Informazioni sul contenuto di sicurezza di iOS 7

In questo documento viene descritto il contenuto di sicurezza di iOS 7.

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple leggi l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, vengono utilizzati ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza consulta Aggiornamenti di sicurezza Apple.

iOS 7

  • Certificate Trust Policy

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: i certificati principali sono stati aggiornati.

    Descrizione: alcuni certificati sono stati aggiunti all'elenco dei root di sistema oppure sono stati rimossi.

  • CoreGraphics

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: la visualizzazione di un file PDF pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un sovraccarico del buffer nella gestione di dati codificati JBIG2 nei file PDF. Questo problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2013-1025: Felix Groebert del Google Security Team

  • CoreMedia

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: la riproduzione di un filmato pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un sovraccarico del buffer nella gestione dei filmati con codifica Sorenson. Questo problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2013-1019: Tom Gallagher (Microsoft) e Paul Bates (Microsoft), collaboratori della Zero Day Initiative di HP

  • Protezione dei dati

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: le app potrebbero evitare le restrizioni relative ai tentativi di accesso con codice.

    Descrizione: si verificava un problema di separazione dei privilegi nella protezione dei dati. Un'app nella sandbox di terze parti poteva tentare ripetutamente di individuare il codice dell'utente indipendentemente dall'impostazione "Inizializza dati" dell'utente. Questo problema è stato risolto richiedendo ulteriori verifiche dell'idoneità.

    CVE-ID

    CVE-2013-0957: Jin Han dell'Institute for Infocomm Research, collaboratore di Qiang Yan e Su Mon Kywe della Singapore Management University

  • Sicurezza dei dati

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un malintenzionato con una posizione privilegiata in rete potrebbe intercettare le credenziali dell'utente o altre informazioni riservate.

    Descrizione: TrustWave, un'autorità di certificazione radice attendibile, ha emesso e successivamente revocato un certificato di sotto-CA da uno dei propri trust anchor. Questo certificato di sotto-CA ha agevolato l'intercettazione delle comunicazioni protette mediante Transport Layer Security (TLS). Tramite questo aggiornamento è stato aggiunto il certificato di sotto-CA in questione all'elenco di certificati non attendibili di OS X.

    CVE-ID

    CVE-2013-5134

  • dyld

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un malintenzionato che esegue codice arbitrario potrebbe continuare a farlo anche dopo il riavvio.

    Descrizione: si verificavano più sovraccarichi del buffer nella funzione openSharedCacheFile() di dyld. Questi problemi sono stati risolti mediante un migliore controllo dei limiti.

    CVE-ID

    CVE-2013-3950: Stefan Esser

  • File System

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un malintenzionato che può montare un file system non HFS potrebbe riuscire a causare la chiusura inattesa del sistema o l'esecuzione di codice arbitrario con privilegi del kernel.

    Descrizione: si verificava un problema di danneggiamento della memoria nella gestione dei file AppleDouble. Questo problema è stato risolto mediante la rimozione del supporto dei file AppleDouble.

    CVE-ID

    CVE-2013-3955: Stefan Esser

  • ImageIO

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: la visualizzazione di un file PDF pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un sovraccarico del buffer nella gestione di dati codificati JPEG2000 nei file PDF. Questo problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2013-1026: Felix Groebert del Google Security Team

  • IOKit

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: le applicazioni in background potrebbero inserire eventi di interfaccia utente nell'app in primo piano.

    Descrizione: le applicazioni in background potevano inserire eventi di interfaccia utente nell'applicazione in primo piano usando il completamento dell'attività o le API VoIP. Questo problema è stato risolto incrementando i controlli di accesso dei processi in primo piano e in background che gestiscono gli eventi di interfaccia.

    CVE-ID

    CVE-2013-5137: Mackenzie Straight di Mobile Labs

  • IOKitUser

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione locale pericolosa potrebbe causare la chiusura inattesa del sistema.

    Descrizione: si verificava un problema di dereferenziazione a un puntatore nullo in IOCatalogue. Questo problema è stato risolto tramite un ulteriore controllo dei tipi.

    CVE-ID

    CVE-2013-5138: Will Estes

  • IOSerialFamily

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'esecuzione di un'applicazione pericolosa potrebbe comportare l'esecuzione di codice arbitrario nel kernel.

    Descrizione: si verificava un accesso alla matrice fuori dai limiti nel driver IOSerialFamily. Questo problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2013-5139: @dent1zt

  • IPSec

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un malintenzionato potrebbe intercettare i dati protetti con IPSec Hybrid Auth.

    Descrizione: il nome DNS di un server IPSec Hybrid Auth non veniva abbinato al certificato, permettendo in questo modo ai malintenzionati con un certificato di un server qualsiasi di assumere altre identità. Questo problema è stato risolto tramite il miglioramento della verifica dei certificati.

    CVE-ID

    CVE-2013-1028: Alexander Traud di www.traud.de

  • Kernel

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un malintenzionato in remoto può provocare il riavvio improvviso del dispositivo.

    Descrizione: l'invio di un frammento di pacchetto non valido a un dispositivo può provocare l'attivazione di un comando del kernel che comporta il riavvio del dispositivo. Questo problema viene risolto attraverso un'ulteriore convalida dei frammenti di pacchetto.

    CVE-ID

    CVE-2013-5140: Joonas Kuorilehto di Codenomicon, un ricercatore anonimo, collaboratore di CERT-FI, Antti Levomäki e Lauri Virtanen di Vulnerability Analysis Group, Stonesoft

  • Kernel

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione locale pericolosa potrebbe causare un blocco improvviso del dispositivo.

    Descrizione: una vulnerabilità di troncamento dei numeri interi nell'interfaccia del socket del kernel poteva essere sfruttata per forzare l'attivazione di un loop infinito della CPU. Il problema è stato risolto utilizzando una variabile di dimensioni maggiori.

    CVE-ID

    CVE-2013-5141: CESG

  • Kernel

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un malintenzionato su una rete locale può causare l'interruzione del servizio.

    Descrizione: un malintenzionato su una rete locale può inviare pacchetti ICMP appositi per IPv6 causando un carico elevato per la CPU. Questo problema viene risolto limitando la velocità dei pacchetti ICMP prima di verificare il loro checksum.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Kernel

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: la memoria stack del kernel potrebbe essere divulgata agli utenti locali.

    Descrizione: si verificava un problema di divulgazione di informazioni nelle API msgctl e segctl. Questo problema è stato risolto inizializzando le strutture dei dati restituiti dal kernel.

    CVE-ID

    CVE-2013-5142: Kenzley Alphonse di Kenx Technology, Inc

  • Kernel

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: processi senza privilegi potrebbero ottenere l'accesso ai contenuti della memoria del kernel determinando un'escalation dei privilegi.

    Descrizione: si verificava un problema di divulgazione di informazioni nell'API mach_port_space_info. Questo problema è stato risolto inizializzando il campo iin_collision nelle strutture restituite dal kernel.

    CVE-ID

    CVE-2013-3953: Stefan Esser

  • Kernel

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: i processi senza privilegi potrebbero riuscire a causare la chiusura inattesa del sistema o l'esecuzione di codice arbitrario nel kernel.

    Descrizione: si verificava un problema di danneggiamento della memoria nella gestione degli argomenti dell'API posix_spawn. Questo problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2013-3954: Stefan Esser

  • Gestione dei Kext

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un processo non autorizzato potrebbe modificare l'impostazione relativa alle estensioni caricate del kernel.

    Descrizione: si verificava un problema nella gestione del kextd dei messaggi IPC da mittenti non autenticati. Questo problema è stato risolto aggiungendo ulteriori verifiche delle autorizzazioni.

    CVE-ID

    CVE-2013-5145: "Rainbow PRISM"

  • libxml

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'accesso a un sito web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificavano diversi problemi di danneggiamento della memoria in libxml. Questi problemi sono stati risolti mediante l'aggiornamento di libxml alla versione 2.9.0.

    CVE-ID

    CVE-2011-3102: Jüri Aedla

    CVE-2012-0841

    CVE-2012-2807: Jüri Aedla

    CVE-2012-5134: Google Chrome Security Team (Jüri Aedla)

  • libxslt

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'accesso a un sito web pericoloso potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificavano diversi problemi di danneggiamento della memoria in libxslt. Questi problemi sono stati risolti mediante l'aggiornamento di libxslt alla versione 1.1.28.

    CVE-ID

    CVE-2012-2825: Nicolas Gregoire

    CVE-2012-2870: Nicolas Gregoire

    CVE-2012-2871: Kai Lu di Fortinet's FortiGuard Labs, Nicolas Gregoire

  • Blocco con codice

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un individuo con accesso fisico al dispositivo potrebbe evitare il blocco dello schermo.

    Descrizione: si verificava un problema di race condition nella gestione delle telefonate e dell'espulsione della SIM sulla schermata di blocco. Questo problema è stato risolto migliorando la gestione dello stato di blocco.

    CVE-ID

    CVE-2013-5147: videosdebarraquito

  • Hotspot personale

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un malintenzionato potrebbe riuscire ad accedere alla rete Hotspot personale.

    Descrizione: si verificava un problema nella generazione delle password dell'Hotspot personale che determinava la creazione di password individuabili da un malintenzionato per accedere all'Hotspot personale di un utente. Questo problema è stato risolto mediante la generazione di password con entropia superiore.

    CVE-ID

    CVE-2013-4616: Andreas Kurtz di NESO Security Labs e Daniel Metz di University Erlangen-Nuremberg

  • Notifiche push

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: il token della notifica push potrebbe essere divulgato a un'app contrariamente alla decisione dell'utente.

    Descrizione: si verificava un problema di divulgazione di informazioni nella registrazione della notifica push. Le app che richiedevano l'accesso alla notifica push ricevevano il token prima che l'utente approvasse l'uso delle notifiche push dell'app. Questo problema è stato risolto evitando l'accesso al token finché l'utente non approva l'accesso.

    CVE-ID

    CVE-2013-5149: Jack Flintermann di Grouper, Inc.

  • Safari

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'accesso a un sito web pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un problema di danneggiamento della memoria nella gestione dei file XML. Questo problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2013-1036: Kai Lu di Fortinet's FortiGuard Labs

  • Safari

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: la cronologia delle pagine visitate recentemente in un pannello aperto potrebbe essere mantenuta dopo la cancellazione della cronologia.

    Descrizione: la cancellazione della cronologia di Safari non comportava l'eliminazione della cronologia di esplorazione dei pannelli aperti. Questo problema è stato risolto cancellando la cronologia di esplorazione.

    CVE-ID

    CVE-2013-5150

  • Safari

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: la visualizzazione di file su un sito web potrebbe comportare l'esecuzione dello script anche quando il server invia un'intestazione 'Content-Type: text/plain'.

    Descrizione: Safari Mobile talvolta gestiva i file come HTML anche quando il server inviava un'intestazione 'Content-Type: text/plain'. Ciò poteva comportare attacchi di scripting cross-site sui siti che consentono agli utenti di caricare i file. Questo problema è stato risolto migliorando la gestione dei file quando 'Content-Type: text/plain' è impostato.

    CVE-ID

    CVE-2013-5151: Ben Toews di Github

  • Safari

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'accesso a un sito web pericoloso potrebbe consentire la visualizzazione di un URL arbitrario.

    Descrizione: si verificava un problema di spoofing della barra degli URL in Safari Mobile. Questo problema è stato risolto migliorando il monitoraggio degli URL.

    CVE-ID

    CVE-2013-5152: Keita Haga di keitahaga.com, Łukasz Pilorz di RBS

  • Sandbox

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: le applicazioni che sono script non erano eseguite in sandbox.

    Descrizione: le applicazioni di terze parti che utilizzavano la sintassi #! per eseguire uno script venivano eseguite in sandbox sulla base dell'identità dell'interprete dello script e non dello script. L'interprete poteva non disporre di una sandbox definita, facendo sì che l'applicazione venisse eseguita senza ricorrere alla sandbox. Questo problema è stato risolto tramite la creazione della sandbox sulla base dell'identità dello script.

    CVE-ID

    CVE-2013-5154: evad3rs

  • Sandbox

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: le applicazioni possono causare un blocco del sistema.

    Descrizione: applicazioni pericolose di terze parti che scrivevano determinati valori al dispositivo /dev/random potevano forzare l'attivazione di un loop infinito della CPU. Questo problema è stato risolto impedendo alle applicazioni di terze parti di scrivere a /dev/random.

    CVE-ID

    CVE-2013-5155: CESG

  • Social networking

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: la recente attività Twitter degli utenti potrebbe essere divulgata sui dispositivi senza codice.

    Descrizione: si verificava un problema per cui era possibile determinare con quali account Twitter un utente avesse interagito di recente. Questo problema è stato risolto limitando l'accesso alla cache dell'icona di Twitter.

    CVE-ID

    CVE-2013-5158: Jonathan Zdziarski

  • Springboard

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un individuo con accesso fisico a un dispositivo in modalità Smarrito potrebbe riuscire a visualizzare le notifiche.

    Descrizione: si verificava un problema nella gestione delle notifiche quando un dispositivo era in modalità Smarrito. Questo aggiornamento ha risolto il problema con una migliore gestione dello stato di blocco.

    CVE-ID

    CVE-2013-5153: Daniel Stangroom

  • Telefonia

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: le app pericolose potrebbero interferire con o controllare le funzioni di telefonia.

    Descrizione: si verificava un problema di controllo dell'accesso nel sottosistema di telefonia. Evitando le API supportate, le app eseguite in sandbox potevano effettuare richieste direttamente a un deamon del sistema che interferisce con o controlla le funzionalità di telefonia. Questo problema è stato risolto forzando i controlli di accesso sulle interfacce esposte al deamon di telefonia.

    CVE-ID

    CVE-2013-5156: Jin Han dell'Institute for Infocomm Research, collaboratore di Qiang Yan e Su Mon Kywe di Singapore Management University; Tielei Wang, Kangjie Lu, Long Lu, Simon Chung e Wenke Lee del Georgia Institute of Technology

  • Twitter

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: le app eseguite in sandbox potrebbero inviare tweet senza l'interazione o l'autorizzazione dell'utente.

    Descrizione: si verificava un problema relativo al controllo dell'accesso nel sottosistema di Twitter. Evitando le API supportate, le app eseguite in sandbox potevano effettuare richieste direttamente a un deamon di sistema che interferisce con o controlla le funzionalità di Twitter. Questo problema è stato risolto forzando i controlli di accesso sulle interfacce esposte al deamon di Twitter.

    CVE-ID

    CVE-2013-5157: Jin Han dell'Institute for Infocomm Research, collaboratore di Qiang Yan e Su Mon Kywe di Singapore Management University; Tielei Wang, Kangjie Lu, Long Lu, Simon Chung e Wenke Lee del Georgia Institute of Technology

  • WebKit

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'accesso a un sito web pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificavano diversi problemi di danneggiamento della memoria in WebKit. Questi problemi sono stati risolti mediante una migliore gestione della memoria.

    CVE-ID

    CVE-2013-0879: Atte Kettunen di OUSPG

    CVE-2013-0991: Jay Civelli della community di sviluppo di Chromium

    CVE-2013-0992: Google Chrome Security Team (Martin Barbella)

    CVE-2013-0993: Google Chrome Security Team (Inferno)

    CVE-2013-0994: David German di Google

    CVE-2013-0995: Google Chrome Security Team (Inferno)

    CVE-2013-0996: Google Chrome Security Team (Inferno)

    CVE-2013-0997: Vitaliy Toropov, collaboratore della Zero Day Initiative di HP

    CVE-2013-0998: pa_kt, collaboratore della Zero Day Initiative di HP

    CVE-2013-0999: pa_kt, collaboratore della Zero Day Initiative di HP

    CVE-2013-1000: Fermin J. Serna del Google Security Team

    CVE-2013-1001: Ryan Humenick

    CVE-2013-1002: Sergey Glazunov

    CVE-2013-1003: Google Chrome Security Team (Inferno)

    CVE-2013-1004: Google Chrome Security Team (Martin Barbella)

    CVE-2013-1005: Google Chrome Security Team (Martin Barbella)

    CVE-2013-1006: Google Chrome Security Team (Martin Barbella)

    CVE-2013-1007: Google Chrome Security Team (Inferno)

    CVE-2013-1008: Sergey Glazunov

    CVE-2013-1010: miaubiz

    CVE-2013-1037: Google Chrome Security Team

    CVE-2013-1038: Google Chrome Security Team

    CVE-2013-1039: own-hero Research, collaboratore di iDefense VCP

    CVE-2013-1040: Google Chrome Security Team

    CVE-2013-1041: Google Chrome Security Team

    CVE-2013-1042: Google Chrome Security Team

    CVE-2013-1043: Google Chrome Security Team

    CVE-2013-1044: Apple

    CVE-2013-1045: Google Chrome Security Team

    CVE-2013-1046: Google Chrome Security Team

    CVE-2013-1047: miaubiz

    CVE-2013-2842: Cyril Cattiaux

    CVE-2013-5125: Google Chrome Security Team

    CVE-2013-5126: Apple

    CVE-2013-5127: Google Chrome Security Team

    CVE-2013-5128: Apple

  • WebKit

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'accesso a un sito web pericoloso potrebbe comportare la divulgazione di informazioni.

    Descrizione: si verificava un problema di divulgazione di informazioni nella gestione dell'API window.webkitRequestAnimationFrame(). Un sito web pericoloso poteva usare un iframe per determinare se un altro sito avesse utilizzato window.webkitRequestAnimationFrame(). Questo problema è stato risolto migliorando window.webkitRequestAnimationFrame().

    CVE-ID

    CVE-2013-5159
  • WebKit

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: copiare e incollare un frammento di codice HTML pericoloso potrebbe causare un attacco di scripting cross-site.

    Descrizione: si verificava un problema di scripting cross-site nella gestione di dati copiati e incollati in documenti HTML. Questo problema è stato risolto attraverso un'ulteriore convalida dei contenuti incollati.

    CVE-ID

    CVE-2013-0926: Aditya Gupta, Subho Halder e Dev Kar di xys3c (xysec.com)

  • WebKit

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'accesso a un sito web pericoloso potrebbe causare un attacco di scripting cross-site.

    Descrizione: si verificava un problema di scripting cross-site nella gestione degli iframe. Questo problema è stato risolto migliorando il tracking delle origini.

    CVE-ID

    CVE-2013-1012: Subodh Iyengar e Erling Ellingsen di Facebook

  • WebKit

    Disponibile per: iPhone 3GS e versioni più recenti, iPod touch (4a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'accesso a un sito web pericoloso potrebbe comportare la divulgazione di informazioni.

    Descrizione: si verificava un problema di divulgazione di informazioni in XSSAuditor. Questo problema è stato risolto migliorando la gestione degli URL.

    CVE-ID

    CVE-2013-2848: Egor Homakov

  • WebKit

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: trascinare o incollare una selezione potrebbe causare un attacco di scripting cross-site.

    Descrizione: trascinare o incollare una selezione da un sito all'altro poteva determinare l'esecuzione degli script presenti nella selezione nel contesto del nuovo sito web. Questo problema è stato risolto tramite un'ulteriore convalida del contenuto prima di incollare o trascinare e rilasciare la selezione.

    CVE-ID

    CVE-2013-5129: Mario Heiderich

  • WebKit

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'accesso a un sito web pericoloso potrebbe causare un attacco di scripting cross-site.

    Descrizione: si verificava un problema di scripting cross-site nella gestione degli URL. Questo problema è stato risolto migliorando il tracking delle origini.

    CVE-ID

    CVE-2013-5131: Erling A Ellingsen

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Data di pubblicazione: