Informazioni sul contenuto di sicurezza di iOS 7.1.2
In questo documento viene descritto il contenuto di sicurezza di iOS 7.1.2.
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.
Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple leggi l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.
Quando possibile, vengono utilizzati ID CVE per fornire ulteriori informazioni sulle vulnerabilità.
Per informazioni su altri aggiornamenti di sicurezza consulta Aggiornamenti di sicurezza Apple.
iOS 7.1.2
Certificate Trust Policy
Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: è stato effettuato l'aggiornamento al Certificate Trust Policy.
Descrizione: il Certificate Trust Policy è stato aggiornato. Puoi visualizzare l'elenco completo dei certificati all'indirizzo http://support.apple.com/HT5012?v iewlocale=it_IT.
CoreGraphics
Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: la visualizzazione di un file XBM dannoso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: la gestione dei file XBM presentava un problema di allocazione dello stack illimitato. Questo problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2014-1354: Dima Kovalenko di codedigging.com
Kernel
Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un'applicazione potrebbe causare il riavvio improvviso del dispositivo.
Descrizione: la gestione degli argomenti API con IOKitsi presentava un problema di dereferenziazione del puntatore null. Questo problema è stato risolto attraverso la convalida aggiuntiva degli argomenti API con IOKit.
CVE-ID
CVE-2014-1355: cunzhang di Adlab di Venustech
launchd
Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un'applicazione dannosa potrebbe eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verificava un overflow del buffer di heap nella gestione da parte di launchd dei messaggi IPC. Questo problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2014-1356: Ian Beer di Google Project Zero
launchd
Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un'applicazione dannosa potrebbe eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verificava un overflow del buffer di heap nella gestione da parte di launchd dei messaggi di resoconto. Questo problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2014-1357: Ian Beer di Google Project Zero
launchd
Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un'applicazione dannosa potrebbe eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verificava un overflow di valori integer in launchd. Questo problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2014-1358: Ian Beer di Google Project Zero
launchd
Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un'applicazione dannosa potrebbe eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verificava un underflow di valori integer in launchd. Questo problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2014-1359: Ian Beer di Google Project Zero
Lockdownd
Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un malintenzionato in possesso di un dispositivo iOS potrebbe potenzialmente superare il blocco attivazione.
Descrizione: i dispositivi eseguivano controlli incompleti durante l'attivazione, consentendo ai malintenzionati di superare parzialmente il blocco attivazione. Questo problema è stato risolto aggiungendo una verifica lato client dei dati ricevuti dai server di attivazione.
CVE-ID
CVE-2014-1360
Blocco schermo
Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un malintenzionato in possesso di un dispositivo potrebbe superare il numero massimo consentito di tentativi falliti di inserimento del codice.
Descrizione: in alcune circostanze il limite relativo al numero massimo consentito di tentativi falliti di inserimento del codice non veniva applicato. Questo problema è stato risolto attraverso ulteriori misure di applicazione del limite.
CVE-ID
CVE-2014-1352: mblsec
Blocco schermo
Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un individuo con accesso fisico al dispositivo bloccato potrebbe essere in grado di accedere all'applicazione che si trovava in primo piano prima del blocco.
Descrizione: si verificava un problema relativo alla gestione dello stato nella gestione dello stato di telefonia durante la modalità Uso in aereo. Questo problema è stato risolto attraverso una migliore gestione dello stato durante la modalità Uso in aereo.
CVE-ID
CVE-2014-1353
Mail
Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: gli allegati di posta possono essere estratti da un iPhone 4.
Descrizione: la protezione dei dati non era attivata per gli allegati di posta, rendendone possibile la lettura a un malintenzionato con accesso fisico al dispositivo. Questo problema è stato risolto modificando la classe di codifica degli allegati di posta.
CVE-ID
CVE-2014-1348: Andreas Kurtz di NESO Security Labs
Safari
Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: l'accesso a un sito web dannoso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verificava un problema di tipo "use-after-free" nella gestione degli URL non validi in Safari. Questo problema è stato risolto attraverso una migliore gestione della memoria.
CVE-ID
CVE-2014-1349: Reno Robert e Dhanesh Kizhakkinan
Impostazioni
Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un individuo con accesso fisico al dispositivo potrebbe riuscire a disabilitare Trova il mio iPhone senza immettere una password iCloud.
Descrizione: si verificava un problema nella gestione dello stato di Trova il mio iPhone. Questo problema è stato risolto migliorando la gestione dello stato di Trova il mio iPhone.
CVE-ID
CVE-2014-1350
Secure Transport
Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: due byte di memoria non inizializzata potrebbero essere trasmessi a un utente malintenzionato remoto.
Descrizione: si verificava un problema relativo all'accesso alla memoria non inizializzata nella gestione dei messaggi DTLS in una connessione TLS. Questo problema è stato risolto accettando solo i messaggi DTLS in una connessione DTLS.
CVE-ID
CVE-2014-1361: Thijs Alkemade di The Adium Project
Siri
Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad (3a generazione) e versioni più recenti
Impatto: un individuo con accesso fisico al telefono potrebbe riuscire a visualizzare tutti i contatti.
Descrizione: se una richiesta eseguita a Siri riguarda uno di molti contatti, Siri visualizza un elenco di scelte possibili e l'opzione "Altri" che consente di visualizzare l'elenco completo dei contatti. Se Siri viene utilizzato con il Blocco schermo, non richiede l'inserimento del codice per visualizzare l'elenco completo dei contatti. Questo problema è stato risolto chiedendo l'inserimento del codice.
CVE-ID
CVE-2014-1351: Sherif Hashim
WebKit
Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: l'accesso a un sito web dannoso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: sono stati rilevati diversi problemi di danneggiamento della memoria in WebKit. Questi problemi sono stati risolti mediante una migliore gestione della memoria.
CVE-ID
CVE-2013-2875: miaubiz
CVE-2013-2927: cloudfuzzer
CVE-2014-1323: banty
CVE-2014-1325: Apple
CVE-2014-1326: Apple
CVE-2014-1327: Google Chrome Security Team, Apple
CVE-2014-1329: Google Chrome Security Team
CVE-2014-1330: Google Chrome Security Team
CVE-2014-1331: cloudfuzzer
CVE-2014-1333: Google Chrome Security Team
CVE-2014-1334: Apple
CVE-2014-1335: Google Chrome Security Team
CVE-2014-1336: Apple
CVE-2014-1337: Apple
CVE-2014-1338: Google Chrome Security Team
CVE-2014-1339: Atte Kettunen di OUSPG
CVE-2014-1341: Google Chrome Security Team
CVE-2014-1342: Apple
CVE-2014-1343: Google Chrome Security Team
CVE-2014-1362: Apple, miaubiz
CVE-2014-1363: Apple
CVE-2014-1364: Apple
CVE-2014-1365: Apple, Google Chrome Security Team
CVE-2014-1366: Apple
CVE-2014-1367: Apple
CVE-2014-1368: Wushi del Keen Team (team di ricerca di Keen Cloud Tech)
CVE-2014-1382: Renata Hodovan dell'Università di Szeged/Samsung Electronics
CVE-2014-1731: un membro anonimo della community di sviluppo di Blink
WebKit
Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un sito pericoloso può inviare messaggi a un riquadro connesso o a una finestra connessa in modo da poter eludere la verifica dell'origine del destinatario.
Descrizione: è stato rilevato un problema relativo alla codifica nella gestione dei caratteri Unicode negli URL. Un URL nocivo poteva comportare l'invio di un'origine postMessage scorretta. Questo problema è stato risolto attraverso una migliore codifica/decodifica.
CVE-ID
CVE-2014-1346: Erling Ellingsen di Facebook
WebKit
Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un sito dannoso potrebbe visualizzare un nome di dominio contraffatto nella barra degli indirizzi.
Descrizione: esisteva un problema di spoofing nella gestione degli URL. Questo problema è stato risolto migliorando la codifica degli URL.
CVE-ID
CVE-2014-1345: Erling Ellingsen di Facebook
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.