Informazioni sul contenuto dell'aggiornamento iPhone 1.1.1

Questo documento descrive il contenuto di sicurezza dell'aggiornamento iPhone v1.1.1.

Per tutelare gli utenti Apple non rivela, discute né conferma eventuali problemi legati alla sicurezza fino all'effettuazione dell'analisi completa e alla disponibilità di eventuali patch o release. Per ulteriori informazioni sulla sicurezza dei prodotti Apple visita il sito web Sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple leggi "Utilizzo della chiave PGP di sicurezza per i prodotti Apple".

Ove possibile, per ulteriori informazioni vengono utilizzati gli ID CVE per i riferimenti ai punti vulnerabili.

Per informazioni su altri aggiornamenti per la sicurezza leggi "Aggiornamenti di sicurezza Apple".

Aggiornamento iPhone v1.1.1

  • Bluetooth

    CVE-ID: CVE-2007-3753

    Impatto: un malintenzionato collegato tramite Bluetooth può generare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario

    Descrizione: si verifica un problema di convalida dell'input nel server Bluetooth dell'iPhone. Con l'invio di pacchetti SDP (Service Discovery Protocol) pericolosi a un iPhone con connessione Bluetooth attiva un malintenzionato può attivare il problema, con successiva chiusura dell'applicazione o esecuzione di codice arbitrario. Questo aggiornamento risolve il problema grazie all'esecuzione di ulteriori convalide per i pacchetti SDP. Ringraziamo Kevin Mahaffey e John Hering di Flexilis Mobile Security per aver riferito questo problema.

  • Mail

    CVE-ID: CVE-2007-3754

    Impatto: il controllo della posta elettronica tramite reti non affidabili può comportare la rivelazione di informazioni con attacchi di tipo MITM (Man In The Middle)

    Descrizione: quando Mail è configurato sull'utilizzo di SSL per le connessioni in entrata e in uscita, l'utente non viene avvisato in caso di modifica dell'identità del server di posta o se quest'ultimo non è affidabile. Un malintenzionato in grado di intercettare la connessione può sostituirsi al server di posta dell'utente e ottenere credenziali o altri dati sensibili. Questo aggiornamento affronta il problema avvisando con avvisi appropriati in caso di modifica dell'identità del server di posta remoto.

  • Mail

    CVE-ID: CVE-2007-3755

    Impatto: dopo un collegamento telefonico ("tel:") in Mail, il programma compone un numero di telefono senza conferma

    Descrizione: mail supporta i collegamenti telefonici ("tel:") ai numeri di telefono da comporre. Consentendo all'utente di seguire un link telefonico in un messaggio di posta, un malintenzionato può forzare la composizione delle chiamate da parte dell'iPhone senza la conferma da parte dell'utente. Questo aggiornamento risolve il problema visualizzando una finestra di conferma prima della composizione del numero di telefono tramite link telefonico in Mail. Ringraziamo Andi Baritchi di McAfee per aver riferito questo problema.

  • Safari

    CVE-ID: CVE-2007-3756

    Impatto: visitare alcuni siti web pericolosi può rivelare il contenuto dell'URL

    Descrizione: un problema di programmazione in Safari consente a una pagina web di leggere l'URL correntemente visualizzato nella finestra principale. Consentendo a un utente di visitare una pagina web pericolosa, un malintenzionato può ottenere l'URL di una pagina non correlata. Questo aggiornamento risolve il problema grazie alla più attenta verifica della sicurezza di tutto il dominio. Ringraziamo Michal Zalewski di Google Inc. e Secunia Research per aver riferito questo problema.

  • Safari

    CVE-ID: CVE-2007-3757

    Impatto: visitare un sito web pericoloso può portare alla composizione involontaria di numeri telefonici o alla composizione di numeri diversi da quelli desiderati

    Descrizione: Safari supporta i collegamenti telefonici ("tel:") ai numeri di telefono da comporre. Quando si seleziona un link telefonico, Safari richiede la conferma della composizione. Durante la procedura di conferma, un link telefonico pericoloso può visualizzare un numero diverso da quello realmente composto. Uscire da Safari durante la conferma può comportare la conferma involontaria della composizione. Questo aggiornamento risolve il problema visualizzando correttamente il numero composto e chiedendo la conferma dei link telefonici. Ringraziamo Billy Hoffman e Bryan Sullivan di HP Security Labs (ex SPI Labs) ed Eduardo Tang per aver riferito il problema.

  • Safari

    CVE-ID: CVE-2007-3758

    Impatto: visitare alcuni siti pericolosi può causare la generazione di cross-site scripting

    Descrizione: esiste un problema di vulnerabilità di scripting cross-site che consente ai siti web pericolosi di impostare le proprietà della finestra JavaScript dei siti web serviti da un dominio diverso. Consentendo all'utente di visitare un sito web pericoloso, un malintenzionato può attivare il problema e ottenere o impostare lo stato della finestra e la posizione delle pagine servite da altri siti web. Questo aggiornamento risolve il problema grazie all'esecuzione di controlli di accesso più accurati su queste proprietà. Ringraziamo Michal Zalewski di Google Inc. per aver riferito questo problema.

  • Safari

    CVE-ID: CVE-2007-3759

    Impatto: la disattivazione di JavaScript non ha effetto fino al riavvio di Safari

    Descrizione: Safari può essere configurato per attivare o disattivare JavaScript. Questa preferenza non ha effetto fino al successivo riavvio di Safari Solitamente questo si verifica al riavvio dell'iPhone. Questo può confondere gli utenti e far loro ritenere che JavaScript sia inattivo anche quando non è vero. L'aggiornamento risolve il problema applicando la nuova preferenza prima di caricare le nuove pagine web.

  • Safari

    CVE-ID: CVE-2007-3760

    Impatto: visitare un sito web pericoloso può causare la generazione di scripting cross-site

    Descrizione: un problema di scripting cross-site in Safari permette a un sito web pericoloso di ignorare i criteri con la stessa origine che utilizzano i tag di tipo "frame". Consentendo all'utente di visitare una pagina web pericolosa, un malintenzionato può attivare il problema e provocare la rivelazione di informazioni tramite il contenuto dell'URL. Questo aggiornamento affronta il problema disattivando JavaScript come origine "iframe" e limitando questa tecnologia in tag di tipo frame con lo stesso accesso del sito da cui è stato servito. Ringraziamo Michal Zalewski di Google Inc. e Secunia Research per aver riferito questo problema.

  • Safari

    CVE-ID: CVE-2007-3761

    Impatto: visitare un sito web pericoloso può causare la generazione di scripting cross-site

    Descrizione: un problema di scripting cross-site in Safari consente di associare gli eventi JavaScript al frame sbagliato. Consentendo all'utente di visitare una pagina web pericolosa, un malintenzionato può provocare l'esecuzione di JavaScript nel contenuto di un altro sito. Questo aggiornamento risolve il problema grazie all'esecuzione degli eventi JavaScript al frame di origine appropriato.

  • Safari

    CVE-ID: CVE-2007-4671

    Impatto: JavaScript nei siti web può accedere al contenuto dei documenti serviti su HTTPS e manipolarlo

    Descrizione: un problema che si verifica in Safari consente al contenuto servito su HTTP di accedere al contenuto servito su HTTPS nello stesso dominio o di modificarlo. Consentendo all'utente di visitare una pagina web pericolosa, un malintenzionato può provocare l'esecuzione di JavaScript nel contesto delle pagine web HTTPS in quel dominio. Questo aggiornamento risolve il problema limitando l'accesso tra JavaScript in esecuzione in HTTP e i frame HTTPS. Ringraziamo Keigo Yamazaki di LAC Co., Ltd. (Little eArth Corporation Co., Ltd.) per aver riferito questo problema.

Note sull'installazione:

Questo aggiornamento è disponibile solo tramite iTunes, non appare nell'applicazione di aggiornamento software del computer e nemmeno nel sito Apple Downloads. Verifica di disporre di una connessione a Internet e di aver installato la versione più recente di iTunes da www.apple.com/it/itunes.

iTunes verifica automaticamente il server di aggiornamento di Apple nella pianificazione settimanale. Quando rileva un aggiornamento lo scarica. Quando l'iPhone è inserito nel dock, iTunes offre all'utente la possibilità di installare l'aggiornamento. Consigliamo di applicare subito l'aggiornamento, se possibile. Se scegli di non installare l'aggiornamento, l'opzione ti viene ripresentata alla successiva connessione dell'iPhone.

Il processo di aggiornamento automatico può richiedere fino a una settimana, a seconda del giorno in cui iTunes verifica la disponibilità degli aggiornamenti. È possibile effettuare manualmente l'aggiornamento con l'opzione "Verifica aggiornamenti (Check for Update)" di iTunes. Dopo questa operazione è possibile applicare l'aggiornamento quando l'iPhone è collegato tramite dock al computer.

Per verificare che l'iPhone sia stato aggiornato:

  1. Naviga fino a Impostazioni (Settings).
  2. Fai clic su Generali (General).
  3. Fai clic su Informazioni (About) su. Dopo l'aggiornamento, la versione visualizzata è "1.1.1 (3A109a)"
Data di pubblicazione: