Quando l'invio di un modulo viene reindirizzato a un sito web che a sua volta subisce un reindirizzamento, è possibile che le informazioni contenute nel modulo inviato vengano inoltrate a un terzo sito. Questo problema viene risolto attraverso una migliore gestione dei reindirizzamenti HTTP. Ringraziamo Marc Worrell di WhatWebWhat per aver segnalato il problema.
WebKit
ID CVE: CVE-2010-1782
Disponibile per: iOS dalla versione 2.0 alla 4.0.2 per iPhone 3G e versioni successive, iOS 2.1 dalla versione 4.0.2 per iPod touch (2a generazione) e versioni successive
Impatto: l'accesso a un sito web dannoso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario
Descrizione: si verifica un problema di corruzione della memoria nella resa degli elementi incorporati da parte di WebKit. L'accesso a un sito web dannoso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto attraverso un migliore controllo dei limiti. Ringraziamo wushi di team509 per aver segnalato il problema.
WebKit
ID CVE: CVE-2010-1781
Disponibile per: iOS dalla versione 2.0 alla 4.0.2 per iPhone 3G e versioni successive, iOS 2.1 dalla versione 4.0.2 per iPod touch (2a generazione) e versioni successive
Impatto: l'accesso a un sito web dannoso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario
Descrizione: si verifica un problema di tipo double free nella resa degli elementi incorporati da parte di WebKit. L'accesso a un sito web dannoso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto attraverso una migliore gestione della memoria. Ringraziamo James Robinson di Google Inc. per aver segnalato il problema.
WebKit
ID CVE: CVE-2010-1784
Disponibile per: iOS dalla versione 2.0 alla 4.0.2 per iPhone 3G e versioni successive, iOS 2.1 dalla versione 4.0.2 per iPod touch (2a generazione) e versioni successive
Impatto: l'accesso a un sito web dannoso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario
Descrizione: si verifica un problema di corruzione della memoria nella gestione dei contatori CSS da parte di WebKit. L'accesso a un sito web dannoso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto attraverso una migliore gestione della memoria. Ringraziamo wushi di team509, collaboratore della Zero Day Initiative di TippingPoint, per aver segnalato il problema.
WebKit
ID CVE: CVE-2010-1787
Disponibile per: iOS dalla versione 2.0 alla 4.0.2 per iPhone 3G e versioni successive, iOS 2.1 dalla versione 4.0.2 per iPod touch (2a generazione) e versioni successive
Impatto: l'accesso a un sito web dannoso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario
Descrizione: si verifica un problema di corruzione della memoria nella gestione degli elementi mobili dei documenti SVG da parte di WebKit. L'accesso a un sito web dannoso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto attraverso una migliore gestione della memoria.
WebKit
ID CVE: CVE-2010-1791
Disponibile per: iOS dalla versione 2.0 alla 4.0.2 per iPhone 3G e versioni successive, iOS 2.1 dalla versione 4.0.2 per iPod touch (2a generazione) e versioni successive
Impatto: l'accesso a un sito web dannoso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario
Descrizione: si verifica un problema di signedness nella gestione delle matrici JavaScript da parte di WebKit. L'accesso a un sito web dannoso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto attraverso una migliore gestione degli indici di matrice JavaScript. Ringraziamo Natalie Silvanovich per aver segnalato il problema.
WebKit
ID CVE: CVE-2010-1788
Disponibile per: iOS dalla versione 2.0 alla 4.0.2 per iPhone 3G e versioni successive, iOS 2.1 dalla versione 4.0.2 per iPod touch (2a generazione) e versioni successive
Impatto: l'accesso a un sito web dannoso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario
Descrizione: si verifica un problema di corruzione della memoria nella gestione degli elementi "use" nei documenti SVG da parte di WebKit. L'accesso a un sito web dannoso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto attraverso una migliore gestione degli elementi "use" nei documenti SVG. Ringraziamo Justin Schuh di Google Inc. per aver segnalato il problema.
WebKit
ID CVE: CVE-2010-1812
Disponibile per: iOS dalla versione 2.0 alla 4.0.2 per iPhone 3G e versioni successive, iOS 2.1 dalla versione 4.0.2 per iPod touch (2a generazione) e versioni successive
Impatto: l'accesso a un sito web dannoso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario
Descrizione: si verifica un problema di tipo use-after-free nella gestione delle selezioni da parte di WebKit. L'accesso a un sito web dannoso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto attraverso una migliore gestione delle selezioni. Ringraziamo chipplyman per aver segnalato il problema.
WebKit
ID CVE: CVE-2010-1813
Disponibile per: iOS dalla versione 2.0 alla 4.0.2 per iPhone 3G e versioni successive, iOS 2.1 dalla versione 4.0.2 per iPod touch (2a generazione) e versioni successive
Impatto: l'accesso a un sito web dannoso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario
Descrizione: si verifica un problema di corruzione della memoria nella resa dei profili degli oggetti HTML da parte di WebKit. L'accesso a un sito web dannoso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto attraverso una migliore gestione della memoria. Ringraziamo Jose A. Vazquez di spa-s3c.blogspot.com per aver segnalato il problema.
WebKit
ID CVE: CVE-2010-1814
Disponibile per: iOS dalla versione 2.0 alla 4.0.2 per iPhone 3G e versioni successive, iOS 2.1 dalla versione 4.0.2 per iPod touch (2a generazione) e versioni successive
Impatto: l'accesso a un sito web dannoso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario
Descrizione: si verifica un problema di corruzione della memoria nella gestione dei menu dei moduli da parte di WebKit. L'accesso a un sito web dannoso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto attraverso una migliore gestione dei menu dei moduli. Ringraziamo Csaba Osztrogonac dell'Università di Szeged per aver segnalato il problema.
WebKit
ID CVE: CVE-2010-1815
Disponibile per: iOS dalla versione 2.0 alla 4.0.2 per iPhone 3G e versioni successive, iOS 2.1 dalla versione 4.0.2 per iPod touch (2a generazione) e versioni successive
Impatto: l'accesso a un sito web dannoso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario
Descrizione: si verifica un problema di tipo use-after-free nella gestione delle barre di scorrimento da parte di WebKit. L'accesso a un sito web dannoso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto attraverso una migliore gestione della memoria. Ringraziamo thabermann per aver segnalato il problema.
FaceTime non è disponibile in tutti i Paesi o in tutte le aree geografiche.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.