Informazioni sui contenuti di sicurezza di iOS 9.1
In questo documento vengono descritti i contenuti di sicurezza di iOS 9.1.
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni, consulta il sito web Sicurezza dei prodotti Apple.
Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, leggi l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.
Quando possibile, vengono utilizzati ID CVE per fornire ulteriori informazioni sulle vulnerabilità.
Per informazioni su altri aggiornamenti di sicurezza, consulta Aggiornamenti di sicurezza Apple.
iOS 9.1
Framework Accelerate
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: l'accesso a un sito web pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema di danneggiamento della memoria nella modalità multi-threading del framework Accelerate. Questo problema viene risolto attraverso una migliore convalida dell'elemento della funzione di accesso e un migliore blocco degli oggetti.
ID CVE
CVE-2015-5940: Apple
Bom
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: l'estrazione di un archivio pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: è presente una vulnerabilità trasversale dei file nella gestione degli archivi CPIO. Questo problema viene risolto attraverso una migliore convalida dei metadati.
ID CVE
CVE-2015-7006: Mark Dowd di Azimuth Security
CFNetwork
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: l'accesso a un sito web pericoloso può causare la sovrascrittura dei cookie.
Descrizione: si verifica un problema relativo all'analisi durante la gestione dei cookie con caratteri maiuscoli e minuscoli diversi. Questo problema viene risolto attraverso una migliore analisi.
ID CVE
CVE-2015-7023: Marvin Scholz e Michael Lutonsky; Xiaofeng Zheng e Jinjin Liang dell'Università Tsinghua, Jian Jiang dell'Università della California, Berkeley, Haixin Duan dell'Università Tsinghua e dell'International Computer Science Institute, Shuo Chen del Microsoft Research di Redmond, Tao Wan di Huawei Canada, Nicholas Weaver dell'International Computer Science Institute e dell'Università della California, Berkeley, coordinati tramite CERT/CC
configd
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un'applicazione pericolosa può elevare i privilegi.
Descrizione: si verifica un overflow del buffer basato su heap nella libreria del client DNS. Un'applicazione pericolosa con la capacità di eseguire lo spoofing delle risposte del servizio configd locale può causare l'esecuzione di codice arbitrario nei client DNS.
ID CVE
CVE-2015-7015: PanguTeam
CoreGraphics
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: l'accesso a un sito web pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: si verificano diversi problemi di danneggiamento della memoria in CoreGraphics. Questi problemi vengono risolti attraverso una migliore gestione della memoria.
ID CVE
CVE-2015-5925: Apple
CVE-2015-5926: Apple
CoreText
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: l'elaborazione di un file di font pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: si verificano diversi problemi di danneggiamento della memoria nella gestione dei file di font. Questi problemi vengono risolti attraverso un migliore controllo dei limiti.
ID CVE
CVE-2015-6975: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-6992: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-7017: John Villamil (@day6reak), Yahoo Pentest Team
Immagini del disco
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verifica un problema di danneggiamento della memoria nell'analisi delle immagini del disco. Questo problema viene risolto mediante una migliore gestione della memoria.
ID CVE
CVE-2015-6995: Ian Beer di Google Project Zero
FontParser
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: l'elaborazione di un file di font pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: si verificano diversi problemi di danneggiamento della memoria nella gestione dei file di font. Questi problemi vengono risolti attraverso un migliore controllo dei limiti.
ID CVE
CVE-2015-5927: Apple
CVE-2015-5942
CVE-2015-6976: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-6977: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-6978: Jaanus Kp, Clarified Security, collaboratore della Zero Day Initiative di HP
CVE-2015-6990: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-6991: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-6993: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-7008: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-7009: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-7010: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-7018: John Villamil (@day6reak), Yahoo Pentest Team
GasGauge
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi kernel.
Descrizione: si verifica un problema di danneggiamento della memoria nel kernel. Questo problema viene risolto attraverso una migliore gestione della memoria.
ID CVE
CVE-2015-6979: PanguTeam
Grand Central Dispatch
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: l'elaborazione di un pacchetto pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema di danneggiamento della memoria durante la gestione delle chiamate del dispatch. Questo problema viene risolto attraverso una migliore gestione della memoria.
ID CVE
CVE-2015-6989: Apple
Driver della scheda grafica
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: l'esecuzione di un'applicazione pericolosa può causare l'esecuzione di codice arbitrario nel kernel.
Descrizione: si verifica un problema di confusione dei tipi in AppleVXD393. Questo problema viene risolto attraverso una migliore gestione della memoria.
ID CVE
CVE-2015-6986: Proteas di Qihoo 360 Nirvan Team
ImageIO
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: la visualizzazione di un file immagine pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: si verificano diversi problemi di danneggiamento della memoria nella gestione dei metadati di immagine. Questi problemi vengono risolti attraverso una migliore convalida dei metadati.
ID CVE
CVE-2015-5935: Apple
CVE-2015-5936: Apple
CVE-2015-5937: Apple
CVE-2015-5939: Apple
IOAcceleratorFamily
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verifica un problema di danneggiamento della memoria in IOAcceleratorFamily. Questo problema viene risolto attraverso una migliore gestione della memoria.
ID CVE
CVE-2015-6996: Ian Beer di Google Project Zero
IOHIDFamily
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi kernel.
Descrizione: si verifica un problema di danneggiamento della memoria nel kernel. Questo problema viene risolto attraverso una migliore gestione della memoria.
ID CVE
CVE-2015-6974: Luca Todesco (@qwertyoruiop)
Kernel
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un'applicazione locale può causare un'interruzione del servizio.
Descrizione: si verifica un problema relativo alla convalida dell'input nel kernel. Questo problema viene risolto attraverso una migliore convalida dell'input.
ID CVE
CVE-2015-7004: Sergi Alvarez (pancake) di NowSecure Research Team
Kernel
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un malintenzionato con una posizione privilegiata in rete può causare l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema di memoria non inizializzata nel kernel. Questo problema viene risolto attraverso una migliore inizializzazione della memoria.
ID CVE
CVE-2015-6988: The Brainy Code Scanner (m00nbsd)
Kernel
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un'applicazione locale può causare un'interruzione del servizio.
Descrizione: si verifica un problema durante il riutilizzo della memoria virtuale. Questo problema viene risolto attraverso una migliore convalida.
ID CVE
CVE-2015-6994: Mark Mentovai di Google Inc.
mDNSResponder
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verificano diversi problemi di danneggiamento della memoria nell'analisi dei dati DNS. Questi problemi vengono risolti attraverso un migliore controllo dei limiti.
ID CVE
CVE-2015-7987: Alexandre Helie
mDNSResponder
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un'applicazione locale può causare un'interruzione del servizio
Descrizione: un problema nella dereferenziazione del puntatore null viene risolto attraverso una migliore gestione della memoria.
CVE-ID
CVE-2015-7988: Alexandre Helie
Centro notifiche
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: le notifiche di Telefono e Messaggi possono essere visualizzate nel blocco schermo anche se sono state disattivate.
Descrizione: quando viene disattivata l'opzione Mostra in "Blocco schermo" per Telefono e Messaggi, le modifiche alla configurazione non vengono applicate immediatamente. Questo problema viene risolto attraverso una migliore gestione dello stato.
ID CVE
CVE-2015-7000: William Redwood dell'Hampton School
OpenGL
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: l'accesso a un sito web pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema di danneggiamento della memoria in OpenGL. Questo problema viene risolto attraverso una migliore gestione della memoria.
ID CVE
CVE-2015-5924: Apple
Sicurezza
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: l'elaborazione di un certificato pericoloso può causare l'esecuzione di codice arbitrario
Descrizione: si verificano diversi problemi di danneggiamento della memoria nel decoder ASN.1. Questi problemi vengono risolti attraverso una migliore convalida dell'input.
ID CVE
CVE-2015-7059: David Keeler di Mozilla
CVE-2015-7060: Tyson Smith di Mozilla
CVE-2015-7061: Ryan Sleevi di Google
Sicurezza
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un'applicazione pericolosa può sovrascrivere file arbitrari.
Descrizione: si verifica un problema di double free nella gestione dei descrittori AtomicBufferedFile. Questo problema viene risolto attraverso una migliore convalida dei descrittori AtomicBufferedFile.
ID CVE
CVE-2015-6983: David Benjamin, Greg Kerr, Mark Mentovai e Sergey Ulanov del Chrome Team
Sicurezza
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un malintenzionato può far sembrare valido un certificato revocato.
Descrizione: si verifica un problema di convalida nel client OCSP. Questo problema viene risolto attraverso il controllo della scadenza del certificato OCSP.
ID CVE
CVE-2015-6999: Apple
Sicurezza
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: una valutazione affidabile configurata per richiedere la verifica della revoca può avere esito positivo anche se la verifica della revoca ha esito negativo.
Descrizione: il contrassegno kSecRevocationRequirePositiveResponse viene specificato, ma non implementato. Questo problema viene risolto implementando il contrassegno.
ID CVE
CVE-2015-6997: Apple
Telefonia
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un'applicazione pericolosa può divulgare informazioni sensibili degli utenti.
Descrizione: si verifica un problema nei controlli delle autorizzazioni per le richieste dello stato delle telefonate. Questo problema viene risolto attraverso ulteriori controlli delle autorizzazioni per le richieste dello stato.
ID CVE
CVE-2015-7022: Andreas Kurtz di NESO Security Labs
WebKit
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: l'accesso a un sito web pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: si verificano diversi problemi di danneggiamento della memoria in WebKit. Questi problemi vengono risolti mediante una migliore gestione della memoria.
ID CVE
CVE-2015-5928: Apple
CVE-2015-5929: Apple
CVE-2015-5930: Apple
CVE-2015-6981
CVE-2015-6982
CVE-2015-7002: Apple
CVE-2015-7005: Apple
CVE-2015-7012: Apple
CVE-2015-7014
CVE-2015-7104: Apple
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.