Informazioni sui contenuti di sicurezza dell'aggiornamento software iOS 5

Questo documento descrive i contenuti di sicurezza dell'aggiornamento software iOS 5.

Questo documento descrive i contenuti di sicurezza dell'aggiornamento software iOS 5, che è possibile scaricare e installare tramite iTunes.

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple consulta l'articolo "Come usare la chiave PGP per la sicurezza dei prodotti Apple".

Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza consulta l'articolo "Aggiornamenti di sicurezza Apple".

Aggiornamento software iOS 5

  • CalDAV

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: un malintenzionato con una posizione privilegiata sulla rete potrebbe intercettare le credenziali dell'utente o altre informazioni riservate da un server di calendari CalDAV.

    Descrizione: CalDAV non verificava l'attendibilità del certificato SSL presentato dal server.

    ID CVE

    CVE-2011-3253: Leszek Tasiemski di nSense

  • Calendario

    Disponibile per: iOS dalla versione 4.2.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 4.2.0 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 4.2.0 alla versione 4.3.5 per iPad

    Impatto: la visualizzazione di un invito di calendario pericoloso potrebbe inserire script nel dominio locale.

    Descrizione: si verificava un problema di inserimento di script nella gestione degli inviti di Calendario. Questo problema è stato risolto tramite un migliore escape dei caratteri speciali negli inviti e non interessa i dispositivi con sistema operativo meno recente di iOS 4.2.0.

    ID CVE

    CVE-2011-3254: Rick Deacon

  • CFNetwork

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: la password dell'ID Apple dell'utente potrebbe essere registrata su un file locale.

    Descrizione: la password e il nome utente dell'ID Apple di un utente erano registrate su un file leggibile da applicazioni sul sistema. Questo problema è stato risolto evitando la registrazione di tali credenziali.

    ID CVE

    CVE-2011-3255: Peter Quade di qdevelop

  • CFNetwork

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: l'accesso a un sito web pericoloso potrebbe comportare la divulgazione di informazioni riservate.

    Descrizione: si verificava un problema nella gestione dei cookie HTTP in CFNetwork. In caso di accesso a URL HTTP o HTTPS pericolosi, CFNetwork poteva inviare erroneamente i cookie per un dominio a un server esterno al dominio.

    ID CVE

    CVE-2011-3246: Erling Ellingsen di Facebook

  • CoreFoundation

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: l'accesso a un sito web o a un messaggio email pericoloso potrebbe comportare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un problema di danneggiamento della memoria nella gestione della tokenizzazione di stringhe in CoreFoundation.

    ID CVE

    CVE-2011-0259: Apple

  • CoreGraphics

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: la visualizzazione di un documento con un font pericoloso incorporato potrebbe comportare l'esecuzione di codice arbitrario.

    Descrizione: si verificavano più problemi di danneggiamento della memoria in FreeType, il più grave dei quali poteva causare l'esecuzione di codice arbitrario durante l'elaborazione di un font pericoloso.

    ID CVE

    CVE-2011-3256: Apple

  • CoreMedia

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: l'accesso a un sito web pericoloso potrebbe comportare la divulgazione di dati video da un altro sito.

    Descrizione: si verificava un problema multiorigine nella gestione dei reindirizzamenti cross-site in CoreMedia. Questo problema è stato risolto migliorando il tracking delle origini.

    ID CVE

    CVE-2011-0187: Nirankush Panchbhai e Microsoft Vulnerability Research (MSVR)

  • Accesso ai dati

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: un problema di gestione dei cookie degli account di posta potrebbe causare una sincronizzazione erronea dei dati tra i diversi account.

    Descrizione: quando sono configurati più account di posta sullo stesso server, una sessione potrebbe potenzialmente ricevere un cookie valido corrispondente a un diverso account. Questo problema viene risolto mantenendo i cookie separati tra i diversi account.

    ID CVE

    CVE-2011-3257: Bob Sielken di IBM

  • Sicurezza dei dati

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: un malintenzionato con una posizione privilegiata sulla rete potrebbe intercettare le credenziali dell'utente o altre informazioni riservate.

    Descrizione: varie autorità di certificazione gestite da DigiNotar hanno emesso certificati falsificati. Questo problema viene risolto rimuovendo DigiNotar dall'elenco dei certificati root attendibili e dall'elenco delle autorità di certificazione con convalida estesa e configurando le impostazioni di attendibilità di default del sistema, in modo da rendere non attendibili i certificati DigiNotar, inclusi quelli emessi da altre autorità.

  • Sicurezza dei dati

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: il supporto per i certificati X.509 con hash MD5 potrebbe esporre gli utenti allo spoofing e alla divulgazione di informazioni man mano che gli attacchi vengono perfezionati.

    Descrizione: i certificati firmati con l'algoritmo con hash MD5 venivano accettati da iOS. La crittografia di questo algoritmo ha dei punti deboli noti. Ulteriori ricerche o un'autorità di certificazione erroneamente configurata potevano consentire la creazione di certificati X.509 con valori controllati da chi effettuava l'attacco e considerati attendibili dal sistema. Ciò avrebbe esposto i protocolli basati su X.509 ad attacchi di spoofing, man-in-the-middle e divulgazione delle informazioni. L'aggiornamento disattiva il supporto di un certificato X.509 con hash MD5 per qualsiasi uso diverso da quello di certificato root attendibile.

    ID CVE

    CVE-2011-3427

  • Sicurezza dei dati

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: un malintenzionato potrebbe decrittografare parte di una connessione SSL.

    Descrizione: erano supportate solo le versioni SSLv3 e TLS 1.0 di SSL. Quando viene utilizzata la crittografia a blocchi, tali versioni sono soggette alle debolezze del protocollo. Un malintenzionato poteva portare a termine attacchi man-in-the-middle inserendo dati non validi e provocando la chiusura della connessione e la visualizzazione di alcune informazioni relative ai dati precedenti nonostante. In caso di tentativi di connessione ripetuti, il malintenzionato poteva riuscire a decrittografare i dati inviati, come ad esempio una password. Il problema è stato risolto aggiungendo il supporto per TLS 1.2.

    ID CVE

    CVE-2011-3389

  • Schermata Home

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: il passaggio da un'applicazione all'altra potrebbe causare la divulgazione di informazioni riservate relative alle applicazioni.

    Descrizione: quando si passa da un'applicazione all'altra tramite i gesti con quattro dita, lo schermo potrebbe mostrare lo stato dell'applicazione precedente. Questo problema viene risolto facendo sì che il sistema richiami correttamente il metodo applicationWillResignActive: al momento della transizione tra applicazioni.

    ID CVE

    CVE-2011-3431: Abe White di Hedonic Software Inc.

  • ImageIO

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: l'apertura di un'immagine TIFF pericolosa potrebbe causare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un overflow del buffer nella gestione delle immagini TIFF con codifica CCITT Group 4 in libTIFF.

    ID CVE

    CVE-2011-0192: Apple

  • ImageIO

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: la visualizzazione di un'immagine TIFF pericolosa potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un overflow del buffer di heap nella gestione delle immagini TIFF con codifica CCITT Group 4 in ImageIO.

    ID CVE

    CVE-2011-0241: Cyril CATTIAUX di Tessi Technologies

  • ICU (International Components for Unicode)

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: le applicazioni che usano ICU potrebbero essere soggette a chiusura improvvisa o a esecuzione di codice arbitrario.

    Descrizione: si verificava un overflow del buffer nella generazione di chiavi di confronto ICU per lunghe stringhe di lettere per la maggior parte in maiuscolo.

    ID CVE

    CVE-2011-0206: David Bienvenu di Mozilla

  • Kernel

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: un malintenzionato remoto potrebbe provocare un ripristino del dispositivo.

    Descrizione: il kernel non riusciva a recuperare immediatamente la memoria dopo connessioni TCP incomplete. Un malintenzionato in grado di connettersi a un servizio di ascolto su un dispositivo iOS poteva esaurire le risorse di sistema.

    ID CVE

    CVE-2011-3259: Wouter van der Veer di Topicus I&I e Josh Enders

  • Kernel

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: un utente locale potrebbe causare il ripristino del sistema.

    Descrizione: si verificava una dereferenziazione null nella gestione delle opzioni del socket IPV6.

    ID CVE

    CVE-2011-1132: Thomas Clement di Intego

  • Tastiere

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: un utente potrebbe essere in grado di individuare l'ultimo carattere di una password.

    Descrizione: la tastiera usata per digitare l'ultimo carattere di una password veniva visualizzata brevemente al successivo utilizzo.

    ID CVE

    CVE-2011-3245: Paul Mousdicas

  • libxml

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: l'accesso a un sito web pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un overflow di un byte del buffer di heap nella gestione dei dati XML in libxml.

    ID CVE

    CVE-2011-0216: Billy Rios del Google Security Team

  • OfficeImport

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: la visualizzazione di un file Word pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un overflow del buffer nella gestione dei documenti Microsoft Word in OfficeImport.

    ID CVE

    CVE-2011-3260: Tobias Klein, collaboratore di Verisign iDefense Labs

  • OfficeImport

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: la visualizzazione di un file Excel pericoloso potrebbe provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un problema di double free nella gestione dei file Excel in OfficeImport.

    ID CVE

    CVE-2011-3261: Tobias Klein di www.trapkit.de

  • OfficeImport

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: il download di un file Microsoft Office pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un problema di danneggiamento della memoria nella gestione dei file Microsoft Office in OfficeImport.

    ID CVE

    CVE-2011-0208: Tobias Klein, collaboratore di iDefense VCP

  • OfficeImport

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: il download di un file Excel pericoloso potrebbe provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un problema di danneggiamento della memoria nella gestione dei file Excel in OfficeImport.

    ID CVE

    CVE-2011-0184: Tobias Klein, collaboratore di iDefense VCP

  • Safari

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: l'apertura di file pericolosi su determinati siti web potrebbe causare un attacco tramite script da altri siti.

    Descrizione: iOS non supportava il valore di un "allegato" per l'intestazione Content-Disposition HTTP, impiegata da molti siti web per usare file caricati sul sito da terze parti, come ad esempio gli allegati di applicazioni email basate sul web. Qualsiasi script presente in file con questo valore di intestazione veniva eseguito come se il file fosse stato in linea, con accesso completo alle altre risorse sul server di origine. Questo problema è stato risolto caricando gli allegati da un'origine di sicurezza isolata senza accesso alle risorse su altri siti.

    ID CVE

    CVE-2011-3426: Christian Matthies, collaboratore di iDefense VCP, e Yoshinori Oota di Business Architects Inc, collaboratore di JP/CERT

  • Impostazioni

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: un malintenzionato in grado di accedere fisicamente a un dispositivo potrebbe riuscire a recuperare il codice di accesso alle restrizioni.

    Descrizione: la funzione di controllo parentale impone limitazioni a livello di interfaccia utente. La configurazione dei controlli parentali è protetta da un codice di accesso, che in precedenza era archiviato come testo normale su disco. Questo problema viene risolto archiviando in modo sicuro il codice di accesso ai controlli parentali nel portachiavi di sistema.

    ID CVE

    CVE-2011-3429: segnalazione anonima

  • Impostazioni

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: interfaccia utente fuorviante.

    Descrizione: le configurazioni e le impostazioni applicate tramite profili di configurazione sembravano non funzionare correttamente nelle lingue diverse dall'inglese. Di conseguenza, le impostazioni potevano essere visualizzate in modo non corretto. Questo problema è stato risolto correggendo un problema di localizzazione.

    ID CVE

    CVE-2011-3430: Florian Kreitmaier di Siemens CERT

  • Avvisi UIKit

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: l'accesso a un sito web pericoloso potrebbe causare un blocco improvviso del dispositivo.

    Descrizione: un layout di testo di lunghezza massima eccessiva permetteva a siti web pericolosi di causare il blocco di iOS, con URI tel: molto lunghi che attivano finestre di dialogo di accettazione. Questo problema è stato risolto riducendo la dimensione massima degli URI.

    ID CVE

    CVE-2011-3432: Simon Young di Anglia Ruskin University

  • WebKit

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: l'accesso a un sito web pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificavano diversi problemi di danneggiamento della memoria in WebKit.

    ID CVE

    CVE-2011-0218: SkyLined del Google Chrome Security Team

    CVE-2011-0221: Abhishek Arya (Inferno) del Google Chrome Security Team

    CVE-2011-0222: Nikita Tarakanov e Alex Bazhanyuk del CISS Research Team e Abhishek Arya (Inferno) del Google Chrome Security Team

    CVE-2011-0225: Abhishek Arya (Inferno) del Google Chrome Security Team

    CVE-2011-0232: J23, collaboratore della Zero Day Initiative di TippingPoint

    CVE-2011-0233: wushi del team509, collaboratore della Zero Day Initiative di TippingPoint

    CVE-2011-0234: Rob King e wushi del team509, collaboratori di Zero Day Initiative di TippingPoint

    CVE-2011-0235: Abhishek Arya (Inferno) del Google Chrome Security Team

    CVE-2011-0238: Adam Barth del Google Chrome Security Team

    CVE-2011-0254: un ricercatore anonimo, collaboratore della Zero Day Initiative di TippingPoint

    CVE-2011-0255: segnalazione anonima da un collaboratore della Zero Day Initiative di TippingPoint

    CVE-2011-0981: Rik Cabanier di Adobe Systems, Inc

    CVE-2011-0983: Martin Barbella

    CVE-2011-1109: Sergey Glazunov

    CVE-2011-1114: Martin Barbella

    CVE-2011-1115: Martin Barbella

    CVE-2011-1117: wushi del team509

    CVE-2011-1121: miaubiz

    CVE-2011-1188: Martin Barbella

    CVE-2011-1203: Sergey Glazunov

    CVE-2011-1204: Sergey Glazunov

    CVE-2011-1288: Andreas Kling di Nokia

    CVE-2011-1293: Sergey Glazunov

    CVE-2011-1296: Sergey Glazunov

    CVE-2011-1449: Marek Majkowski

    CVE-2011-1451: Sergey Glazunov

    CVE-2011-1453: wushi del team509, collaboratore della Zero Day Initiative di TippingPoint

    CVE-2011-1457: John Knottenbelt di Google

    CVE-2011-1462: wushi del team509

    CVE-2011-1797: wushi del team509

    CVE-2011-2338: Abhishek Arya (Inferno) del Google Chrome Security Team con l'uso di AddressSanitizer

    CVE-2011-2339: Cris Neckar del Google Chrome Security Team

    CVE-2011-2341: wushi di team509 in collaborazione con Verisign iDefense Labs

    CVE-2011-2351: miaubiz

    CVE-2011-2352: Apple

    CVE-2011-2354: Apple

    CVE-2011-2356: Adam Barth e Abhishek Arya del Google Chrome Security Team con l'uso di AddressSanitizer

    CVE-2011-2359: miaubiz

    CVE-2011-2788: Mikolaj Malecki di Samsung

    CVE-2011-2790: miaubiz

    CVE-2011-2792: miaubiz

    CVE-2011-2797: miaubiz

    CVE-2011-2799: miaubiz

    CVE-2011-2809: Abhishek Arya (Inferno) del Google Chrome Security Team

    CVE-2011-2813: Cris Neckar del Google Chrome Security Team con l'uso di AddressSanitizer

    CVE-2011-2814: Abhishek Arya (Inferno) del Google Chrome Security Team con l'uso di AddressSanitizer

    CVE-2011-2816: Apple

    CVE-2011-2817: Abhishek Arya (Inferno) del Google Chrome Security Team con l'uso di AddressSanitizer

    CVE-2011-2818: Martin Barbella

    CVE-2011-2820: Raman Tenneti e Philip Rogers di Google

    CVE-2011-2823: SkyLined del Google Chrome Security Team

    CVE-2011-2827: miaubiz

    CVE-2011-2831: Abhishek Arya (Inferno) del Google Chrome Security Team con l'uso di AddressSanitizer

    CVE-2011-3232: Aki Helin di OUSPG

    CVE-2011-3234: miaubiz

    CVE-2011-3235: Dimitri Glazkov, Kent Tamura, Dominic Cooney della community di sviluppo di Chromium e Abhishek Arya (Inferno) del Google Chrome Security Team

    CVE-2011-3236: Abhishek Arya (Inferno) del Google Chrome Security Team con l'uso di AddressSanitizer

    CVE-2011-3237: Dimitri Glazkov, Kent Tamura, Dominic Cooney della community di sviluppo di Chromium e Abhishek Arya (Inferno) del Google Chrome Security Team

    CVE-2011-3244: vkouchna

  • WebKit

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: l'accesso a un sito web pericoloso potrebbe causare un attacco tramite script da altri siti.

    Descrizione: si è verificava un problema multiorigine nella gestione di URL con un nome utente incorporato. Questo problema è stato risolto tramite una migliore gestione degli URL con un nome utente incorporato.

    ID CVE

    CVE-2011-0242: Jobert Abma di Online24

  • WebKit

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: l'accesso a un sito web pericoloso potrebbe causare un attacco tramite script da altri siti.

    Descrizione: si verificava un problema multiorigine nella gestione di nodi DOM.

    ID CVE

    CVE-2011-1295: Sergey Glazunov

  • WebKit

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: un sito web pericoloso potrebbe causare la visualizzazione di un URL diverso nella barra degli indirizzi.

    Descrizione: si verificava un problema di spoofing degli URL nella gestione dell'oggetto cronologia DOM.

    ID CVE

    CVE-2011-1107: Jordi Chancel

  • WebKit

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: l'accesso a un sito web pericoloso potrebbe causare l'esecuzione di codice arbitrario.

    Descrizione: si verificava un problema di configurazione nell'uso di libxslt in WebKit. L'accesso a un sito web pericoloso poteva causare la creazione di file arbitrari con privilegi di un utente, che poteva provocare l'esecuzione di codice arbitrario. Questo problema è stato risolto migliorando le impostazioni di sicurezza di libxslt.

    ID CVE

    CVE-2011-1774: Nicolas Gregoire di Agarri

  • WebKit

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: l'accesso a un sito web pericoloso e il trascinamento dei contenuti nella pagina potrebbero provocare la divulgazione di informazioni.

    Descrizione: si verificava un problema multiorigine nella gestione del trascinamento HTML5 di WebKit. Questo problema è stato risolto non consentendo il trascinamento su diverse origini.

    ID CVE

    CVE-2011-0166: Michal Zalewski di Google Inc.

  • WebKit

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: l'accesso a un sito web pericoloso potrebbe comportare la divulgazione di informazioni.

    Descrizione: si verificava un problema multiorigine nella gestione di Web Workers.

    ID CVE

    CVE-2011-1190: Daniel Divricean di divricean.ro

  • WebKit

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: l'accesso a un sito web pericoloso potrebbe causare un attacco tramite script da altri siti.

    Descrizione: si verificava un problema multiorigine nella gestione del metodo window.open.

    ID CVE

    CVE-2011-2805: Sergey Glazunov

  • WebKit

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: l'accesso a un sito web pericoloso potrebbe causare un attacco tramite script da altri siti.

    Descrizione: si verificava un problema multiorigine nella gestione delle finestre DOM inattive.

    ID CVE

    CVE-2011-3243: Sergey Glazunov

  • WebKit

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: l'accesso a un sito web pericoloso potrebbe causare un attacco tramite script da altri siti.

    Descrizione: si verificava un problema multiorigine nella gestione della proprietà document.documentURI.

    ID CVE

    CVE-2011-2819: Sergey Glazunov

  • WebKit

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: un sito web pericoloso potrebbe registrare gli URL visitati dall'utente in un frame.

    Descrizione: si verificava un problema multiorigine nella gestione dell'evento beforeload.

    ID CVE

    CVE-2011-2800: Juho Nurminen

  • Wi-Fi

    Disponibile per: iOS dalla versione 3.0 alla versione 4.3.5 per iPhone 3GS e iPhone 4, iOS dalla versione 3.1 alla versione 4.3.5 per iPod touch (3a generazione) e versioni più recenti, iOS dalla versione 3.2 alla versione 4.3.5 per iPad

    Impatto: le credenziali per la connessione Wi-Fi potrebbero essere registrate su un file locale.

    Descrizione: le credenziali per la connessione Wi-Fi, incluse la frase chiave e le chiavi di crittografia, potevano essere registrate su un file leggibile da applicazioni sul sistema. Questo problema è stato risolto evitando la registrazione di tali credenziali.

    ID CVE

    CVE-2011-3434: Laurent OUDOT di TEHTRI Security

 

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Ultima modifica:
Utile?

Informazioni aggiuntive di supporto al prodotto

Italia (Italiano)