Informazioni sul contenuto di sicurezza di iOS 7.1

In questo documento vengono descritti i contenuti di sicurezza di iOS 7.1.

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple leggi l'articolo "Come usare la chiave PGP per la sicurezza dei prodotti Apple".

Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza consulta l'articolo "Aggiornamenti di sicurezza Apple".

iOS 7.1

  • Backup

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un backup dannoso può alterare il filesystem

    Descrizione: un link simbolico in un backup viene ripristinato, consentendo alle operazioni successive durante il ripristino di scrivere sul resto del filesystem. Questo problema è stato risolto verificando la presenza di link simbolici durante il processo di ripristino.

    CVE-ID

    CVE-2013-5133: evad3rs

  • Certificate Trust Policy

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: i certificati principali sono stati aggiornati

    Descrizione: diversi certificati vengono aggiunti all'elenco dei root di sistema oppure rimossi.

  • Profili di configurazione

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: non vengono rispettate le date di scadenza del profilo

    Descrizione: le date di scadenza dei profili di configurazione mobili non vengono valutate correttamente. Questo problema è stato risolto attraverso una migliore gestione dei profili di configurazione.

    CVE-ID

    CVE-2014-1267

  • CoreCapture

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione pericolosa può causare un arresto improvviso del sistema

    Descrizione: si verifica un problema di raggiungimento dell'asserzione nella gestione delle chiamate API con IOKit da parte di CoreCapture. Questo problema è stato risolto attraverso un'ulteriore convalida dell'input da IOKit.

    CVE-ID

    CVE-2014-1271: Filippo Bigarella

  • Resoconto sui crash

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un utente locale può modificare i permessi relativi ai file arbitrari

    Descrizione: CrashHouseKeeping segue i link simbolici durante la modifica dei permessi relativi ai file. Questo problema è stato risolto non seguendo i link simbolici durante la modifica dei permessi relativi ai file.

    CVE-ID

    CVE-2014-1272: evad3rs

  • dyld

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: i requisiti di firma del codice possono essere ignorati

    Descrizione: le istruzioni di trasferimento del testo nelle librerie dinamiche possono essere caricate da dyld senza una convalida della firma del codice. Questo problema è stato risolto ignorando le istruzioni di trasferimento del testo.

    CVE-ID

    CVE-2014-1273: evad3rs

  • FaceTime

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un utente con accesso fisico al dispositivo può accedere ai contatti di FaceTime dal blocco schermo

    Descrizione: i contatti di FaceTime su un dispositivo bloccato possono essere esposti effettuando una chiamata FaceTime non riuscita dal blocco schermo. Questo problema è stato risolto attraverso una migliore gestione delle chiamate FaceTime.

    CVE-ID

    CVE-2014-1274

  • ImageIO

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: la visualizzazione di un file PDF dannoso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario

    Descrizione: si verifica un overflow del buffer nella gestione delle immagini JPEG2000 nei file PDF. Questo problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-1275: Felix Groebert del Google Security Team

  • ImageIO

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: la visualizzazione di un file TIFF dannoso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario

    Descrizione: si verifica un overflow del buffer nella gestione delle immagini TIFF da parte della libreria libtiff. Questo problema è stato risolto attraverso un'ulteriore convalida delle immagini TIFF.

    CVE-ID

    CVE-2012-2088

  • ImageIO

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: la visualizzazione di un file JPEG dannoso potrebbe causare la divulgazione di contenuti presenti in memoria

    Descrizione: si verifica un problema di accesso alla memoria non inizializzata nella gestione dei marcatori JPEG da parte di libjpeg, che causa la divulgazione di contenuti presenti in memoria. Questo problema è stato risolto attraverso un'ulteriore convalida dei file JPEG.

    CVE-ID

    CVE-2013-6629: Michal Zalewski

  • Evento HID IOKit

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione pericolosa può monitorare le azioni dell'utente in altre app

    Descrizione: un'interfaccia nel framework IOKit consente ad app pericolose di monitorare le azioni degli utenti in altre app. Questo problema è stato risolto attraverso migliori politiche di controllo degli accessi nel framework.

    CVE-ID

    CVE-2014-1276: Min Zheng, Hui Xue e Dr. Tao (Lenx) Wei di FireEye

  • iTunes Store

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un malintenzionato man-in-the-middle può indurre un utente a scaricare un'app pericolosa tramite Enterprise App Download

    Descrizione: un malintenzionato con una posizione privilegiata in rete può eseguire lo spoofing delle comunicazioni sulla rete per indurre un utente a scaricare un'app pericolosa. Questo problema è stato risolto usando il protocollo SSL e inviando una richiesta all'utente durante i reindirizzamenti di URL.

    CVE-ID

    CVE-2013-3948: Stefan Esser

  • Kernel

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un utente locale può causare un arresto improvviso del sistema o l'esecuzione di codice arbitrario nel kernel

    Descrizione: si verifica un problema di accesso alla memoria fuori dai limiti nella funzione ptmx_get_ioctl dell'ARM. Questo problema è stato risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-1278: evad3rs

  • Office Viewer

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'apertura di un documento Microsoft Word dannoso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario

    Descrizione: si verifica un problema di double free nella gestione dei documenti Microsoft Word. Questo problema viene risolto attraverso una migliore gestione della memoria.

    CVE-ID

    CVE-2014-1252: Felix Groebert del Google Security Team

  • Back-end di Foto

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: le immagini eliminate possono essere ancora visibili nell'app Foto sotto immagini trasparenti

    Descrizione: l'eliminazione di un immagine dalla libreria relativa ai contenuti non elimina le versioni dell'immagine archiviate nella cache. Questo problema è stato risolto attraverso una migliore gestione della memoria cache.

    CVE-ID

    CVE-2014-1281: Walter Hoelblinger di Hoelblinger.com, Morgan Adams, Tom Pennington

  • Profili

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un profilo di configurazione può essere nascosto all'utente

    Descrizione: un profilo di configurazione con un nome lungo può essere caricato sul dispositivo senza che venga visualizzato nell'interfaccia utente del profilo. Questo problema è stato risolto attraverso una migliore gestione dei nomi di profilo.

    CVE-ID

    CVE-2014-1282: Assaf Hefetz, Yair Amit e Adi Sharabani di Skycure

  • Safari

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: le credenziali dell'utente possono essere rivelate a un sito sconosciuto tramite la funzione di riempimento automatico

    Descrizione: Safari può aver inserito con la funzione di riempimento automatico i nomi e le password dell'utente in un subframe da un dominio diverso dal frame principale. Questo problema è stato risolto attraverso un migliore tracking delle origini.

    CVE-ID

    CVE-2013-5227: Niklas Malmgren di Klarna AB

  • Account - Impostazioni

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un individuo con accesso fisico al dispositivo potrebbe riuscire a disabilitare Trova il mio iPhone senza immettere una password iCloud.

    Descrizione: si verificava un problema nella gestione dello stato di Trova il mio iPhone. Questo problema è stato risolto migliorando la gestione dello stato di Trova il mio iPhone.

    CVE-ID

    CVE-2014-2019

  • Springboard

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: una persona con accesso fisico al dispositivo può visualizzare la schermata Home del dispositivo anche se quest'ultimo non è stato attivato

    Descrizione: una chiusura improvvisa dell'applicazione durante l'attivazione può causare la visualizzazione della schermata Home del telefono. Questo problema è stato risolto attraverso una migliore gestione degli errori durante l'attivazione.

    CVE-ID

    CVE-2014-1285: Roboboi99

  • Blocco schermo di SpringBoard

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un malintenzionato collegato in remoto può causare la mancata risposta del blocco schermo

    Descrizione: si verifica un problema di gestione dello stato nel blocco schermo. Questo problema è stato risolto attraverso una migliore gestione dello stato.

    ID CVE

    CVE-2014-1286: Bogdan Alecu di M-sec.net

  • Framework di TelephonyUI

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: una pagina web può attivare una chiamata audio FaceTime senza l'interazione dell'utente

    Descrizione: Safari non consulta l'utente prima di aprire gli URL facetime-audio://. Questo problema è stato risolto con l'aggiunta di una richiesta di conferma.

    CVE-ID

    CVE-2013-6835: Guillaume Ross

  • Host USB

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: una persona con accesso fisico al dispositivo può causare l'esecuzione di codice arbitrario in modalità kernel

    Descrizione: si verifica un problema di danneggiamento della memoria nella gestione dei messaggi USB. Questo problema è stato risolto attraverso un'ulteriore convalida dei messaggi USB.

    CVE-ID

    CVE-2014-1287: Andy Davis di NCC Group

  • Driver video

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: la riproduzione di un video dannoso potrebbe causare la mancata risposta del dispositivo

    Descrizione: si verifica un problema di dereferenziazione del puntatore null nella gestione di file codificati MPEG-4. Questo problema viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2014-1280: rg0rd

  • WebKit

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'accesso a un sito web dannoso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: sono stati rilevati diversi problemi di danneggiamento della memoria in WebKit. Questi problemi vengono risolti mediante una migliore gestione della memoria.

    CVE-ID

    CVE-2013-2909: Atte Kettunen di OUSPG

    CVE-2013-2926: cloudfuzzer

    CVE-2013-2928: Google Chrome Security Team

    CVE-2013-5196: Google Chrome Security Team

    CVE-2013-5197: Google Chrome Security Team

    CVE-2013-5198: Apple

    CVE-2013-5199: Apple

    CVE-2013-5225: Google Chrome Security Team

    CVE-2013-5228: Keen Team (@K33nTeam) collaboratore della Zero Day Initiative di HP

    CVE-2013-6625: cloudfuzzer

    CVE-2013-6635: cloudfuzzer

    CVE-2014-1269: Apple

    CVE-2014-1270: Apple

    CVE-2014-1289: Apple

    CVE-2014-1290: ant4g0nist (SegFault) collaboratore della Zero Day Initiative di HP, Google Chrome Security Team, Lee Wang Hao collaboratore di S.P.T. Krishnan di Infocomm Security Department, Institute for Infocomm Research

    CVE-2014-1291: Google Chrome Security Team

    CVE-2014-1292: Google Chrome Security Team

    CVE-2014-1293: Google Chrome Security Team

    CVE-2014-1294: Google Chrome Security Team

 

FaceTime non è disponibile in tutti i Paesi o in tutte le aree geografiche.

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Data di pubblicazione: