Questo documento descrive i contenuti di sicurezza di iOS 4.3, che è possibile scaricare e installare tramite iTunes.
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.
Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple consulta l'articolo "Come usare la chiave PGP per la sicurezza dei prodotti Apple".
Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.
Per informazioni su altri aggiornamenti di sicurezza consulta l'articolo "Aggiornamenti di sicurezza Apple".
iOS 4.3
- 

- 

CoreGraphics

Disponibile per: iOS dalla versione 3.0 alla 4.2.1 per iPhone 3GS e versioni più recenti, iOS dalla versione 3.1 alla 4.2.1 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla 4.2.1 per iPad

Impatto: diverse vulnerabilità in FreeType.

Descrizione: erano presenti diverse vulnerabilità in FreeType, la più grave delle quali poteva causare l'esecuzione di codice arbitrario durante l'elaborazione di un font pericoloso. Questi problemi sono stati risolti effettuando l'aggiornamento alla versione 2.4.3 di FreeType. Ulteriori informazioni sono disponibili sul sito web di FreeType alla pagina http://www.freetype.org/.

ID CVE

CVE-2010-3855

 

- 

- 

ImageIO

Disponibile per: iOS dalla versione 3.0 alla 4.2.1 per iPhone 3GS e versioni più recenti, iOS dalla versione 3.1 alla 4.2.1 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla 4.2.1 per iPad

Impatto: l'apertura di un'immagine TIFF pericolosa potrebbe causare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario.

Descrizione: si verificava un overflow del buffer nella gestione delle immagini TIFF con codifica JPEG in libTIFF. L'apertura di un'immagine TIFF pericolosa poteva causare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario.

ID CVE

CVE-2011-0191: Apple

 

- 

- 

ImageIO

Disponibile per: iOS dalla versione 3.0 alla 4.2.1 per iPhone 3GS e versioni più recenti, iOS dalla versione 3.1 alla 4.2.1 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla 4.2.1 per iPad

Impatto: l'apertura di un'immagine TIFF pericolosa potrebbe causare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario.

Descrizione: si verificava un overflow del buffer nella gestione delle immagini TIFF con codifica CCITT Group 4 in libTIFF. L'apertura di un'immagine TIFF pericolosa poteva causare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario.

ID CVE

CVE-2011-0192: Apple

 

- 

- 

libxml

Disponibile per: iOS dalla versione 3.0 alla 4.2.1 per iPhone 3GS e versioni più recenti, iOS dalla versione 3.1 alla 4.2.1 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla 4.2.1 per iPad

Impatto: l'accesso a un sito web pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: si verificava un problema di double free nella gestione di espressioni XPath in libxml. L'accesso a un sito web pericoloso poteva causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

ID CVE

CVE-2010-4494: Yang Dingning di NCNIPC, Università di Specializzazione dell'Accademia Cinese delle Scienze

 

- 

- 

Networking

Disponibile per: iOS dalla versione 3.0 alla 4.2.1 per iPhone 3GS e versioni più recenti, iOS dalla versione 3.1 alla 4.2.1 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla 4.2.1 per iPad

Impatto: un server potrebbe riuscire a individuare un dispositivo tra le connessioni.

Descrizione: l'indirizzo IPv6 scelto dal dispositivo contiene l'indirizzo MAC del dispositivo con l'utilizzo dell'autoconfigurazione dell'indirizzo stateless (SLAAC). Un server che supporta il protocollo IPv6 contattato dal dispositivo può utilizzare l'indirizzo per rilevare il dispositivo tra le connessioni. Questo aggiornamento implementa l'estensione di IPv6 descritta in RFC 3041, aggiungendo un indirizzo casuale temporaneo utilizzato per le connessioni in uscita.

 

- 

- 

Safari

Disponibile per: iOS dalla versione 3.0 alla 4.2.1 per iPhone 3GS e versioni più recenti, iOS dalla versione 3.1 alla 4.2.1 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla 4.2.1 per iPad

Impatto: l'accesso a un sito web pericoloso potrebbe forzare la chiusura di MobileSafari all'avvio.

Descrizione: un sito web pericoloso potrebbe presentare contenuto Javascript che causa l'avvio ripetuto di un'altra applicazione sul dispositivo tramite il suo gestore di URL. L'accesso a questo sito pericoloso con MobileSafari potrebbe causare la chiusura di MobileSafari e l'avvio dell'applicazione di destinazione, generando una sequenza che si ripete a ogni apertura di MobileSafari. Questo problema viene risolto tornando alla pagina precedente al momento della riapertura Safari dopo l'avvio dell'altra applicazione tramite il suo gestore di URL.

ID CVE

CVE-2011-0158: Nitesh Dhanjani di Ernst & Young LLP

 

- 

- 

Safari

Disponibile per: iOS dalla versione 4.0 alla 4.2.1 per iPhone 3GS e versioni più recenti, iOS dalla versione 4.0 alla 4.2.1 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 4.2 alla 4.2.1 per iPad

Impatto: la cancellazione dei cookie tramite le impostazioni di Safari potrebbe non avere effetto.

Descrizione: talvolta cancellare i cookie tramite le impostazioni di Safari mentre il programma è in esecuzione potrebbe non avere effetto. Questo problema viene risolto tramite una migliore gestione dei cookie e e non interessa i sistemi precedenti a iOS 4.0.

ID CVE

CVE-2011-0159: Erik Wong di Google Inc.

 

- 

- 

WebKit

Disponibile per: iOS dalla versione 3.0 alla 4.2.1 per iPhone 3GS e versioni più recenti, iOS dalla versione 3.1 alla 4.2.1 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla 4.2.1 per iPad

Impatto: l'accesso a un sito web pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: si verificano diversi problemi di danneggiamento della memoria in WebKit. L'accesso a un sito web pericoloso poteva causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

ID CVE

CVE-2010-1792

CVE-2010-1824: kuzzcc e wushi del team509, collaboratori della Zero Day Initiative di TippingPoint

CVE-2011-0111: Sergey Glazunov

CVE-2011-0112: Yuzo Fujishima di Google Inc.

CVE-2011-0113: Andreas Kling di Nokia

CVE-2011-0114: Chris Evans del Google Chrome Security Team

CVE-2011-0115: J23, collaboratore della Zero Day Initiative di TippingPoint ed Emil A Eklund di Google Inc.

CVE-2011-0116: un ricercatore anonimo che collabora con la Zero Day Initiative di TippingPoint

CVE-2011-0117: Abhishek Arya (Inferno) di Google Inc.

CVE-2011-0118: Abhishek Arya (Inferno) di Google Inc.

CVE-2011-0119: Abhishek Arya (Inferno) di Google Inc.

CVE-2011-0120: Abhishek Arya (Inferno) di Google Inc.

CVE-2011-0121: Abhishek Arya (Inferno) di Google Inc.

CVE-2011-0122: Slawomir Blazek

CVE-2011-0123: Abhishek Arya (Inferno) di Google Inc.

CVE-2011-0124: Yuzo Fujishima di Google Inc.

CVE-2011-0125: Abhishek Arya (Inferno) di Google Inc.

CVE-2011-0126: Mihai Parparita di Google Inc.

CVE-2011-0127: Abhishek Arya (Inferno) di Google Inc.

CVE-2011-0128: David Bloom

CVE-2011-0129: Famlam

CVE-2011-0130: Apple

CVE-2011-0131: wushi del team509

CVE-2011-0132: wushi del team509, collaboratore della Zero Day Initiative di TippingPoint

CVE-2011-0133: wushi del team509, collaboratore della Zero Day Initiative di TippingPoint

CVE-2011-0134: Jan Tosovsky

CVE-2011-0135: segnalazione anonima

CVE-2011-0136: Sergey Glazunov

CVE-2011-0137: Sergey Glazunov

CVE-2011-0138: kuzzcc

CVE-2011-0140: Sergey Glazunov

CVE-2011-0141: Chris Rohlf di Matasano Security

CVE-2011-0142: Abhishek Arya (Inferno) di Google Inc.

CVE-2011-0143: Slawomir Blazek e Sergey Glazunov

CVE-2011-0144: Emil A Eklund di Google Inc.

CVE-2011-0145: Abhishek Arya (Inferno) di Google Inc.

CVE-2011-0146: Abhishek Arya (Inferno) di Google Inc.

CVE-2011-0147: Dirk Schulze

CVE-2011-0148: Michal Zalewski di Google Inc.

CVE-2011-0149: wushi del team509, collaboratore della Zero Day Initiative di TippingPoint e SkyLined del Google Chrome Security Team

CVE-2011-0150: Michael Gundlach di safariadblock.com

CVE-2011-0151: Abhishek Arya (Inferno) di Google Inc.

CVE-2011-0152: SkyLined del Google Chrome Security Team

CVE-2011-0153: Abhishek Arya (Inferno) di Google Inc.

CVE-2011-0154: un ricercatore anonimo che collabora con la Zero Day Initiative di TippingPoint

CVE-2011-0155: Aki Helin di OUSPG

CVE-2011-0156: Abhishek Arya (Inferno) di Google Inc.

CVE-2011-0157: Benoit Jacob di Mozilla

CVE-2011-0168: Sergey Glazunov

 

- 

- 

WebKit

Disponibile per: iOS dalla versione 3.0 alla 4.2.1 per iPhone 3GS e versioni più recenti, iOS dalla versione 3.1 alla 4.2.1 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla 4.2.1 per iPad

Impatto: le credenziali di autenticazione di base HTTP potrebbero essere inavvertitamente divulgate a un altro sito.

Descrizione: se un sito utilizza l'autenticazione di base HTTP e reindirizza a un altro sito, le credenziali di autenticazione potrebbero essere inviate all'altro sito. Questo problema viene risolto tramite una migliore gestione delle credenziali.

ID CVE

CVE-2011-0160: McIntosh Cooey di Twelve Hundred Group, Harald Hanche-Olsen, Chuck Hohn di 1111 Internet LLC che collabora con CERT e Paul Hinze di Braintree

 

- 

- 

WebKit

Disponibile per: iOS dalla versione 3.0 alla 4.2.1 per iPhone 3GS e versioni più recenti, iOS dalla versione 3.1 alla 4.2.1 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla 4.2.1 per iPad

Impatto: l'accesso a un sito web pericoloso potrebbe causare dichiarazioni di cross-site.

Descrizione: si verificava un problema multiorigine nella gestione di Attr.style accessor in WebKit. L'accesso a un sito web pericoloso poteva permettere al sito di inserire CSS negli altri documenti. Questo problema è stato risolto eliminando Attr.style accessor.

ID CVE

CVE-2011-0161: Apple

 

- 

- 

WebKit

Disponibile per: iOS dalla versione 3.0 alla 4.2.1 per iPhone 3GS e versioni più recenti, iOS dalla versione 3.1 alla 4.2.1 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla 4.2.1 per iPad

Impatto: un sito web pericoloso potrebbe riuscire a bloccare le richieste di determinate risorse da parte di altri siti.

Descrizione: si verificava un problema di inquinamento della cache nella gestione delle risorse nella cache di WebKit. Un sito web pericoloso poteva riuscire a bloccare le richieste di determinate risorse da parte di altri siti. Questo problema è stato risolto tramite un migliore controllo dei tipi.

ID CVE

CVE-2011-0163: Apple

 

- 

- 

Wi-Fi

Disponibile per: iOS dalla versione 3.0 alla 4.2.1 per iPhone 3GS e versioni più recenti, iOS dalla versione 3.1 alla 4.2.1 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla 4.2.1 per iPad

Impatto: durante la connessione alla rete Wi-Fi, un malintenzionato connesso alla stessa rete potrebbe causare il ripristino di un dispositivo.

Descrizione: si verificava un problema di controllo dei limiti nella gestione dei frame Wi-Fi. Durante la connessione alla rete Wi-Fi, un malintenzionato connesso alla stessa rete poteva causare il ripristino di un dispositivo.

ID CVE

CVE-2011-0162: Scott Boyd di ePlus Technology Inc.