Informazioni sui contenuti di sicurezza dell'aggiornamento software iOS 4.3.2
In questo documento vengono descritti i contenuti di sicurezza dell'aggiornamento software iOS 4.3.2.
In questo articolo vengono descritti i contenuti di sicurezza dell'aggiornamento software iOS 4.3.2, che può essere scaricato e installato tramite iTunes.
Per proteggere la propria clientela, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Consulta il sito web dedicato alla sicurezza dei prodotti Apple per ulteriori informazioni in merito.
Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.
Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.
Per informazioni su altri aggiornamenti di sicurezza, consulta l'articolo che parla degli aggiornamenti di sicurezza Apple.
Aggiornamento software iOS 4.3.2
Certificate Trust Policy
Disponibile per: iOS da 3.0 a 4.3.1 per iPhone 3GS e successivi, iOS da 3.1 a 4.3.1 per iPod touch (3a generazione) e successivi, iOS da 3.2 a 4.3.1 per iPad
Impatto: un utente malintenzionato con una posizione privilegiata in rete può intercettare le credenziali dell'utente o altre informazioni riservate
Descrizione: più certificati SSL fraudolenti sono stati emessi da un'autorità di registrazione affiliata a Comodo. Ciò consentiva a un malintenzionato di portare a termine attacchi man-in-the-middle reindirizzando le connessioni e intercettando le credenziali utente o altre informazioni riservate. Il problema è stato risolto inserendo nella lista nera i certificati fraudolenti.
Nota: per i sistemi Mac OS X, il problema è stato risolto con l'aggiornamento di sicurezza 2011-002. Per i sistemi Windows, Safari si avvale dell'archivio dei certificati del sistema operativo host per determinare se un certificato del server SSL è affidabile. Con l'aggiornamento descritto nell'articolo 2524375 della Microsoft Knowledge Base, Safari considererà questi certificati come non attendibili. L'articolo è disponibile alla pagina http://support.microsoft.com/kb/2524375
libxslt
Disponibile per: iOS da 3.0 a 4.3.1 per iPhone 3GS e successivi, iOS da 3.1 a 4.3.1 per iPod touch (3a generazione) e successivi, iOS da 3.2 a 4.3.1 per iPad
Impatto: l'accesso a un sito web dannoso può comportare la divulgazione di indirizzi dell'heap
Descrizione: l'implementazione da parte di libxslt della funzione generate-id() Xpath ha divulgato l'indirizzo di un buffer dell'heap. L'accesso a un sito web dannoso può comportare la divulgazione di indirizzi dell'heap in grado di bypassare la protezione ASLR (Address Space Layout Randomization, casualizzazione dello spazio degli indirizzi). Il problema è stato risolto generando un ID basato sulla differenza tra gli indirizzi di due buffer dell'heap.
CVE-ID
CVE-2011-0195: Chris Evans del Google Chrome Security Team
QuickLook
Disponibile per: iOS da 3.0 a 4.3.1 per iPhone 3GS e successivi, iOS da 3.1 a 4.3.1 per iPod touch (3a generazione) e successivi, iOS da 3.2 a 4.3.1 per iPad
Impatto: la visualizzazione di un file Microsoft Office pericoloso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario
Descrizione: si verificava un problema di danneggiamento della memoria nella gestione con QuickLook dei file di Microsoft Office. La visualizzazione di un file Microsoft Office pericoloso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
CVE-ID
CVE-2011-1417: Charlie Miller e Dion Blazakis in collaborazione con Zero Day Initiative di TippingPoint
WebKit
Disponibile per: iOS da 3.0 a 4.3.1 per iPhone 3GS e successivi, iOS da 3.1 a 4.3.1 per iPod touch (3a generazione) e successivi, iOS da 3.2 a 4.3.1 per iPad
Impatto: l'accesso a un sito web pericoloso può provocare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario
Descrizione: si verificava un problema di overflow dei numeri interi nella gestione dei nodeset. L'accesso a un sito web pericoloso può provocare la chiusura improvvisa delle applicazioni o l’esecuzione di codice arbitrario.
CVE-ID
CVE-2011-1290: Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp Weinmann e un ricercatore anonimo in collaborazione con Zero Day Initiative di TippingPoint
WebKit
Disponibile per: iOS da 3.0 a 4.3.1 per iPhone 3GS e successivi, iOS da 3.1 a 4.3.1 per iPod touch (3a generazione) e successivi, iOS da 3.2 a 4.3.1 per iPad
Impatto: l'accesso a un sito web pericoloso può provocare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario
Descrizione: si verificava un problema use-after-free nella gestione dei nodi di testo. L'accesso a un sito web pericoloso può provocare la chiusura improvvisa delle applicazioni o l’esecuzione di codice arbitrario.
CVE-ID
CVE-2011-1344: Vupen Security in collaborazione con Zero Day Initiative di TippingPoint e Martin Barbella
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.