Informazioni sui contenuti di sicurezza di iOS 2.2 e iOS per iPod touch 2.2
In questo documento vengono descritti i contenuti di sicurezza di iOS 2.2 e iOS per iPod touch 2.2.
Per proteggere la propria clientela, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un’indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Consulta il sito web dedicato alla sicurezza dei prodotti Apple per ulteriori informazioni in merito.
Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta l'articolo “Come usare la chiave PGP per la sicurezza dei prodotti Apple”.
Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.
Per informazioni su altri aggiornamenti di sicurezza, consulta la sezione “Aggiornamenti di sicurezza Apple”.
iOS 2.2 e iOS for iPod touch 2.2
CoreGraphics
CVE-ID: CVE-2008-2321
Disponibile per: iOS dalla versione 1.0 alla versione 2.1, iOS per iPod touch dalla versione 1.1 alla versione 2.1
Impatto: l'accesso a un sito web pericoloso può provocare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario.
Descrizione: CoreGraphics contiene problemi di danneggiamento della memoria nell'elaborazione di argomenti. La trasmissione di input inaffidabili a CoreGraphics mediante un'applicazione, come un web browser, può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo aggiornamento risolve il problema migliorando il controllo dei limiti. Ringraziamo Michal Zalewski di Google per aver segnalato il problema.
ImageIO
CVE-ID: CVE-2008-2327
Disponibile per: iOS dalla versione 1.0 alla versione 2.1, iOS per iPod touch dalla versione 1.1 alla versione 2.1
Impatto: la visualizzazione di un'immagine TIFF pericolosa può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verificano diversi problemi relativi all'accesso alla memoria non inizializzata nella gestione da parte di libTIFF di immagini TIFF con codifica LZW. La visualizzazione di un'immagine TIFF pericolosa può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo aggiornamento risolve il problema attraverso una corretta inizializzazione della memoria e un'ulteriore convalida delle immagini TIFF.
ImageIO
CVE-ID: CVE-2008-1586
Disponibile per: iOS dalla versione 1.0 alla versione 2.1, iOS per iPod touch dalla versione 1.1 alla versione 2.1
Impatto: la visualizzazione di un'immagine TIFF pericolosa potrebbe causare il ripristino imprevisto di un dispositivo.
Descrizione: si verifica un problema di esaurimento della memoria nella gestione delle immagini TIFF. La visualizzazione di un'immagine TIFF pericolosa potrebbe causare il ripristino imprevisto di un dispositivo. Questo aggiornamento risolve il problema limitando la quantità di memoria allocata per aprire un'immagine TIFF. Ringraziamo Sergio 'shadown' Alvarez di Recurity Labs GmbH per aver segnalato questo problema.
Networking
CVE-ID: CVE-2008-4227
Disponibile per: iOS dalla versione 1.0 alla versione 2.1, iOS per iPod touch dalla versione 1.1 alla versione 2.1
Impatto: il livello di codifica per le connessioni VPN PPTP potrebbe essere più basso del previsto.
Descrizione: il livello di codifica per le connessioni VPN PPTP potrebbe tornare a un'impostazione più bassa precedente. Questo aggiornamento risolve il problema impostando correttamente le preferenze di codifica. Ringraziamo Stephen Butler dell'Università dell'Illinois a Urbana-Champaign per aver segnalato questo problema.
Office Viewer
CVE-ID: CVE-2008-4211
Disponibile per: iOS dalla versione 1.0 alla versione 2.1, iOS per iPod touch dalla versione 1.1 alla versione 2.1
Impatto: la visualizzazione di un file Microsoft Excel pericoloso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di signedness nella gestione da parte di Office Viewer delle colonne nei file Microsoft Excel potrebbe causare un accesso alla memoria non nei limiti. La visualizzazione di un file Microsoft Excel pericoloso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo aggiornamento risolve il problema assicurando che i valori dell'indice interessati non siano negativi. Ringraziamo Apple.
Passcode Lock
CVE-ID: CVE-2008-4228
Disponibile per: iOS dalla versione 1.0 alla versione 2.1, iOS per iPod touch dalla versione 1.1 alla versione 2.1
Impatto: le chiamate di emergenza non sono limitate ai numeri di emergenza.
Descrizione: iPhone offre la possibilità di fare una chiamata di emergenza anche se bloccato. Attualmente, una chiamata d'emergenza può essere effettuata verso qualsiasi numero. Una persona con accesso fisico a un iPhone può approfittare di questa funzione per effettuare chiamate arbitrarie che vengono addebitate al proprietario o alla proprietaria dell'iPhone. Questo aggiornamento risolve il problema limitando le chiamate di emergenza a una quantità limitata di numeri di telefono.
Passcode Lock
CVE-ID: CVE-2008-4229
Disponibile per: iOS dalla versione 1.0 alla versione 2.1, iOS per iPod touch dalla versione 1.1 alla versione 2.1
Impatto: il ripristino del dispositivo da backup può non riattivare Passcode Lock.
Descrizione: la funzione Passcode Lock è progettata per evitare che le applicazioni vengano aperte senza l'inserimento del codice corretto. Una race condition nelle gestione delle impostazioni del dispositivo può causare la rimozione di Passcode Lock quando il dispositivo viene ripristinato da backup. Di conseguenza, una persona con accesso fisico al dispositivo potrebbe aprire le applicazioni senza codice. Questo aggiornamento risolve il problema migliorando la capacità di riconoscimento delle preferenze mancanti da parte del sistema. Questo problema non interessa i sistemi precedenti a iOS 2.0 o iOS per iPod touch 2.0. Ringraziamo Nolen Scaife per aver segnalato questo problema.
Passcode Lock
CVE-ID: CVE-2008-4230
Disponibile per: iOS dalla versione 1.0 alla versione 2.1, iOS per iPod touch dalla versione 1.1 alla versione 2.1
Impatto: i messaggi SMS possono essere visualizzati prima dell'inserimento del codice.
Descrizione: se un messaggio SMS arriva mentre è visibile la schermata della chiamata di emergenza, viene visualizzato l'intero messaggio SMS anche se la preferenza "Mostra anteprima SMS" è stata disattivata. Questo aggiornamento risolve il problema visualizzando, in questa situazione, solo una notifica che indica che è arrivato un messaggio SMS ma non il suo contenuto.
Safari
CVE-ID: CVE-2008-4231
Disponibile per: iOS dalla versione 1.0 alla versione 2.1, iOS per iPod touch dalla versione 1.1 alla versione 2.1
Impatto: l'accesso a un sito web pericoloso può provocare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema di danneggiamento della memoria nella gestione degli elementi della tabella HTML. L'accesso a un sito web pericoloso può provocare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario. Questo aggiornamento risolve il problema migliorando la gestione degli elementi della tabella HTML. Ringraziamo Haifei Li del FortiGuard Global Security Research Team di Fortinet per aver segnalato questo problema.
Safari
CVE-ID: CVE-2008-4232
Disponibile per: iOS dalla versione 1.0 alla versione 2.1, iOS per iPod touch dalla versione 1.1 alla versione 2.1
Impatto: siti web con elementi iFrame incorporati possono causare lo spoofing dell'interfaccia utente.
Descrizione: Safari consente a un elemento iFrame di visualizzare contenuto esterno, che può causare lo spoofing dell'interfaccia utente. Questo aggiornamento risolve il problema non consentendo agli elementi iFrame di visualizzare contenuto esterno. Questo problema non interessa i sistemi precedenti a iOS 2.0 o iOS per iPod touch 2.0. Ringraziamo John Resig di Mozilla Corporation per aver segnalato questo problema.
CVE-ID: CVE-2008-4233Disponibile per: iOS dalla versione 1.0 alla versione 2.1, iOS per iPod touch dalla versione 1.1 alla versione 2.1Impatto: l'accesso a un sito web pericoloso può avviare una chiamata senza l'interazione dell'utente.Descrizione: se un'applicazione viene aperta tramite Safari mentre viene visualizzata un finestra di dialogo di approvazione della chiamata, la chiamata potrà essere effettuata. Di conseguenza, un sito web pericoloso potrebbe avviare una chiamata senza l'interazione dell'utente. Inoltre, in determinate circostanze, un sito web pericoloso potrebbe bloccare la capacità della persona di annullare la composizione per un breve periodo di tempo. Questo aggiornamento risolve il problema ignorando correttamente la finestra di dialogo di approvazione della chiamata di Safari quando un'applicazione viene avviata tramite Safari. Ringraziamo Collin Mulliner di Fraunhofer SIT per aver segnalato questo problema.
Safari
Webkit
CVE-ID: CVE-2008-3644
Disponibile per: iOS dalla versione 1.0 alla versione 2.1, iOS per iPod touch dalla versione 1.1 alla versione 2.1
Impatto: delle informazioni riservate potrebbero essere rivelate a una persona con accesso fisico a un dispositivo sbloccato.
Descrizione: la disabilitazione del completamente automatico in un campo del modulo può non impedire che i dati contenuti nel campo non vengano memorizzati nella cache della pagina del browser. Ciò può comportare la divulgazione di informazioni riservate a una persona con accesso fisico a un dispositivo bloccato. Questo aggiornamento risolve il problema cancellando correttamente i dati del modulo. Ringraziamo un ricercatore anonimo per aver segnalato questo problema.
Importante: le informazioni sui prodotti non realizzati da Apple vengono fornite solo a scopo informativo e non costituiscono raccomandazione né approvazione da parte di Apple. Per ulteriori informazioni, contatta il fornitore.