Questo documento descrive i contenuti di sicurezza dell'aggiornamento software iOS 4.2.7, che è possibile scaricare e installare mediante iTunes.
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.
Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple consulta l'articolo "Come usare la chiave PGP per la sicurezza dei prodotti Apple".
Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.
Per informazioni su altri aggiornamenti di sicurezza consulta l'articolo "Aggiornamenti di sicurezza Apple".
Aggiornamento software iOS 4.2.7 per iPhone
-
Certificate Trust Policy
Disponibile per: iOS dalla versione 4.2.5 alla versione 4.2.6 per iPhone 4 (CDMA)
Impatto: un malintenzionato con una posizione privilegiata sulla rete potrebbe intercettare le credenziali dell'utente o altre informazioni riservate.
Descrizione: svariati certificati SSL falsificati sono stati emessi da un'autorità di registrazione affiliata a Comodo. Ciò consentiva a un malintenzionato di portare a termine attacchi man-in-the-middle reindirizzando le connessioni e intercettando le credenziali utente o altre informazioni riservate. Questo problema è stato risolto con l'inserimento in una blacklist dei certificati fraudolenti.
Nota: per i sistemi Mac OS X questo problema è stato risolto con l'aggiornamento di sicurezza 2011-002. Per i sistemi Windows, Safari fa affidamento sull'archivio dei certificati del sistema operativo host per determinare se un certificato server SSL è affidabile. Una volta installato l'aggiornamento descritto nell'articolo 2524375 della Microsoft Knowledge Base, Safari considererà non attendibili tali certificati. L'articolo è disponibile sul sito http://support.microsoft.com/kb/2524375/it.
-
QuickLook
Disponibile per: iOS dalla versione 4.2.5 alla versione 4.2.6 per iPhone 4 (CDMA)
Impatto: la visualizzazione di un file Microsoft Excel pericoloso potrebbe provocare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verificava un problema di danneggiamento della memoria nella gestione dei file Microsoft Office in QuickLook. La visualizzazione di un file Microsoft Excel pericoloso poteva provocare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario.
ID CVE
CVE-2011-1417: Charlie Miller e Dion Blazakis, collaboratori della Zero Day Initiative di TippingPoint
-
WebKit
Disponibile per: iOS dalla versione 4.2.5 alla versione 4.2.6 per iPhone 4 (CDMA)
Impatto: l'accesso a un sito web pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verificava un problema di overflow di numero intero nella gestione dei nodeset. L'accesso a un sito web pericoloso poteva causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
ID CVE
CVE-2011-1290: Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp Weinmann e un ricercatore anonimo, collaboratori della Zero Day Initiative di TippingPoint.
-
WebKit
Disponibile per: iOS dalla versione 4.2.5 alla versione 4.2.6 per iPhone 4 (CDMA)
Impatto: l'accesso a un sito web pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verificava un problema use-after-free nella gestione dei nodi di testo. L'accesso a un sito web pericoloso poteva causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
ID CVE
CVE-2011-1344: Vupen Security che collabora con la Zero Day Initiative di TippingPoint e Martin Barbella