Informazioni sul contenuto di sicurezza di iOS 8.1.3

In questo documento viene descritto il contenuto di sicurezza di iOS 8.1.3.

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple leggi l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, vengono utilizzati ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza consulta Aggiornamenti di sicurezza Apple.

iOS 8.1.3

  • AppleFileConduit

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un comando afc dannoso può consentire l'accesso a parti protette del filesystem.

    Descrizione: si verifica una vulnerabilità nel meccanismo di collegamento simbolico di afc. Questo problema viene risolto aggiungendo ulteriori controlli del percorso.

    CVE-ID

    CVE-2014-4480: TaiG Jailbreak Team

  • CoreGraphics

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'apertura di un file PDF dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un overflow di numeri interi nella gestione dei file PDF. Questo problema viene risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-4481: Felipe Andres Manzano di Binamuse VRT tramite il iSIGHT Partners GVP Program

  • dyld

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un utente locale può eseguire codice non firmato.

    Descrizione: si verifica un problema nella gestione dello stato dei file eseguibili Mach-O con segmenti sovrapposti. Questo problema viene risolto attraverso una migliore convalida delle dimensioni dei segmenti.

    CVE-ID

    CVE-2014-4455: TaiG Jailbreak Team

  • FontParser

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'apertura di un file PDF dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un overflow del buffer nella gestione dei file font. Questo problema viene risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-4483: Apple

  • FontParser

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'elaborazione di un file .dfont dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di danneggiamento della memoria nella gestione dei file .dfont. Questo problema viene risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-4484: Gaurav Baruah collaboratore della Zero Day Initiative di HP

  • Foundation

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: la visualizzazione di un file XML dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un overflow del buffer nel parser XML. Questo problema viene risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-4485: Apple

  • IOAcceleratorFamily

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un problema relativo alla dereferenziazione del puntatore nella gestione da parte di IOAcceleratorFamily degli elenchi di risorse. Questo problema viene risolto rimuovendo codice non richiesto.

    CVE-ID

    CVE-2014-4486: Ian Beer di Google Project Zero

  • IOHIDFamily

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un overflow del buffer in IOHIDFamily. Questo problema viene risolto attraverso una migliore convalida delle dimensioni.

    CVE-ID

    CVE-2014-4487: TaiG Jailbreak Team

  • IOHIDFamily

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un problema di convalida nella gestione da parte di IOHIDFamily dei metadati della coda delle risorse. Questo problema viene risolto attraverso una migliore convalida dei metadati.

    CVE-ID

    CVE-2014-4488: Apple

  • IOHIDFamily

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un problema relativo alla dereferenziazione del puntatore null nella gestione da parte di IOHIDFamily delle code di eventi. Questo problema viene risolto attraverso una migliore convalida.

    CVE-ID

    CVE-2014-4489: @beist

  • iTunes Store

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un sito web può bypassare le restrizioni della sandbox usando l'iTunes Store.

    Descrizione: si verifica un problema nella gestione degli URL reindirizzati da Safari all'iTunes Store che può consentire a un sito dannoso di bypassare le restrizioni della sandbox di Safari. Questo problema viene risolto migliorando il filtraggio degli URL aperti dall'iTunes Store.

    CVE-ID

    CVE-2014-8840: lokihardt@ASRT collaboratore della Zero Day Initiative di HP

  • Kerberos

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: la libreria libgssapi Kerberos ha fornito un token di contesto con un puntatore pendente. Questo problema viene risolto migliorando la gestione dello stato.

    CVE-ID

    CVE-2014-5352

  • Kernel

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: le applicazioni iOS dannose o compromesse possono riuscire a rilevare gli indirizzi nel kernel.

    Descrizione: si verifica un problema di gestione delle API collegate alle estensioni del kernel che causa la divulgazione di informazioni. Le risposte contenenti un codice OSBundleMachOHeaders possono includere indirizzi kernel in grado di bypassare la protezione ASLR (Address Space Layout Randomization, casualizzazione dello spazio degli indirizzi). Questo problema viene risolto sbloccando gli indirizzi prima della loro restituzione.

    CVE-ID

    CVE-2014-4491: @PanguTeam, Stefan Esser

  • Kernel

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un problema nel sottosistema di memoria condivisa del kernel che consente a un malintenzionato di scrivere sulla memoria che dovrebbe essere di sola lettura. Questo problema viene risolto attraverso controlli più rigidi delle autorizzazioni per la memoria condivisa.

    CVE-ID

    CVE-2014-4495: Ian Beer di Google Project Zero

  • Kernel

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: le applicazioni iOS dannose o compromesse possono riuscire a rilevare gli indirizzi nel kernel.

    Descrizione: l'interfaccia kernel mach_port_kobject divulga il valore della permutazione della memoria di heap e gli indirizzi kernel in grado di bypassare la protezione ASLR (Address Space Layout Randomization, casualizzazione dello spazio degli indirizzi). Questo problema viene risolto disabilitando l'interfaccia mach_port_kobject nelle configurazioni di produzione.

    CVE-ID

    CVE-2014-4496: TaiG Jailbreak Team

  • libnetcore

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'app sandboxed dannosa può compromettere il daemon networkd.

    Descrizione: si verificano diversi problemi di confusione dei tipi nella gestione da parte di networkd della comunicazione interprocesso. Inviando un messaggio con formato dannoso a networkd, è possibile eseguire codice arbitrario come processo di networkd. Questo problema viene risolto attraverso un ulteriore controllo dei tipi.

    CVE-ID

    CVE-2014-4492: Ian Beer di Google Project Zero

  • MobileInstallation

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione dannosa firmata da un'azienda può prendere il controllo del contenitore locale per le applicazioni già presenti sul dispositivo.

    Descrizione: si verifica una vulnerabilità nel processo di installazione dell'applicazione. Questo problema viene risolto impedendo in casi specifici la sostituzione delle applicazioni esistenti con applicazioni aziendali.

    CVE-ID

    CVE-2014-4493: Hui Xue e Tao Wei di FireEye, Inc.

  • Springboard

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: le applicazioni firmate dalle aziende possono essere avviate senza la richiesta di conferma dell'affidabilità.

    Descrizione: si verifica un problema nel determinare quando visualizzare la richiesta di conferma dell'affidabilità al primo avvio di un'applicazione firmata da un'azienda. Questo problema viene risolto attraverso una migliore convalida della firma del codice.

    CVE-ID

    CVE-2014-4494: Song Jin, Hui Xue e Tao Wei di FireEye, Inc.

  • WebKit

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'accesso a un sito web che presenta contenuti dannosi può causare lo spoofing dell'interfaccia utente.

    Descrizione: si verifica un problema relativo allo spoofing dell'interfaccia utente nella gestione dei limiti della barra di scorrimento. Questo problema viene risolto attraverso un migliore controllo dei limiti.

    CVE-ID

    CVE-2014-4467: Jordan Milne

  • WebKit

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: i fogli di stile sono caricati come elementi multiorigine, ciò può comportare l'esfiltrazione dei dati.

    Descrizione: un file SVG caricato in un elemento img può caricare un file CSS multiorigine. Questo problema viene risolto attraverso un migliore blocco dei riferimenti CSS nei file SVG.

    CVE-ID

    CVE-2014-4465: Rennie deGraaf di iSEC Partners

  • WebKit

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'accesso a un sito web dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificano diversi problemi di danneggiamento della memoria in WebKit. Questi problemi vengono risolti mediante una migliore gestione della memoria.

    CVE-ID

    CVE-2014-3192: cloudfuzzer

    CVE-2014-4459

    CVE-2014-4466: Apple

    CVE-2014-4468: Apple

    CVE-2014-4469: Apple

    CVE-2014-4470: Apple

    CVE-2014-4471: Apple

    CVE-2014-4472: Apple

    CVE-2014-4473: Apple

    CVE-2014-4474: Apple

    CVE-2014-4475: Apple

    CVE-2014-4476: Apple

    CVE-2014-4477: lokihardt@ASRT collaboratore della Zero Day Initiative di HP

    CVE-2014-4479: Apple

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Data di pubblicazione: