Informazioni sui contenuti di sicurezza dell’aggiornamento 1.1.1 di iPhone
In questo documento vengono descritti i contenuti di sicurezza dell’aggiornamento di iPhone 1.1.1.
Per proteggere la propria clientela, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Consulta il sito web dedicato alla sicurezza dei prodotti Apple per ulteriori informazioni in merito.
Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta l'articolo “Come usare la chiave PGP per la sicurezza dei prodotti Apple”.
Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.
Per informazioni su altri aggiornamenti di sicurezza, consulta “Aggiornamenti di sicurezza Apple”.
Aggiornamento di iPhone v1.1.1
Bluetooth
CVE-ID: CVE-2007-3753
Impatto: un utente malintenzionato nel raggio d’azione del Bluetooth può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema di convalida degli input nel server Bluetooth di iPhone. Inviando pacchetti SDP (Service Discovery Protocol) dannosi a un iPhone con il Bluetooth abilitato, un utente malintenzionato può attivare il problema, causando la chiusura imprevista delle applicazioni o l’esecuzione di codice arbitrario. Questo aggiornamento risolve il problema eseguendo un’ulteriore convalida dei pacchetti SDP. Ringraziamo Kevin Mahaffey e John Hering di Flexilis Mobile Security per aver segnalato il problema.
CVE-ID: CVE-2007-3754
Impatto: il controllo delle email su reti non attendibili può causare la divulgazione di informazioni tramite un attacco man-in-the-middle.
Descrizione: quando Mail è configurata per utilizzare SSL per le connessioni in entrata e in uscita, non avvisa l’utente quando l’identità del server di posta è cambiata o non può essere considerata attendibile. Un utente malintenzionato in grado di intercettare la connessione può essere in grado di impersonare il server di posta dell’utente e ottenere le credenziali di posta elettronica dell’utente o altre informazioni sensibili. Questo aggiornamento risolve il problema avvisando correttamente quando l’identità del server di posta remoto è cambiata.
CVE-ID: CVE-2007-3755
Impatto: l’apertura di un collegamento telefonico (“tel:”) in Mail, viene composto un numero di telefono senza alcuna conferma.
Descrizione: Mail supporta i collegamenti telefonici (“tel:”) per comporre i numeri di telefono. Invitando un utente a seguire un collegamento telefonico in un messaggio di posta elettronica, un utente malintenzionato può fare in modo che l’iPhone effettui una chiamata senza che l’utente abbia dato la conferma. Questo aggiornamento risolve il problema fornendo una finestra di conferma prima di comporre un numero di telefono tramite un collegamento telefonico in Mail. Ringraziamo Andi Baritchi di McAfee per aver segnalato il problema.
Safari
CVE-ID: CVE-2007-3756
Impatto: l'accesso a un sito web dannoso può causare la divulgazione di contenuti URL.
Descrizione: un problema di progettazione in Safari consente a una pagina web di leggere l’URL attualmente visualizzato nella finestra principale. Invitando un utente a visitare una pagina web pericolosa, un utente malintenzionato può essere in grado di ottenere l’URL di una pagina non correlata. Questo aggiornamento risolve il problema attraverso un migliore controllo di sicurezza tra domini. Ringraziamo Michal Zalewski di Google Inc. e Secunia Research per aver segnalato il problema.
Safari
CVE-ID: CVE-2007-3757
Impatto: l'accesso a un sito web dannoso può causare la chiamata involontaria o la composizione di un numero diverso dal previsto.
Descrizione: Safari supporta i collegamenti telefonici (“tel:”) per comporre i numeri di telefono. Quando viene selezionato un collegamento telefonico, Safari conferma che il numero deve essere composto. Un collegamento telefonico dannoso può causare la visualizzazione di un numero diverso durante la conferma rispetto a quello effettivamente composto. Uscire da Safari durante il processo di conferma può comportare una conferma involontaria. Questo aggiornamento risolve il problema mostrando correttamente il numero che verrà composto e richiedendo conferma per i collegamenti telefonici. Ringraziamo Billy Hoffman e Bryan Sullivan di HP Security Labs (precedentemente SPI Labs) e Eduardo Tang per aver segnalato il problema.
Safari
CVE-ID: CVE-2007-3758
Impatto: l’accesso a un sito web dannoso può comportare scripting cross-site.
Descrizione: in Safari è presente una vulnerabilità di cross-site scripting che consente a siti web dannosi di configurare le proprietà delle finestre JavaScript dei siti web serviti da un dominio diverso. Invitando un utente a visitare un sito web dannoso, un utente malintenzionato può attivare il problema, ottenendo o impostando lo stato della finestra e la posizione delle pagine fornite da altri siti web. Questo aggiornamento risolve il problema fornendo controlli di accesso migliorati per queste proprietà. Ringraziamo Michal Zalewski di Google Inc. Per aver segnalato il problema.
Safari
CVE-ID: CVE-2007-3759
Impatto: la disattivazione di JavaScript non ha effetto finché Safari non viene riavviato.
Descrizione: Safari può essere configurato per abilitare o disabilitare JavaScript. Questa preferenza non avrà effetto fino al successivo riavvio di Safari. Ciò si verifica solitamente al riavvio di iPhone. Ciò potrebbe indurre gli utenti a credere che JavaScript sia disabilitato quando non lo è. Questo aggiornamento risolve il problema applicando la nuova preferenza prima di caricare nuove pagine web.
Safari
CVE-ID: CVE-2007-3760
Impatto: l’accesso a un sito web dannoso può comportare scripting cross-site.
Descrizione: un problema di scripting cross-site in Safari consente a un sito web dannoso di aggirare la same-origin policy utilizzando i tag “frame”. Invitando un utente a visitare una pagina web dannosa, un utente malintenzionato può attivare il problema e ciò può comportare l’esecuzione di JavaScript nel contesto di un altro sito. Questo aggiornamento risolve il problema disattivando JavaScript come sorgente “iframe” e limitando JavaScript nei tag di frame allo stesso accesso del sito da cui è stato fornito. Ringraziamo Michal Zalewski di Google Inc. e Secunia Research per aver segnalato il problema.
Safari
CVE-ID: CVE-2007-3761
Impatto: l’accesso a un sito web dannoso può comportare scripting cross-site.
Descrizione: un problema di scripting cross-site in Safari consente di associare gli eventi JavaScript al frame errato. Invitando un utente a visitare una pagina web pericolosa, un utente malintenzionato può causare l’esecuzione di JavaScript nel contesto di un altro sito. Questo aggiornamento risolve il problema associando gli eventi JavaScript al frame sorgente corretto.
Safari
CVE-ID: CVE-2007-4671
Impatto: JavaScript sui siti web può manipolare o accedere ai contenuti dei documenti distribuiti tramite HTTPS.
Descrizione: un problema in Safari consente ai contenuti distribuiti tramite HTTP di alterare o accedere ai contenuti distribuiti tramite HTTPS nello stesso dominio. Invitando un utente a visitare una pagina web pericolosa, un utente malintenzionato può causare l’esecuzione di JavaScript nel contesto delle pagine web HTTPS in quel dominio. Questo aggiornamento risolve il problema limitando l’accesso tra JavaScript in esecuzione nei frame HTTP e HTTPS. Ringraziamo Keigo Yamazaki di LAC Co., Ltd (Little Earth Corporation Co., Ltd.) per aver segnalato il problema.
Nota per l’installazione:
Questo aggiornamento è disponibile solo tramite iTunes e non verrà visualizzato nell’applicazione Aggiornamento Software del computer o nel sito Download di Apple. Assicurati di avere una connessione internet e di aver installato la versione più recente di iTunes da https://www.apple.com/it/itunes/.
ITunes verificherà automaticamente il server di aggiornamento di Apple in base alla pianificazione settimanale. Quando viene rilevato un aggiornamento, viene scaricato. Quando l’iPhone è inserito nel dock, iTunes mostra l’opzione per installare l’aggiornamento. Se possibile, consigliamo di applicare immediatamente l’aggiornamento. Selezionando “Non installare”, l’opzione verrà visualizzata la prossima volta che colleghi l’iPhone.
Il processo di aggiornamento automatico potrebbe richiedere fino a una settimana a seconda del giorno in cui iTunes verifica la disponibilità di aggiornamenti. Puoi scaricare manualmente l’aggiornamento selezionando il pulsante “Verifica aggiornamenti” in iTunes. Dopo aver eseguito questa operazione, è possibile applicare l’aggiornamento quando l’iPhone è collegato al computer.
Per verificare che l’iPhone sia stato aggiornato:
Accedi alle impostazioni
Fai clic su Generali
Fai clic su Informazioni. La versione dopo aver applicato questo aggiornamento sarà “1.1.1 (3A109a)”.