Informazioni sul contenuto di sicurezza di iOS 8

In questo documento viene descritto il contenuto di sicurezza di iOS 8.

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple leggi l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, vengono utilizzati ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza consulta Aggiornamenti di sicurezza Apple.

iOS 8

  • 802.1X

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un malintenzionato può acquisire le credenziali Wi-Fi.

    Descrizione: un malintenzionato potrebbe aver creato un falso punto di accesso Wi-Fi, offerto l'autenticazione tramite il protocollo LEAP, compromesso l'Hash MS-CHAPv1 e usato le credenziali derivanti per autenticare il punto di accesso determinato anche se tale punto di accesso supportava rigorosi metodi di autenticazione. Questo problema è stato risolto disabilitando il protocollo LEAP di default.

    CVE-ID

    CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax e Wim Lamotte della Universiteit Hasselt

  • Account

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione pericolosa può identificare l'ID Apple dell'utente.

    Descrizione: si verifica un problema nella logica di controllo degli accessi per gli account. Un'applicazione sandboxed può ottenere informazioni relative all'account iCloud attualmente attivo, incluso il nome dell'account. Questo problema è stato risolto limitando l'accesso a determinati tipi di account da parte di applicazione non autorizzate.

    ID CVE

    CVE-2014-4423: Adam Weaver

  • Accessibilità

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: il dispositivo potrebbe non permettere di bloccare lo schermo quando è in uso AssistiveTouch.

    Descrizione: si verifica un problema logico nella gestione degli eventi da parte di AssistiveTouch che causa il mancato blocco dello schermo. Questo problema è stato risolto attraverso una migliore gestione del timer di blocco.

    ID CVE

    CVE-2014-4368: Hendrik Bettermann

  • Framework degli account

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un malintenzionato con accesso a un dispositivo iOS potrebbe accedere tramite i registri alle informazioni riservate dell'utente.

    Descrizione: viene registrato un accesso alle informazioni riservate dell'utente. Questo problema è stato risolto riducendo il numero di informazioni registrate.

    CVE-ID

    CVE-2014-4357: Heli Myllykoski del OP-Pohjola Group

  • Rubrica Indirizzi

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un individuo con accesso fisico a un dispositivo iOS potrebbe leggere Rubrica Indirizzi.

    Descrizione: la Rubrica Indirizzi è crittografata con una chiave protetta solamente dall'UID dell'hardware. Questo problema è stato risolto effettuando la crittografia di Rubrica Indirizzi con una chiave protetta dall'UID dell'hardware e con il codice dell'utente.

    ID CVE

    CVE-2014-4352: Jonathan Zdziarski

  • Installazione delle app

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un malintenzionato locale può superare i privilegi e installare applicazioni non verificate.

    Descrizione: si verifica una condizione critica nell'installazione delle app. Un malintenzionato in grado di scrivere nel file /tmp potrebbe aver installato un'app non verificata. Questo problema è stato risolto inserendo in un'altra directory i file per l'installazione.

    ID CVE

    CVE-2014-4386: evad3rs

  • Installazione delle app

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un malintenzionato locale può superare i privilegi e installare applicazioni non verificate.

    Descrizione: nell'installazioni delle app si verifica un problema di trasversalità dei percorsi. Un malintenzionato locale può ridestinare la convalida della firma del codice a un bundle diverso da quello installato e comportare l'installazione di un'app non verificata. Questo problema è stato risolto rilevando e prevenendo la trasversalità dei percorsi nel momento in cui viene stabilita la firma del codice da verificare.

    ID CVE

    CVE-2014-4384: evad3rs

  • Risorse

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un malintenzionato con una posizione privilegiata in rete potrebbe fare in modo che il dispositivo iOS si consideri aggiornato anche quando non lo è.

    Descrizione: si verifica un problema di convalida nella gestione delle risposte di controllo dell'aggiornamento. Le date fraudolente provenienti dalle intestazioni delle risposte Last-Modified impostate su date future vengono usate per i controlli If-Modified-Since nelle successive richieste di aggiornamento. Questo problema è stato risolto tramite la convalida dell'intestazione Last-Modified.

    CVE-ID

    CVE-2014-4383: Raul Siles di DinoSec

  • Bluetooth

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: il Bluetooth viene abilitato inaspettatamente di default in seguito all'aggiornamento di iOS.

    Descrizione: il Bluetooth viene abilitato automaticamente in seguito all'aggiornamento di iOS. Questo problema è stato risolto attivando il Bluetooth solo in caso di aggiornamenti principali o minori della versione.

    ID CVE

    CVE-2014-4354: Maneet Singh, Sean Bluestein

  • Certificate Trust Policy

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: è stato effettuato l'aggiornamento al Certificate Trust Policy.

    Descrizione: il Certificate Trust Policy è stato aggiornato. Puoi visualizzare l'elenco completo dei certificati all'indirizzo http://support.apple.com/HT5012?v iewlocale=it_IT.

  • CoreGraphics

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'apertura di un file PDF dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un overflow di numeri interi nella gestione dei file PDF. Questo problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-4377: Felipe Andres Manzano di Binamuse VRT, collaboratore nell'ambito dell'iSIGHT Partners GVP Program

  • CoreGraphics

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'apertura di un file PDF pericoloso può causare la chiusura improvvisa dell'applicazione o la divulgazione di informazioni.

    Descrizione: si verifica un problema di lettura della memoria fuori dai limiti nella gestione dei file PDF. Questo problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-4378: Felipe Andres Manzano di Binamuse VRT, collaboratore nell'ambito dell'iSIGHT Partners GVP Program

  • Rilevatori di dati

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: toccando un link di FaceTime in Mail potrebbe venire attivata una chiamata FaceTime audio senza richiesta.

    Descrizione: Mail non consulta l'utente prima di lanciare gli URL facetime-audio://. Questo problema è stato risolto con l'aggiunta di una richiesta di conferma.

    CVE-ID

    CVE-2013-6835: Guillaume Ross

  • Foundation

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione che utilizza NSXMLParser può essere usata in modo scorretto per divulgare le informazioni.

    Descrizione: si verifica un problema di entità XML esterne nella gestione dei contenuti XML da parte di NSXMLParser. Questo problema è stato risolto evitando il caricamento di entità esterne tra le origini.

    ID CVE

    CVE-2014-4374: George Gal di VSR (http://www.vsecurity.com/)

  • Schermata Home e blocco schermo

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'app in background può determinare quale app è in primo piano.

    Descrizione: l'API privata per determinare l'app in primo piano non dispone di sufficiente controllo dell'accesso. Questo problema è stato risolto attraverso un ulteriore controllo dell'accesso.

    CVE-ID

    CVE-2014-4361: Andreas Kurtz di NESO Security Labs e Markus Troßbach della Heilbronn University

  • iMessage

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: gli allegati potrebbero rimanere memorizzati dopo che il messaggio iMessage o MMS da cui provengono viene eliminato.

    Descrizione: si verifica una condizione critica nel modo in cui gli allegati vengono eliminati. Questo problema è stato risolto attraverso un ulteriore controllo per verificare se l'allegato è stato eliminato.

    CVE-ID

    CVE-2014-4353: Silviu Schiau

  • IOAcceleratorFamily

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione può causare una chiusura improvvisa del sistema.

    Descrizione: si verifica un problema relativo alla dereferenziazione del puntatore null nella gestione degli argomenti API con IOAcceleratorFamily. Questo problema è stato risolto attraverso la migliore convalida degli argomenti API con IOAcceleratorFamily.

    CVE-ID

    CVE-2014-4369: Catherine aKa winocm e Cererdlong di Alibaba Mobile Security Team

  • IOAcceleratorFamily

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: il dispositivo potrebbe riavviarsi inaspettatamente.

    Descrizione: si verifica un problema relativo alla dereferenziazione del puntatore null nel driver IntelAccelerator. Questo problema è stato risolto attraverso una migliore gestione degli errori.

    CVE-ID

    CVE-2014-4373: cunzhang di Adlab di Venustech

  • IOHIDFamily

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione pericolosa può leggere i puntatori kernel, che possono essere usati per ignorare la funzione Address Space Layout Randomization (ASLR).

    Descrizione: si verifica un problema di lettura non nei limiti nella gestione di una funzione IOHIDFamily. Questo problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-4379: Ian Beer di Google Project Zero

  • IOHIDFamily

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un overflow del buffer della memoria heap nella gestione delle proprietà di mappatura dei tasti da parte di IOHIDFamily. Questo problema è stato risolto attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2014-4404: Ian Beer di Google Project Zero

  • IOHIDFamily

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un problema relativo alla dereferenziazione del puntatore null nella gestione delle proprietà di mappatura dei tasti da parte di IOHIDFamily. Questo problema viene risolto attraverso una migliore convalida delle proprietà di mappatura dei tasti di IOHIDFamily.

    ID CVE

    CVE-2014-4405: Ian Beer di Google Project Zero

  • IOHIDFamily

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi del kernel.

    Descrizione: si verifica un problema di scrittura non nei limiti nell'estensione kernel di IOHIDFamily. Questo problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-4380: cunzhang di Adlab di Venustech

  • IOKit

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione pericolosa può leggere dati non inizializzati dalla memoria kernel.

    Descrizione: si verifica un problema relativo all'accesso alla memoria non inizializzata nella gestione delle funzioni di IOKit. Questo problema è stato risolto attraverso una migliore inizializzazione della memoria.

    CVE-ID

    CVE-2014-4407: @PanguTeam

  • IOKit

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un problema di convalida nella gestione di alcuni campi metadati di oggetti IODataQueue. Questo problema è stato risolto attraverso una migliore convalida dei metadati.

    CVE-ID

    CVE-2014-4418: Ian Beer della Google Project Zero

  • IOKit

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un problema di convalida nella gestione di alcuni campi metadati di oggetti IODataQueue. Questo problema è stato risolto attraverso una migliore convalida dei metadati.

    CVE-ID

    CVE-2014-4388: @PanguTeam

  • IOKit

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un overflow di numeri interi nella gestione delle funzioni di IOKit. Questo problema viene risolto mediante una migliore convalida degli argomenti API IOKit.

    CVE-ID

    CVE-2014-4389: Ian Beer di Google Project Zero

  • Kernel

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un utente locale può determinare il layout della memoria del kernel.

    Descrizione: si verificano diversi problemi relativi alla memoria non inizializzata nell'interfaccia delle statistiche di rete che comportano la divulgazione dei contenuti della memoria del kernel. Questo problema viene risolto attraverso un'ulteriore inizializzazione della memoria.

    CVE-ID

    CVE-2014-4371: Fermin J. Serna del Google Security Team

    CVE-2014-4419: Fermin J. Serna del Google Security Team

    CVE-2014-4420: Fermin J. Serna del Google Security Team

    CVE-2014-4421: Fermin J. Serna del Google Security Team

  • Kernel

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un utente con una posizione privilegiata in rete può causare un DoS (Denial of Service).

    Descrizione: si verifica una condizione critica nella gestione dei pacchetti IPv6. Questo problema viene risolto attraverso un migliore controllo dello stato di blocco.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Kernel

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un utente locale può causare una chiusura improvvisa del sistema o l'esecuzione di codice arbitrario nel kernel.

    Descrizione: si verifica un problema relativo al double free nella gestione delle porte Mach. Questo problema è stato risolto attraverso una migliore convalida delle porte Mach.

    CVE-ID

    CVE-2014-4375: un ricercatore anonimo

  • Kernel

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un utente locale può causare una chiusura improvvisa del sistema o l'esecuzione di codice arbitrario nel kernel.

    Descrizione: si verifica un problema di lettura non nei limiti in rt_setgate. Ciò può comportare la divulgazione della memoria o il danneggiamento della memoria. Questo problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-4408

  • Kernel

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: alcune misure per l'hardening del kernel potrebbero essere ignorate.

    Descrizione: il generatore del numero casuale usato in alcune misure per l'hardening del kernel in precedenza durante il processo di avvio non è protetto in modo crittografato e alcuni risultati sono desumibili dallo spazio dell'utente, permettendo di ignorare le misure per l'hardening. Questo problema è stato risolto usando un algoritmo protetto in modo crittografato.

    CVE-ID

    CVE-2014-4422: Tarjei Mandt di Azimuth Security

  • Libnotify

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi root.

    Descrizione: si verifica un problema di scrittura non nei limiti in Libnotify. Questo problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-4381: Ian Beer di Google Project Zero

  • Lockdownd

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un dispositivo può essere manipolato per presentare in modo non corretto la schermata Home quando la funzionalità blocco attivazione è attiva sul dispositivo.

    Descrizione: si verifica un problema con lo sblocco comportava la visualizzazione della schermata Home anche quando la funzionalità blocco attivazione è attiva. Questo problema è stato risolto modificando le informazioni verificate dal dispositivo durante una richiesta di sblocco.

    CVE-ID

    CVE-2014-1360

  • Mail

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: le credenziali di accesso possono essere inviate senza crittografia anche se il server ha indicato la funzionalità LOGINDISABLED IMAP.

    Descrizione: Mail ha inviato il comando LOGIN ai server anche se questi hanno indicato la funzionalità LOGINDISABLED IMAP. Questo problema si verifica in genere quando ci si connette a server configurati per accettare connessioni non crittografate e che indicano la funzionalità LOGINDISABLED IMAP. Questo problema è stato risolto rispettando la funzionalità LOGINDISABLED IMAP.

    ID CVE

    CVE-2014-4366: Mark Crispin

  • Mail

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un individuo con accesso fisico a un dispositivo iOS potrebbe leggere gli allegati dei messaggi email.

    Descrizione: si verifica un problema logico nell'uso di Data Protection sugli allegati email da parte di Mail. Questo problema è stato risolto impostando correttamente la classe di Data Protection per gli allegati dei messaggi email.

    CVE-ID

    CVE-2014-1348: Andreas Kurtz di NESO Security Labs

  • Profili

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: Composizione vocale viene abilitato inaspettatamente in seguito all'aggiornamento di iOS.

    Descrizione: Composizione vocale è stato abilitato automaticamente in seguito all'aggiornamento di iOS. Questo problema è stato risolto attraverso una migliore gestione dello stato.

    ID CVE

    CVE-2014-4367: Sven Heinemann

  • Safari

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: le credenziali dell'utente possono essere rivelate a un sito sconosciuto tramite la funzione di riempimento automatico.

    Descrizione: Safari può aver inserito con la funzione di riempimento automatico i nomi e le password dell'utente in un subframe da un dominio diverso dal frame principale. Questo problema è stato risolto migliorando il tracking delle origini.

    CVE-ID

    CVE-2013-5227: Niklas Malmgren di Klarna AB

  • Safari

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un malintenzionato con una posizione privilegiata in rete può intercettare le credenziali dell'utente.

    Descrizione: le password salvate vengono inserite tramite la funzione di riempimento automatico sui siti http, sui siti https non affidabili e negli iframe. Questo problema è stato risolto limitando la funzione di riempimento automatico per le password al frame principale dei siti https con catene di certificati valide.

    CVE-ID

    CVE-2014-4363: David Silver, Suman Jana e Dan Boneh della Stanford University in collaborazione con Eric Chen e Collin Jackson della Carnegie Mellon University

  • Safari

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un malintenzionato in una posizione di rete privilegiata può eseguire lo spoofing degli URL su Safari.

    Descrizione: si verifica un'incoerenza dell'interfaccia utente in Safari sui dispositivi MDM abilitati. Questo problema è stato risolto migliorando le verifiche della coerenza dell'interfaccia utente.

    CVE-ID

    CVE-2014-8841: Angelo Prado di Salesforce Product Security

  • Profili delle sandbox

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: la app di terze parti possono accedere alle informazioni dell'ID Apple.

    Descrizione: si verifica un problema di divulgazione delle informazioni nella sandbox delle app di terze parti. Questo problema è stato risolto migliorando il profilo della sandbox di terze parti.

    ID CVE

    CVE-2014-4362: Andreas Kurtz di NESO Security Labs e Markus Troßbach della Heilbronn University

  • Impostazioni

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: le anteprime dei messaggi di testo potrebbero venire visualizzate in Blocco schermo anche quando questa funzione è disabilitata.

    Descrizione: si verifica un problema nella visualizzazione in anteprima delle notifiche dei messaggi di testo in Blocco schermo. Di conseguenza, i contenuti dei messaggi ricevuti vengono visualizzati in Blocco schermo anche quando la funzione relativa alle anteprime è disabilitata in Impostazioni. Questo problema è stato risolto attraverso un migliore rispetto di questa configurazione.

    ID CVE

    CVE-2014-4356: Mattia Schirinzi da San Pietro Vernotico (BR), Italia

  • syslog

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un utente locale può modificare i permessi relativi ai file arbitrari.

    Descrizione: syslogd segue i link simbolici durante la modifica dei permessi relativi ai file. Questo problema è stato risolto mediante una migliore gestione dei link simbolici.

    CVE-ID

    CVE-2014-4372: Tielei Wang e YeongJin Jang del Georgia Tech Information Security Center (GTISC)

  • Meteo

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: le informazioni di Localizzazione vengono inviate non crittografate.

    Descrizione: si verifica un problema di divulgazione delle informazioni in un'API usata per determinare il meteo locale. Questo problema è stato risolto cambiando le API.

  • WebKit

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un sito web pericoloso potrebbe monitorare gli utenti anche quando è attiva la modalità di navigazione privata.

    Descrizione: un'applicazione web può archiviare i dati della cache dell'applicazione HTML 5 durante la navigazione in modalità normale e in seguito leggere i dati durante la navigazione in modalità privata. Questo problema è stato risolto disabilitando l'acceso alla cache dell'applicazione anche quando è attiva la modalità di navigazione privata.

    CVE-ID

    CVE-2014-4409: Yosuke Hasegawa (NetAgent Co., Led.)

  • WebKit

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'accesso a un sito web dannoso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: sono stati rilevati diversi problemi di danneggiamento della memoria in WebKit. Questi problemi vengono risolti mediante una migliore gestione della memoria.

    CVE-ID

    CVE-2013-6663: Atte Kettunen di OUSPG

    CVE-2014-1384: Apple

    CVE-2014-1385: Apple

    CVE-2014-1387: Google Chrome Security Team

    CVE-2014-1388: Apple

    CVE-2014-1389: Apple

    CVE-2014-4410: Eric Seidel di Google

    CVE-2014-4411: Google Chrome Security Team

    CVE-2014-4412: Apple

    CVE-2014-4413: Apple

    CVE-2014-4414: Apple

    CVE-2014-4415: Apple

  • Wi-Fi

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un dispositivo può essere monitorato passivamente attraverso l'indirizzo MAC Wi-Fi.

    Descrizione: si verifica un problema di divulgazione delle informazioni poiché un indirizzo MAC stabile per eseguire la scansione delle reti Wi-Fi. Questo problema è stato risolto tramite la randomizzazione dell'indirizzo MAC per le scansioni Wi-Fi passive.

Nota:

In iOS 8 sono incluse modifiche ad alcuni servizi di diagnostica. Per ulteriori dettagli consulta http://support.apple.com/kb/HT6331?viewlocale=it_IT

Con iOS 8 è ora possibile tramite i dispositivi rimuovere l'autorizzazione a tutti i computer autorizzati in precedenza. Sono disponibili istruzioni all'indirizzo http://support.apple.com/kb/HT5868?viewlocale=it_IT

FaceTime non è disponibile in tutti i Paesi o in tutte le aree geografiche.

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Data di pubblicazione: