Informazioni sui contenuti di sicurezza di iOS 4.3

Questo documento descrive i contenuti di sicurezza di iOS 4.3.

Questo documento descrive i contenuti di sicurezza di iOS 4.3, che è possibile scaricare e installare tramite iTunes.

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple consulta l'articolo "Come usare la chiave PGP per la sicurezza dei prodotti Apple".

Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza consulta l'articolo "Aggiornamenti di sicurezza Apple".

iOS 4.3

  • CoreGraphics

    Disponibile per: iOS dalla versione 3.0 alla 4.2.1 per iPhone 3GS e versioni più recenti, iOS dalla versione 3.1 alla 4.2.1 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla 4.2.1 per iPad

    Impatto: diverse vulnerabilità in FreeType.

    Descrizione: erano presenti diverse vulnerabilità in FreeType, la più grave delle quali poteva causare l'esecuzione di codice arbitrario durante l'elaborazione di un font pericoloso. Questi problemi sono stati risolti effettuando l'aggiornamento alla versione 2.4.3 di FreeType. Ulteriori informazioni sono disponibili sul sito web di FreeType alla pagina http://www.freetype.org/.

    ID CVE

    CVE-2010-3855

  • ImageIO

    Disponibile per: iOS dalla versione 3.0 alla 4.2.1 per iPhone 3GS e versioni più recenti, iOS dalla versione 3.1 alla 4.2.1 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla 4.2.1 per iPad

    Impatto: l'apertura di un'immagine TIFF pericolosa potrebbe causare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un overflow del buffer nella gestione delle immagini TIFF con codifica JPEG in libTIFF. L'apertura di un'immagine TIFF pericolosa poteva causare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario.

    ID CVE

    CVE-2011-0191: Apple

  • ImageIO

    Disponibile per: iOS dalla versione 3.0 alla 4.2.1 per iPhone 3GS e versioni più recenti, iOS dalla versione 3.1 alla 4.2.1 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla 4.2.1 per iPad

    Impatto: l'apertura di un'immagine TIFF pericolosa potrebbe causare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un overflow del buffer nella gestione delle immagini TIFF con codifica CCITT Group 4 in libTIFF. L'apertura di un'immagine TIFF pericolosa poteva causare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario.

    ID CVE

    CVE-2011-0192: Apple

  • libxml

    Disponibile per: iOS dalla versione 3.0 alla 4.2.1 per iPhone 3GS e versioni più recenti, iOS dalla versione 3.1 alla 4.2.1 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla 4.2.1 per iPad

    Impatto: l'accesso a un sito web pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un problema di double free nella gestione di espressioni XPath in libxml. L'accesso a un sito web pericoloso poteva causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    ID CVE

    CVE-2010-4494: Yang Dingning di NCNIPC, Università di Specializzazione dell'Accademia Cinese delle Scienze

  • Networking

    Disponibile per: iOS dalla versione 3.0 alla 4.2.1 per iPhone 3GS e versioni più recenti, iOS dalla versione 3.1 alla 4.2.1 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla 4.2.1 per iPad

    Impatto: un server potrebbe riuscire a individuare un dispositivo tra le connessioni.

    Descrizione: l'indirizzo IPv6 scelto dal dispositivo contiene l'indirizzo MAC del dispositivo con l'utilizzo dell'autoconfigurazione dell'indirizzo stateless (SLAAC). Un server che supporta il protocollo IPv6 contattato dal dispositivo può utilizzare l'indirizzo per rilevare il dispositivo tra le connessioni. Questo aggiornamento implementa l'estensione di IPv6 descritta in RFC 3041, aggiungendo un indirizzo casuale temporaneo utilizzato per le connessioni in uscita.

  • Safari

    Disponibile per: iOS dalla versione 3.0 alla 4.2.1 per iPhone 3GS e versioni più recenti, iOS dalla versione 3.1 alla 4.2.1 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla 4.2.1 per iPad

    Impatto: l'accesso a un sito web pericoloso potrebbe forzare la chiusura di MobileSafari all'avvio.

    Descrizione: un sito web pericoloso potrebbe presentare contenuto Javascript che causa l'avvio ripetuto di un'altra applicazione sul dispositivo tramite il suo gestore di URL. L'accesso a questo sito pericoloso con MobileSafari potrebbe causare la chiusura di MobileSafari e l'avvio dell'applicazione di destinazione, generando una sequenza che si ripete a ogni apertura di MobileSafari. Questo problema viene risolto tornando alla pagina precedente al momento della riapertura Safari dopo l'avvio dell'altra applicazione tramite il suo gestore di URL.

    ID CVE

    CVE-2011-0158: Nitesh Dhanjani di Ernst & Young LLP

  • Safari

    Disponibile per: iOS dalla versione 4.0 alla 4.2.1 per iPhone 3GS e versioni più recenti, iOS dalla versione 4.0 alla 4.2.1 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 4.2 alla 4.2.1 per iPad

    Impatto: la cancellazione dei cookie tramite le impostazioni di Safari potrebbe non avere effetto.

    Descrizione: talvolta cancellare i cookie tramite le impostazioni di Safari mentre il programma è in esecuzione potrebbe non avere effetto. Questo problema viene risolto tramite una migliore gestione dei cookie e e non interessa i sistemi precedenti a iOS 4.0.

    ID CVE

    CVE-2011-0159: Erik Wong di Google Inc.

  • WebKit

    Disponibile per: iOS dalla versione 3.0 alla 4.2.1 per iPhone 3GS e versioni più recenti, iOS dalla versione 3.1 alla 4.2.1 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla 4.2.1 per iPad

    Impatto: l'accesso a un sito web pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificano diversi problemi di danneggiamento della memoria in WebKit. L'accesso a un sito web pericoloso poteva causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    ID CVE

    CVE-2010-1792

    CVE-2010-1824: kuzzcc e wushi del team509, collaboratori della Zero Day Initiative di TippingPoint

    CVE-2011-0111: Sergey Glazunov

    CVE-2011-0112: Yuzo Fujishima di Google Inc.

    CVE-2011-0113: Andreas Kling di Nokia

    CVE-2011-0114: Chris Evans del Google Chrome Security Team

    CVE-2011-0115: J23, collaboratore della Zero Day Initiative di TippingPoint ed Emil A Eklund di Google Inc.

    CVE-2011-0116: un ricercatore anonimo che collabora con la Zero Day Initiative di TippingPoint

    CVE-2011-0117: Abhishek Arya (Inferno) di Google Inc.

    CVE-2011-0118: Abhishek Arya (Inferno) di Google Inc.

    CVE-2011-0119: Abhishek Arya (Inferno) di Google Inc.

    CVE-2011-0120: Abhishek Arya (Inferno) di Google Inc.

    CVE-2011-0121: Abhishek Arya (Inferno) di Google Inc.

    CVE-2011-0122: Slawomir Blazek

    CVE-2011-0123: Abhishek Arya (Inferno) di Google Inc.

    CVE-2011-0124: Yuzo Fujishima di Google Inc.

    CVE-2011-0125: Abhishek Arya (Inferno) di Google Inc.

    CVE-2011-0126: Mihai Parparita di Google Inc.

    CVE-2011-0127: Abhishek Arya (Inferno) di Google Inc.

    CVE-2011-0128: David Bloom

    CVE-2011-0129: Famlam

    CVE-2011-0130: Apple

    CVE-2011-0131: wushi del team509

    CVE-2011-0132: wushi del team509, collaboratore della Zero Day Initiative di TippingPoint

    CVE-2011-0133: wushi del team509, collaboratore della Zero Day Initiative di TippingPoint

    CVE-2011-0134: Jan Tosovsky

    CVE-2011-0135: segnalazione anonima

    CVE-2011-0136: Sergey Glazunov

    CVE-2011-0137: Sergey Glazunov

    CVE-2011-0138: kuzzcc

    CVE-2011-0140: Sergey Glazunov

    CVE-2011-0141: Chris Rohlf di Matasano Security

    CVE-2011-0142: Abhishek Arya (Inferno) di Google Inc.

    CVE-2011-0143: Slawomir Blazek e Sergey Glazunov

    CVE-2011-0144: Emil A Eklund di Google Inc.

    CVE-2011-0145: Abhishek Arya (Inferno) di Google Inc.

    CVE-2011-0146: Abhishek Arya (Inferno) di Google Inc.

    CVE-2011-0147: Dirk Schulze

    CVE-2011-0148: Michal Zalewski di Google Inc.

    CVE-2011-0149: wushi del team509, collaboratore della Zero Day Initiative di TippingPoint e SkyLined del Google Chrome Security Team

    CVE-2011-0150: Michael Gundlach di safariadblock.com

    CVE-2011-0151: Abhishek Arya (Inferno) di Google Inc.

    CVE-2011-0152: SkyLined del Google Chrome Security Team

    CVE-2011-0153: Abhishek Arya (Inferno) di Google Inc.

    CVE-2011-0154: un ricercatore anonimo che collabora con la Zero Day Initiative di TippingPoint

    CVE-2011-0155: Aki Helin di OUSPG

    CVE-2011-0156: Abhishek Arya (Inferno) di Google Inc.

    CVE-2011-0157: Benoit Jacob di Mozilla

    CVE-2011-0168: Sergey Glazunov

  • WebKit

    Disponibile per: iOS dalla versione 3.0 alla 4.2.1 per iPhone 3GS e versioni più recenti, iOS dalla versione 3.1 alla 4.2.1 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla 4.2.1 per iPad

    Impatto: le credenziali di autenticazione di base HTTP potrebbero essere inavvertitamente divulgate a un altro sito.

    Descrizione: se un sito utilizza l'autenticazione di base HTTP e reindirizza a un altro sito, le credenziali di autenticazione potrebbero essere inviate all'altro sito. Questo problema viene risolto tramite una migliore gestione delle credenziali.

    ID CVE

    CVE-2011-0160: McIntosh Cooey di Twelve Hundred Group, Harald Hanche-Olsen, Chuck Hohn di 1111 Internet LLC che collabora con CERT e Paul Hinze di Braintree

  • WebKit

    Disponibile per: iOS dalla versione 3.0 alla 4.2.1 per iPhone 3GS e versioni più recenti, iOS dalla versione 3.1 alla 4.2.1 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla 4.2.1 per iPad

    Impatto: l'accesso a un sito web pericoloso potrebbe causare dichiarazioni di cross-site.

    Descrizione: si verificava un problema multiorigine nella gestione di Attr.style accessor in WebKit. L'accesso a un sito web pericoloso poteva permettere al sito di inserire CSS negli altri documenti. Questo problema è stato risolto eliminando Attr.style accessor.

    ID CVE

    CVE-2011-0161: Apple

  • WebKit

    Disponibile per: iOS dalla versione 3.0 alla 4.2.1 per iPhone 3GS e versioni più recenti, iOS dalla versione 3.1 alla 4.2.1 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla 4.2.1 per iPad

    Impatto: un sito web pericoloso potrebbe riuscire a bloccare le richieste di determinate risorse da parte di altri siti.

    Descrizione: si verificava un problema di inquinamento della cache nella gestione delle risorse nella cache di WebKit. Un sito web pericoloso poteva riuscire a bloccare le richieste di determinate risorse da parte di altri siti. Questo problema è stato risolto tramite un migliore controllo dei tipi.

    ID CVE

    CVE-2011-0163: Apple

  • Wi-Fi

    Disponibile per: iOS dalla versione 3.0 alla 4.2.1 per iPhone 3GS e versioni più recenti, iOS dalla versione 3.1 alla 4.2.1 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla 4.2.1 per iPad

    Impatto: durante la connessione alla rete Wi-Fi, un malintenzionato connesso alla stessa rete potrebbe causare il ripristino di un dispositivo.

    Descrizione: si verificava un problema di controllo dei limiti nella gestione dei frame Wi-Fi. Durante la connessione alla rete Wi-Fi, un malintenzionato connesso alla stessa rete poteva causare il ripristino di un dispositivo.

    ID CVE

    CVE-2011-0162: Scott Boyd di ePlus Technology Inc.

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Data di pubblicazione: