Informazioni sul contenuto di sicurezza di iOS 4.2
Questo documento descrive il contenuto di sicurezza di iOS 4.2, che può essere scaricato e installato tramite iTunes.
In questo documento viene descritto il contenuto di sicurezza di iOS 4.2, che può essere scaricato e installato tramite iTunes.
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.
Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple leggi l'articolo "Come usare la chiave PGP per la sicurezza dei prodotti Apple."
Quando possibile, vengono utilizzati ID CVE per fornire ulteriori informazioni sulle vulnerabilità.
Per informazioni su altri aggiornamenti di sicurezza consulta "Aggiornamenti di sicurezza Apple".
iOS 4.2
Profili di configurazione
CVE-ID: CVE-2010-3827
Disponibile per: iOS da 2.0 a 4.1 per iPhone 3G e modelli più recenti, iOS da 2.1 a 4.1 per iPod touch (2a generazione) e modelli più recenti, iOS da 3.2 a 3.2.2 per iPad
Impatto: un utente potrebbe essere indotto a installare un profilo di configurazione creato per scopi illeciti
Descrizione: nella gestione dei profili di configurazione esiste un problema nella convalida delle firme. Nell'utility di installazione della configurazione, la firma di un profilo creato per scopi illeciti potrebbe sembrare valida. Questo problema viene risolto mediante un miglioramento della convalida delle firme dei profili. Ringraziamo Barry Simpson di Bomgar Corporation per aver segnalato il problema.
CoreGraphics
ID CVE: CVE-2010-2805, CVE-2010-2806, CVE-2010-2807, CVE-2010-2808, CVE-2010-3053, CVE-2010-3054
Disponibile per: iOS da 2.0 a 4.1 per iPhone 3G e modelli più recenti, iOS da 2.1 a 4.1 per iPod touch (2a generazione) e modelli più recenti, iOS da 3.2 a 3.2.2 per iPad
Impatto: diversi problemi di vulnerabilità in FreeType 2.4.1
Descrizione: sono presenti diversi problemi di vulnerabilità in FreeType 2.4.1, i più gravi dei quali possono causare l'esecuzione di codice arbitrario durante l'elaborazione di un font pericoloso. Questi problemi vengono risolti effettuando l'aggiornamento alla versione 2.4.2 di FreeType. Ulteriori informazioni sono disponibili sul sito web di FreeType alla pagina http://www.freetype.org/.
FreeType
CVE-ID: CVE-2010-3814
Disponibile per: iOS da 2.0 a 4.1 per iPhone 3G e modelli più recenti, iOS da 2.1 a 4.1 per iPod touch (2a generazione) e modelli più recenti, iOS da 3.2 a 3.2.2 per iPad
Impatto: la visualizzazione di un documento PDF con caratteri pericolosi incorporati può comportare l'esecuzione di codice arbitrario.
Descrizione: nella gestione degli opcode TrueType da parte di FreeType esiste un buffer overflow dello heap. La visualizzazione di un documento PDF con caratteri pericolosi incorporati può condurre a una chiusura imprevista dell'applicazione o all'esecuzione di codice arbitrario. Questo aggiornamento risolve il problema migliorando il controllo dei limiti.
iAd Content Display
CVE-ID: CVE-2010-3828
Disponibile per: iOS da 2.0 a 4.1 per iPhone 3G e modelli più recenti, iOS da 2.1 a 4.1 per iPod touch (2a generazione) e modelli più recenti, iOS da 3.2 a 3.2.2 per iPad
Impatto: un utente non autorizzato che si trova in una posizione privilegiata nel network potrebbe avviare una chiamata
Descrizione: in iAd Content Display esiste un problema nella gestione degli URL. Un iAd viene richiesto da un'applicazione, in modo automatico o attraverso un'azione esplicita di un utente. Immettendo i contenuti di un iAd richiesto con un collegamento contenente uno schema di URL utilizzato per avviare una chiamata, un utente non autorizzato che si trova in una posizione privilegiata del network potrebbe avviare una chiamata. Questo problema viene risolto assicurandosi che all'utente venga visualizzato un messaggio prima di avviare una chiamata tramite un collegamento. Ringraziamo Aaron Sigel di vtty.com per aver segnalato il problema.
ImageIO
ID CVE: CVE-2010-2249, CVE-2010-1205
Disponibile per: iOS da 2.0 a 4.1 per iPhone 3G e modelli più recenti, iOS da 2.1 a 4.1 per iPod touch (2a generazione) e modelli più recenti, iOS da 3.2 a 3.2.2 per iPad
Impatto: diversi problemi di vulnerabilità in libpng.
Descrizione: l'aggiornamento di libpng alla versione 1.4.3 consente di risolvere diversi problemi di vulnerabilità, il più grave dei quali può comportare l'esecuzione di codice arbitrario. Per ulteriori informazioni, consulta il sito web di libpng all'indirizzo http://www.libpng.org/pub/png/libpng.html.
libxml
CVE-ID: CVE-2010-4008
Disponibile per: iOS da 2.0 a 4.1 per iPhone 3G e modelli più recenti, iOS da 2.1 a 4.1 per iPod touch (2a generazione) e modelli più recenti, iOS da 3.2 a 3.2.2 per iPad
Impatto: l'accesso a un sito web pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: nella gestione degli xpath in libxml esiste un problema di corruzione della memoria. L'accesso a un sito web pericoloso potrebbe causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto mediante un miglioramento nella gestione degli xpath. Ringraziamo Bui Quang Minh di Bkis (www.bkis.com) per aver segnalato il problema.
Mail
CVE-ID: CVE-2010-3829
Disponibile per: iOS da 2.0 a 4.1 per iPhone 3G e modelli più recenti, iOS da 2.1 a 4.1 per iPod touch (2a generazione) e modelli più recenti, iOS da 3.2 a 3.2.2 per iPad
Impatto: Mail potrebbe risolvere nomi DNS quando il caricamento di immagini remote è disabilitato
Descrizione: quando WebKit rileva un elemento collegamento HTML che richiede la prelettura DNS, esegue la prelettura anche se il caricamento di immagini remote è disabilitato. Ciò può comportare una richiesta non desiderata ai server remoti. Il mittente di un messaggio di posta elettronica in formato HTML può utilizzarla per determinare se il messaggio è stato visualizzato. Questo problema viene risolto mediante la disabilitazione della prelettura DNS quando il caricamento di immagini remote è disabilitato. Ringraziamo Mike Cardwell di Cardwell IT Ltd. per aver segnalato il problema.
Networking
ID CVE: CVE-2010-1843
Disponibile per: iOS da 4.0 a 4.1 per iPhone 3GS e modelli più recenti, iOS da 4.0 a 4.1 per iPod touch (3a generazione), iOS da 3.2 a 3.2.2 per iPad
Impatto: un malintenzionato collegato in remoto potrebbe causare la chiusura improvvisa del sistema.
Descrizione: si verifica un dereferenziamento nella gestione dei pacchetti di PIM (Protocol Independent Multicast). Inviando un pacchetto PIM pericoloso, un malintenzionato collegato in remoto potrebbe causare la chiusura improvvisa del sistema. Questo problema viene risolto attraverso una migliore convalida dei pacchetti PIM. Ringraziamo un ricercatore anonimo, collaboratore della Zero Day Initiative di TippingPoint, per aver segnalato il problema. Questo problema non ha effetto su dispositivi con versioni di iOS precedenti alla 3.2.
Networking
CVE-ID: CVE-2010-3830
Disponibile per: iOS da 2.0 a 4.1 per iPhone 3G e modelli più recenti, iOS da 2.1 a 4.1 per iPod touch (2a generazione) e modelli più recenti, iOS da 3.2 a 3.2.2 per iPad
Impatto: un codice creato per scopi illeciti potrebbe ottenere privilegi di sistema
Descrizione: nella gestione delle regole per i filtri dei pacchetti in Networking esiste un riferimento a un puntatore non valido. Ciò potrebbe consentire a un codice creato per scopi illeciti, in esecuzione nella sessione dell'utente, di ottenere privilegi di sistema. Questo problema viene risolto mediante un miglioramento della gestione delle regole per i filtri dei pacchetti.
OfficeImport
CVE-ID: CVE-2010-3786
Disponibile per: dalla versione iOS 3.2 alla versione 3.2.2 per iPad
Impatto: la visualizzazione di un file Excel pericoloso potrebbe provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: nella gestione di file Excel in OfficeImport esiste un problema di corruzione della memoria. La visualizzazione di un file Excel pericoloso potrebbe provocare la chiusura inaspettata dell'applicazione o l'esecuzione arbitraria di codice. Questo problema viene risolto attraverso un migliore controllo dei limiti. Questo problema è stato risolto nei dispositivi iPhone in iOS 4. Ringraziamo Tobias Klein, che lavora presso VeriSign iDefense Labs, per aver segnalato il problema.
Blocco con codice
CVE-ID: CVE-2010-4012
Disponibile per: iOS da 4.0 a 4.1 per iPhone 3G e modelli più recenti
Impatto: una persona con accesso fisico a un dispositivo può accedere ai dati dell'utente
Descrizione: nella gestione delle chiamate di emergenza esiste un problema di race condition. Premendo rapidamente il pulsante Stop/Riattiva dopo aver avviato una chiamata dalla schermata Chiamata di emergenza, una persona potrebbe essere in grado di superare il blocco con codice. Questo problema viene risolto mediante un miglioramento nella verifica dello stato di blocco.
Foto
CVE-ID: CVE-2010-3831
Disponibile per: iOS da 2.0 a 4.1 per iPhone 3G e modelli più recenti, iOS da 2.1 a 4.1 per iPod touch (2a generazione) e modelli più recenti, iOS da 3.2 a 3.2.2 per iPad
Impatto: "Invia a MobileMe" può fare in modo che venga rivelata la password dell'account di MobileMe.
Descrizione: l'applicazione Immagini consente agli utenti di condividere le proprie immagini e i propri filmati attraverso vari metodi. Uno di questi consiste nel pulsante "Invia a MobileMe", che carica i contenuti selezionati nella galleria MobileMe dell'utente. Se presso il server non è presente un altro meccanismo di autenticazione, l'applicazione Immagini utilizzerà l'autenticazione HTTP di base. Un utente non autorizzato che si trova in una posizione privilegiata nel network potrebbe manipolare la risposta della galleria MobileMe per richiedere l'autenticazione di base, causando la rivelazione della password dell'account di MobileMe. Questo problema viene risolto disabilitando il supporto per l'autenticazione di base. Ringraziamo Aaron Sigel di vtty.com per aver segnalato il problema.
Safari
CVE-ID: CVE-2009-1707
Disponibile per: iOS da 2.0 a 4.1 per iPhone 3G e modelli più recenti, iOS da 2.1 a 4.1 per iPod touch (2a generazione) e modelli più recenti, iOS da 3.2 a 3.2.2 per iPad
Impatto: il comando "Reinizializza Safari" potrebbe non rimuovere immediatamente le password dei siti web dalla memoria
Descrizione: dopo aver fatto clic sul pulsante "Reinizializza", nell'opzione "Reinizializza Safari..." del menu, l'eliminazione delle password potrebbe richiedere fino a 30 secondi. Un utente che dispone dell'accesso al dispositivo per un periodo di tempo limitato potrebbe essere in grado di accedere alle credenziali memorizzate. Questo problema viene risolto eliminando la race condition che ha causato il ritardo. Ringraziamo Philippe Couturier di izypage.com e Andrew Wellington della Australian National University per aver segnalato il problema.
Telefonia
CVE-ID: CVE-2010-3832
Disponibile per: iOS da 2.0 a 4.1 per iPhone 3G e versioni più recenti, iOS da 3.2 a 3.2.2 per iPad
Impatto: un malintenzionato collegato in remoto potrebbe causare l'esecuzione di codice arbitrario.
Descrizione: nella gestione della mobilità GSM esiste un buffer overflow dello heap all'interno della gestione dei campi TMSI (Temporary Mobile Subscriber Identity). Ciò può consentire a un utente non autorizzato collegato in remoto di causare l'esecuzione di codice arbitrario nel processore della banda base. Questo problema viene risolto attraverso un migliore controllo dei limiti. Ringraziamo Ralf-Philipp Weinmann dell'Università del Lussemburgo per aver segnalato il problema.
WebKit
ID CVE: CVE-2010-3803
Disponibile per: iOS da 2.0 a 4.1 per iPhone 3G e modelli più recenti, iOS da 2.1 a 4.1 per iPod touch (2a generazione) e modelli più recenti, iOS da 3.2 a 3.2.2 per iPad
Impatto: l'accesso a un sito web pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: è presente un overflow di numero intero nella gestione delle stringhe di WebKit. L'accesso a un sito web pericoloso potrebbe causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto attraverso un migliore controllo dei limiti. Ringraziamo J23 per aver segnalato il problema.
WebKit
ID CVE: CVE-2010-3824
Disponibile per: iOS da 2.0 a 4.1 per iPhone 3G e modelli più recenti, iOS da 2.1 a 4.1 per iPod touch (2a generazione) e modelli più recenti, iOS da 3.2 a 3.2.2 per iPad
Impatto: l'accesso a un sito web pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema di tipo use-after-free nella gestione degli elementi "use" nei documenti SVG da parte di WebKit. L'accesso a un sito web pericoloso potrebbe causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto mediante una migliore gestione della memoria. Ringraziamo wushi di team509 per aver segnalato il problema.
WebKit
ID CVE: CVE-2010-3816
Disponibile per: iOS da 2.0 a 4.1 per iPhone 3G e modelli più recenti, iOS da 2.1 a 4.1 per iPod touch (2a generazione) e modelli più recenti, iOS da 3.2 a 3.2.2 per iPad
Impatto: l'accesso a un sito web pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: esiste un problema di tipo use-after-free nella gestione delle barre di scorrimento da parte di WebKit. L'accesso a un sito web pericoloso potrebbe causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto mediante una migliore gestione della memoria. Ringraziamo Rohit Makasana di Google Inc. per aver segnalato il problema.
WebKit
ID CVE: CVE-2010-3809
Disponibile per: iOS da 2.0 a 4.1 per iPhone 3G e modelli più recenti, iOS da 2.1 a 4.1 per iPod touch (2a generazione) e modelli più recenti, iOS da 3.2 a 3.2.2 per iPad
Impatto: l'accesso a un sito web pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verifica un errore di cast non valido nella gestione degli stili in linea di WebKit. L'accesso a un sito web pericoloso potrebbe causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto mediante una migliore gestione degli stili in linea. Ringraziamo Abhishek Arya (Inferno) di Google Chrome Security Team per aver segnalato il problema.
WebKit
ID CVE: CVE-2010-3810
Disponibile per: iOS da 2.0 a 4.1 per iPhone 3G e modelli più recenti, iOS da 2.1 a 4.1 per iPod touch (2a generazione) e modelli più recenti, iOS da 3.2 a 3.2.2 per iPad
Impatto: un sito web pericoloso potrebbe effettuare lo spoofing dell'indirizzo nella barra degli indirizzi o aggiungere indirizzi arbitrari alla cronologia.
Descrizione: si verifica un problema di origini diverse nella gestione dell'elemento cronologia di WebKit. Un sito web pericoloso potrebbe effettuare lo spoofing dell'indirizzo nella barra degli indirizzi o aggiungere indirizzi arbitrari alla cronologia. Questo problema viene risolto mediante un migliore rilevamento delle origini di sicurezza. Ringraziamo Mike Taylor di Opera Software per aver segnalato il problema.
WebKit
ID CVE: CVE-2010-3805
Disponibile per: iOS da 2.0 a 4.1 per iPhone 3G e modelli più recenti, iOS da 2.1 a 4.1 per iPod touch (2a generazione) e modelli più recenti, iOS da 3.2 a 3.2.2 per iPad
Impatto: l'accesso a un sito web pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verifica un overflow di numero intero nella gestione di WebSocket in WebKit. L'accesso a un sito web pericoloso potrebbe causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto attraverso un migliore controllo dei limiti. Ringraziamo Keith Campbell e Cris Neckar di Google Chrome Security Team per aver segnalato il problema.
WebKit
ID CVE: CVE-2010-3823
Disponibile per: iOS da 2.0 a 4.1 per iPhone 3G e modelli più recenti, iOS da 2.1 a 4.1 per iPod touch (2a generazione) e modelli più recenti, iOS da 3.2 a 3.2.2 per iPad
Impatto: l'accesso a un sito web pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema di tipo use-after-free nella gestione degli oggetti di rilevamento geografico di WebKit. L'accesso a un sito web pericoloso potrebbe causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto mediante una migliore gestione della memoria. Ringraziamo kuzzcc per aver segnalato il problema.
WebKit
ID CVE: CVE-2010-3116
Disponibile per: iOS da 2.0 a 4.1 per iPhone 3G e modelli più recenti, iOS da 2.1 a 4.1 per iPod touch (2a generazione) e modelli più recenti, iOS da 3.2 a 3.2.2 per iPad
Impatto: l'accesso a un sito web pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verificano diversi problemi di tipo use-after-free nella gestione dei plug-in di WebKit. L'accesso a un sito web pericoloso potrebbe causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Questi problemi vengono risolti mediante una migliore gestione della memoria.
WebKit
ID CVE: CVE-2010-3812
Disponibile per: iOS da 2.0 a 4.1 per iPhone 3G e modelli più recenti, iOS da 2.1 a 4.1 per iPod touch (2a generazione) e modelli più recenti, iOS da 3.2 a 3.2.2 per iPad
Impatto: l'accesso a un sito web pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verifica un overflow di numero intero nella gestione degli oggetti testo di WebKit. L'accesso a un sito web pericoloso potrebbe causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto attraverso un migliore controllo dei limiti. Ringraziamo J23, collaboratore della Zero Day Initiative di TippingPoint per aver segnalato il problema.
WebKit
ID CVE: CVE-2010-3808
Disponibile per: iOS da 2.0 a 4.1 per iPhone 3G e modelli più recenti, iOS da 2.1 a 4.1 per iPod touch (2a generazione) e modelli più recenti, iOS da 3.2 a 3.2.2 per iPad
Impatto: l'accesso a un sito web pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verifica un errore di cast non valido nella gestione dei comandi di modifica di WebKit. L'accesso a un sito web pericoloso potrebbe causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto mediante una migliore gestione dei comandi di modifica. Ringraziamo wushi di team509 per aver segnalato il problema.
WebKit
ID CVE: CVE-2010-3259
Disponibile per: iOS da 2.0 a 4.1 per iPhone 3G e modelli più recenti, iOS da 2.1 a 4.1 per iPod touch (2a generazione) e modelli più recenti, iOS da 3.2 a 3.2.2 per iPad
Impatto: visitare un sito web pericoloso può comportare la divulgazione di dati immagine da un altro sito.
Descrizione: si verifica un problema di origini diverse nella gestione delle immagini create da elementi "canvas" in WebKit. Visitare un sito web pericoloso può comportare la divulgazione di dati immagine da un altro sito. Questo problema viene risolto mediante un migliore rilevamento delle origini di sicurezza. Ringraziamo Isaac Dawson e James Qiu di Microsoft e Microsoft Vulnerability Research (MSVR) per aver segnalato il problema.
WebKit
ID CVE: CVE-2010-1822
Disponibile per: iOS da 2.0 a 4.1 per iPhone 3G e modelli più recenti, iOS da 2.1 a 4.1 per iPod touch (2a generazione) e modelli più recenti, iOS da 3.2 a 3.2.2 per iPad
Impatto: l'accesso a un sito web pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema di cast non valido nella gestione degli elementi SVG nei documenti SVG da parte di WebKit. L'accesso a un sito web pericoloso potrebbe causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto mediante una migliore gestione degli elementi SVG. Ringraziamo wushi di team509 per aver segnalato il problema.
WebKit
ID CVE: CVE-2010-3811
Disponibile per: iOS da 2.0 a 4.1 per iPhone 3G e modelli più recenti, iOS da 2.1 a 4.1 per iPod touch (2a generazione) e modelli più recenti, iOS da 3.2 a 3.2.2 per iPad
Impatto: l'accesso a un sito web pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema di tipo use-after-free nella gestione degli attributi degli elementi di WebKit. L'accesso a un sito web pericoloso potrebbe causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto mediante una migliore gestione della memoria. Ringraziamo Michal Zalewski per aver segnalato il problema.
WebKit
ID CVE: CVE-2010-3817
Disponibile per: iOS da 2.0 a 4.1 per iPhone 3G e modelli più recenti, iOS da 2.1 a 4.1 per iPod touch (2a generazione) e modelli più recenti, iOS da 3.2 a 3.2.2 per iPad
Impatto: l'accesso a un sito web pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema di cast non valido nella gestione delle conversioni 3D CSS di WebKit. L'accesso a un sito web pericoloso potrebbe causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto mediante una migliore gestione delle conversioni 3D CSS. Ringraziamo Abhishek Arya (Inferno) di Google Chrome Security Team per aver segnalato il problema.
WebKit
ID CVE: CVE-2010-3818
Disponibile per: iOS da 2.0 a 4.1 per iPhone 3G e modelli più recenti, iOS da 2.1 a 4.1 per iPod touch (2a generazione) e modelli più recenti, iOS da 3.2 a 3.2.2 per iPad
Impatto: l'accesso a un sito web pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema di tipo use-after-free nella gestione delle caselle di testo in linea di WebKit. L'accesso a un sito web pericoloso potrebbe causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto mediante una migliore gestione della memoria. Ringraziamo Abhishek Arya (Inferno) di Google Chrome Security Team per aver segnalato il problema.
WebKit
ID CVE: CVE-2010-3819
Disponibile per: iOS da 2.0 a 4.1 per iPhone 3G e modelli più recenti, iOS da 2.1 a 4.1 per iPod touch (2a generazione) e modelli più recenti, iOS da 3.2 a 3.2.2 per iPad
Impatto: l'accesso a un sito web pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema di cast non valido nella gestione delle caselle CSS di WebKit. L'accesso a un sito web pericoloso potrebbe causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto mediante una migliore gestione delle caselle CSS. Ringraziamo Abhishek Arya (Inferno) di Google Chrome Security Team per aver segnalato il problema.
WebKit
ID CVE: CVE-2010-3820
Disponibile per: iOS da 2.0 a 4.1 per iPhone 3G e modelli più recenti, iOS da 2.1 a 4.1 per iPod touch (2a generazione) e modelli più recenti, iOS da 3.2 a 3.2.2 per iPad
Impatto: l'accesso a un sito web pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema di accesso alla memoria non inizializzata nella gestione degli elementi modificabili di WebKit. L'accesso a un sito web pericoloso potrebbe causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto mediante una migliore gestione degli elementi modificabili. Si ringrazia: Apple.
WebKit
ID CVE: CVE-2010-1789
Disponibile per: iOS da 2.0 a 4.1 per iPhone 3G e modelli più recenti, iOS da 2.1 a 4.1 per iPod touch (2a generazione) e modelli più recenti, iOS da 3.2 a 3.2.2 per iPad
Impatto: l'accesso a un sito web pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: overflow del buffer di heap nella gestione delle stringhe JavaScript da parte di WebKit. L'accesso a un sito web pericoloso potrebbe causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto attraverso un migliore controllo dei limiti. Si ringrazia: Apple.
WebKit
ID CVE: CVE-2010-1806
Disponibile per: iOS da 2.0 a 4.1 per iPhone 3G e modelli più recenti, iOS da 2.1 a 4.1 per iPod touch (2a generazione) e modelli più recenti, iOS da 3.2 a 3.2.2 per iPad
Impatto: l'accesso a un sito web pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: esiste un problema di tipo use-after-free nella gestione di elementi con stile run-in da parte di WebKit. L'accesso a un sito web pericoloso potrebbe causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto tramite una migliore gestione dei puntatori degli oggetti. Ringraziamo wushi di team509, collaboratore della Zero Day Initiative di TippingPoint, per aver segnalato il problema.
WebKit
ID CVE: CVE-2010-3257
Disponibile per: iOS da 2.0 a 4.1 per iPhone 3G e modelli più recenti, iOS da 2.1 a 4.1 per iPod touch (2a generazione) e modelli più recenti, iOS da 3.2 a 3.2.2 per iPad
Impatto: l'accesso a un sito web pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: esiste un problema di tipo utilizzo use-after-free nella gestione della messa a fuoco degli elementi da parte di WebKit. L'accesso a un sito web pericoloso potrebbe causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto attraverso una migliore gestione della memoria. Ringraziamo VUPEN Vulnerability Research Team per aver segnalato il problema.
WebKit
ID CVE: CVE-2010-3826
Disponibile per: iOS da 2.0 a 4.1 per iPhone 3G e modelli più recenti, iOS da 2.1 a 4.1 per iPod touch (2a generazione) e modelli più recenti, iOS da 3.2 a 3.2.2 per iPad
Impatto: l'accesso a un sito web pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema di cast non valido nella gestione dei colori nei documenti SVG da parte di WebKit. L'accesso a un sito web pericoloso potrebbe causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto mediante una migliore gestione dei colori nei documenti SVG. Ringraziamo Abhishek Arya (Inferno) di Google Chrome Security Team per aver segnalato il problema.
WebKit
ID CVE: CVE-2010-1807
Disponibile per: iOS da 2.0 a 4.1 per iPhone 3G e modelli più recenti, iOS da 2.1 a 4.1 per iPod touch (2a generazione) e modelli più recenti, iOS da 3.2 a 3.2.2 per iPad
Impatto: l'accesso a un sito web pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: esiste un problema di convalida dell'input nella gestione dei tipi di dati a virgola mobile da parte di WebKit. L'accesso a un sito web pericoloso potrebbe causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto mediante un miglioramento della gestione dei valori della virgola mobile. Ringraziamo Luke Wagner di Mozilla per aver segnalato il problema.
WebKit
ID CVE: CVE-2010-3821
Disponibile per: iOS da 2.0 a 4.1 per iPhone 3G e modelli più recenti, iOS da 2.1 a 4.1 per iPod touch (2a generazione) e modelli più recenti, iOS da 3.2 a 3.2.2 per iPad
Impatto: l'accesso a un sito web pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema di corruzione della memoria nella gestione dello pseudo-elemento ":first-letter" nei fogli di stile a cascata (CSS). L'accesso a un sito web pericoloso potrebbe causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto tramite una migliore gestione dello pseudo-elemento ":first-letter". Ringraziamo Cris Neckar e Abhishek Arya (Inferno) di Google Chrome Security per aver segnalato il problema.
WebKit
ID CVE: CVE-2010-3804
Disponibile per: iOS da 2.0 a 4.1 per iPhone 3G e modelli più recenti, iOS da 2.1 a 4.1 per iPod touch (2a generazione) e modelli più recenti, iOS da 3.2 a 3.2.2 per iPad
Impatto: i siti web potrebbero tracciare le attività degli utenti all'insaputa di questi ultimi.
Descrizione: Safari genera dei numeri casuali per le applicazioni JavaScript utilizzando un algoritmo prevedibile. Questo potrebbe consentire a un sito web di tracciare l'attività di una specifica sessione di Safari senza ricorrere a cookie, elementi di moduli nascosti, indirizzi IP o altre tecniche. Questo aggiornamento risolve il problema utilizzando un generatore di numeri casuali migliorato. Ringraziamo Amit Klein di Trusteer per aver segnalato il problema.
WebKit
ID CVE: CVE-2010-3813
Disponibile per: iOS da 2.0 a 4.1 per iPhone 3G e modelli più recenti, iOS da 2.1 a 4.1 per iPod touch (2a generazione) e modelli più recenti, iOS da 3.2 a 3.2.2 per iPad
Impatto: WebKit potrebbe eseguire la prelettura DNS anche se disabilitata.
Descrizione: quando WebKit rileva un elemento collegamento HTML che richiede la prelettura DNS, questo verrà eseguito anche se la prelettura è disattivata. Ciò può comportare una richiesta non desiderata ai server remoti. Ad esempio, il mittente di un messaggio e-mail formattato in HTML potrebbe utilizzare questa funzione per stabilire se il messaggio è stato aperto. Questo problema viene risolto mediante una migliore gestione delle richieste di prelettura DNS. Ringraziamo Jeff Johnson di Rogue Amoeba Software per aver segnalato il problema.
WebKit
ID CVE: CVE-2010-3822
Disponibile per: iOS da 2.0 a 4.1 per iPhone 3G e modelli più recenti, iOS da 2.1 a 4.1 per iPod touch (2a generazione) e modelli più recenti, iOS da 3.2 a 3.2.2 per iPad
Impatto: l'accesso a un sito web pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema relativo al puntatore non inizializzato nella gestione degli stili dei contatori CSS di WebKit. L'accesso a un sito web pericoloso potrebbe causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto mediante una migliore gestione degli stili dei contatori CSS. Ringraziamo kuzzcc per aver segnalato il problema.
WebKit
Disponibile per: iOS da 2.0 a 4.1 per iPhone 3G e modelli più recenti, iOS da 2.1 a 4.1 per iPod touch (2a generazione) e modelli più recenti, iOS da 3.2 a 3.2.2 per iPad
Impatto: un sito web pericoloso potrebbe individuare i siti visitati dall'utente.
Descrizione: si verifica un problema di progettazione nella gestione della pseudo-classe :visited CSS da parte di WebKit. Un sito web pericoloso potrebbe individuare i siti visitati dall'utente. Questo aggiornamento limita la capacità delle pagine web di progettare le pagine in base alla frequenza di accessi al link.
Componenti multipli
CVE-ID: CVE-2010-0051, CVE-2010-0544, CVE-2010-0042, CVE-2010-1384, CVE-2010-1387, CVE-2010-1392, CVE-2010-1394, CVE-2010-1403, CVE-2010-1405, CVE-2010-1407, CVE-2010-1408, CVE-2010-1410, CVE-2010-1414, CVE-2010-1415, CVE-2010-1416, CVE-2010-1417, CVE-2010-1418, CVE-2010-1421, CVE-2010-1422, CVE-2010-1757, CVE-2010-1758, CVE-2010-1764, CVE-2010-1770, CVE-2010-1771, CVE-2010-1780, CVE-2010-1781, CVE-2010-1782, CVE-2010-1783, CVE-2010-1784, CVE-2010-1785, CVE-2010-1786, CVE-2010-1787, CVE-2010-1788, CVE-2010-1791, CVE-2010-1793, CVE-2010-1811, CVE-2010-1812, CVE-2010-1813, CVE-2010-1814, CVE-2010-1815
Disponibile per: iOS da 3.2 a 3.2.2 per iPad
Impatto: caratteristiche di sicurezza multiple in iOS per iPad
Descrizione: in questo aggiornamento sono incorporate caratteristiche di sicurezza fornite per iPhone e iPod touch in iOS 4 e iOS 4.1.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.