Informazioni sul contenuto di sicurezza di iOS 7.1.1

In questo documento viene descritto il contenuto di sicurezza di iOS 7.1.1.

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple consulta l'articolo "Come usare la chiave PGP per la sicurezza dei prodotti Apple".

Quando possibile, vengono utilizzati ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza consulta l'articolo "Aggiornamenti di sicurezza Apple".

iOS 7.1.1

  • CFNetwork HTTPProtocol

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un malintenzionato con una posizione privilegiata in rete potrebbe acquisire le credenziali del sito web.

    Descrizione: le intestazioni HTTP Set-Cookie venivano elaborate anche se la connessione veniva chiusa prima che la riga dell'intestazione fosse completata. Un malintenzionato poteva rimuovere le impostazioni di sicurezza dal cookie forzando la chiusura della connessione prima dell'invio delle impostazioni di sicurezza e acquisire quindi il valore del cookie senza protezione. Il problema è stato risolto ignorando le righe delle intestazioni HTTP non complete.

    CVE-ID

    CVE-2014-1296: Antoine Delignat-Lavaud di Prosecco presso Inria Paris

  • IOKit Kernel

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un utente collegato in locale può leggere i puntatori del kernel, che possono essere usati per ignorare la funzione Address Space Layout Randomization (ASLR).

    Descrizione: era possibile recuperare dallo userland un set di puntatori del kernel archiviati in un oggetto IOKit. Il problema è stato risolto attraverso la rimozione dei puntatori dall'oggetto.

    CVE-ID

    CVE-2014-1320: Ian Beer di Google Project Zero collaboratore della Zero Day Initiative di HP

  • Sicurezza: Secure Transport

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un malintenzionato con una posizione privilegiata in rete potrebbe registrare dati o modificare le operazioni eseguite nelle sessioni protette da SSL.

    Descrizione: durante un attacco di triplo handshake era possibile per un malintenzionato stabilire due connessioni con lo stesso handshake e le stesse chiavi di crittografia, inserire i propri dati in una connessione ed effettuare una rinegoziazione per eseguire l'inoltro delle due connessioni. Per evitare attacchi di questo tipo, sono state apportate delle modifiche a Secure Transport in modo che una rinegoziazione deve usare di default lo stesso certificato server adottato nella connessione originale.

    CVE-ID

    CVE-2014-1295: Antoine Delignat-Lavaud, Karthikeyan Bhargavan e Alfredo Pironti di Prosecco presso Inria Paris

  • WebKit

    Disponibile per: iPhone 4 e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'accesso a un sito web pericoloso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificavano diversi problemi di danneggiamento della memoria in WebKit. Questi problemi sono stati risolti mediante una migliore gestione della memoria.

    CVE-ID

    CVE-2013-2871: miaubiz

    CVE-2014-1298: Google Chrome Security Team

    CVE-2014-1299: Google Chrome Security Team, Apple, Renata Hodovan dell'Università di Szeged / Samsung Electronics

    CVE-2014-1300: Ian Beer di Google Project Zero collaboratore della Zero Day Initiative di HP

    CVE-2014-1302: Google Chrome Security Team, Apple

    CVE-2014-1303: KeenTeam collaboratore della Zero Day Initiative di HP

    CVE-2014-1304: Apple

    CVE-2014-1305: Apple

    CVE-2014-1307: Google Chrome Security Team

    CVE-2014-1308: Google Chrome Security Team

    CVE-2014-1309: cloudfuzzer

    CVE-2014-1310: Google Chrome Security Team

    CVE-2014-1311: Google Chrome Security Team

    CVE-2014-1312: Google Chrome Security Team

    CVE-2014-1313: Google Chrome Security Team

    CVE-2014-1713: VUPEN collaboratore della Zero Day Initiative di HP

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Data di pubblicazione: