Informazioni sul contenuto di sicurezza di iOS 8.1

In questo documento viene descritto il contenuto di sicurezza di iOS 8.1.

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple leggi l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, vengono utilizzati ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza consulta Aggiornamenti di sicurezza Apple.

iOS 8.1

  • Bluetooth

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un dispositivo di input Bluetooth dannoso potrebbe bypassare l'abbinamento.

    Descrizione: le connessioni non crittografate venivano autorizzate da accessori Bluetooth di classe HID (Human Interface Device) a basso consumo. Se un dispositivo iOS era stato abbinato a un accessorio simile, un malintenzionato poteva eseguire lo spoofing dell'accessorio autorizzato per stabilire una connessione. Questo problema è stato risolto rifiutando le connessioni HID non crittografate.

    CVE-ID

    CVE-2014-4428: Mike Ryan di iSEC Partners

  • House Arrest

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: i file trasferiti sul dispositivo potrebbero disporre di protezione crittografica non sufficiente.

    Descrizione: i file potevano essere trasferiti nella directory relativa ai documenti di un'app e crittografati con una chiave protetta solamente dall'UID dell'hardware. Questo problema è stato risolto effettuando la crittografia dei file trasferiti con una chiave protetta dall'UID dell'hardware e con il codice dell'utente.

    CVE-ID

    CVE-2014-4448: Jonathan Zdziarski e Kevin DeLong

  • Accesso ai dati iCloud

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un malintenzionato con una posizione privilegiata in rete potrebbe forzare la divulgazione di dati sensibili da parte dei client di accesso ai dati iCloud.

    Descrizione: è stata rilevata una vulnerabilità nella convalida del certificato TLS nei client di accesso ai dati iCloud. Questo problema è stato risolto attraverso una migliore convalida del certificato.

    CVE-ID

    CVE-2014-4449: Carl Mehner di USAA

  • Tastiere

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: QuickType era in grado di apprendere le credenziali dell'utente.

    Descrizione: QuickType era in grado di apprendere le credenziali dell'utente quando si passava tra gli elementi. Questo problema è stato risolto non consentendo a QuickType di apprendere dai campi in cui l'opzione di riempimento automatico è disabilitata e riapplicando i criteri quando si passa tra gli elementi di input DOM nella versione legacy di WebKit.

    CVE-ID

    CVE-2014-4450

  • Secure Transport

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un malintenzionato potrebbe essere in grado di decodificare i dati protetti con SSL.

    Descrizione: si sono verificati casi confermati di attacchi alla riservatezza SSL 3.0 quando una suite di cifratura utilizza una cifratura a blocchi in modalità CBC. Un malintenzionato potrebbe forzare l'uso di SSL 3.0 anche se il server supporta una versione TLS migliore, bloccando i tentativi di connessione con TLS 1.0 e versioni più recenti. Questo problema è stato risolto disabilitando le suite di codice CBC quando i tentativi di connessione TLS falliscono.

    CVE-ID

    CVE-2014-3566: Bodo Moeller, Thai Duong e Krzysztof Kotowicz del Google Security Team

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: