Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.
Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple consulta l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.
Quando possibile, vengono utilizzati ID CVE per fornire ulteriori informazioni sulle vulnerabilità.
Per informazioni su altri aggiornamenti di sicurezza consulta l'articolo Aggiornamenti di sicurezza Apple.
iOS 8.3
- AppleKeyStore
Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
Impatto: un'applicazione pericolosa può indovinare il codice dell'utente.
Descrizione: iOS consentiva l'accesso a un'interfaccia che autorizzava tentativi di verifica del codice dell'utente. Il problema è stato risolto con un migliore controllo delle autorizzazioni.
ID CVE
CVE-2015-1085: Elias Limneos
Voce aggiornata il 17 maggio 2017
- Driver audio
Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verificava un problema di convalida negli oggetti IOKit utilizzati da un driver audio. Il problema è stato risolto attraverso una migliore convalida dei metadati.
ID CVE
CVE-2015-1086
- Backup
Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
Impatto: un malintenzionato può usare il sistema di backup per accedere alle aree soggette a restrizione del file system.
Descrizione: si verificava un problema nella logica di valutazione del percorso relativo del sistema di backup. Il problema è stato risolto attraverso il miglioramento della valutazione del percorso.
ID CVE
CVE-2015-1087: TaiG Jailbreak Team
- Certificate Trust Policy
Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
Impatto: aggiornamento del Certificate Trust Policy.
Descrizione: aggiornato il Certificate Trust Policy. L'elenco completo dei certificati può essere visualizzato al seguente indirizzo: https://support.apple.com/it-it/HT204132.
- CFNetwork
Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
Impatto: i cookie appartenenti a un'origine possono essere inviati a un'altra origine.
Descrizione: si verificava un problema relativo ai cookie tra domini a livello di gestione dei reindirizzamenti. I cookie impostati in una risposta di reindirizzamento potevano essere trasmessi a un target di reindirizzamento appartenente a un'altra origine. Il problema è stato risolto attraverso una migliore gestione dei reindirizzamenti.
ID CVE
CVE-2015-1089: Niklas Keller (http://kelunik.com)
- CFNetwork
Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
Impatto: un utente potrebbe non riuscire a eliminare completamente la cronologia di navigazione.
Descrizione: l'eliminazione della cronologia di Safari non comportava l'eliminazione dello stato HTTP Strict Transport Security salvato. Il problema è stato risolto attraverso una migliore eliminazione dei dati.
ID CVE
CVE-2015-1090
- Sessione CFNetwork
Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
Impatto: le credenziali di autenticazione possono essere inviate a un server su un'altra origine.
Descrizione: si verificava un problema delle intestazioni di richiesta HTTP tra domini nella gestione dei reindirizzamenti. Le intestazioni di richiesta HTTP inviate in una risposta di reindirizzamento potevano essere trasmesse a un'altra origine. Il problema è stato risolto attraverso una migliore gestione dei reindirizzamenti.
ID CVE
CVE-2015-1091: Diego Torres (http://dtorres.me)
- CFURL
Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
Impatto: l'accesso a un sito web pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: si verificava un problema di convalida degli input nell'elaborazione degli URL. Il problema è stato risolto attraverso una migliore convalida dell'URL.
ID CVE
CVE-2015-1088
- Foundation
Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
Impatto: un'applicazione che utilizza NSXMLParser può essere usata in modo scorretto per divulgare le informazioni.
Descrizione: si verificava un problema di entità XML esterne nella gestione dei contenuti XML da parte di NSXMLParser. Il problema è stato risolto non caricando entità esterne tra le origini.
ID CVE
CVE-2015-1092: Ikuya Fukumoto
- FontParser
Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
Impatto: l'elaborazione di un file di caratteri pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: si verificavano diversi problemi di danneggiamento della memoria nell'elaborazione dei file di caratteri. Questi problemi sono stati risolti attraverso una migliore verifica dei limiti.
ID CVE
CVE-2015-1093: Marc Schoenefeld
- IOAcceleratorFamily
Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
Impatto: un'applicazione dannosa può essere in grado di determinare il layout della memoria del kernel.
Descrizione: si verificava un problema in IOAcceleratorFamily che causava la divulgazione dei contenuti della memoria del kernel. Il problema è stato risolto rimuovendo il codice non richiesto.
ID CVE
CVE-2015-1094: Cererdlong di Alibaba Mobile Security Team
- IOHIDFamily
Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
Impatto: un dispositivo HID pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: si verificava un problema di danneggiamento della memoria in un'API di IOHIDFamily. Il problema è stato risolto mediante una migliore gestione della memoria.
ID CVE
CVE-2015-1095: Andrew Church
- IOHIDFamily
Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
Impatto: un'applicazione dannosa può essere in grado di determinare il layout della memoria del kernel.
Descrizione: si verificava un problema in IOHIDFamily che causa la divulgazione dei contenuti della memoria del kernel. Il problema è stato risolto attraverso un migliore controllo dei limiti.
ID CVE
CVE-2015-1096: Ilja van Sprundel di IOActive
- IOMobileFramebuffer
Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
Impatto: un'applicazione dannosa può essere in grado di determinare il layout della memoria del kernel.
Descrizione: si verificava un problema in MobileFrameBuffer che causava la divulgazione dei contenuti della memoria del kernel. Il problema è stato risolto attraverso un migliore controllo dei limiti.
ID CVE
CVE-2015-1097: Barak Gabai dell'IBM X-Force Application Security Research Team
- iWork Viewer
Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
Impatto: l'apertura di un file iWork pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: si verificava un problema di danneggiamento della memoria nella gestione dei file iWork. Il problema è stato risolto mediante una migliore gestione della memoria.
ID CVE
CVE-2015-1098: Christopher Hickstein
- Kernel
Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
Impatto: un'applicazione pericolosa può causare un DoS ("Denial of Service") del sistema.
Descrizione: si verificava una condizione critica nella chiamata di sistema setreuid del kernel. Il problema è stato risolto attraverso una migliore gestione dello stato.
ID CVE
CVE-2015-1099: Mark Mentovai di Google Inc.
- Kernel
Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
Impatto: un'applicazione pericolosa può disporre di privilegi più elevati tramite un servizio compromesso destinato all'esecuzione con privilegi ridotti.
Descrizione: le chiamate di sistema setreuid e setregid non riuscivano a rimuovere in modo permanente i privilegi. Il problema è stato risolto rimuovendo correttamente i privilegi.
ID CVE
CVE-2015-1117: Mark Mentovai di Google Inc.
- Kernel
Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
Impatto: un'applicazione pericolosa può causare l'arresto improvviso del sistema o leggere la memoria del kernel.
Descrizione: si verificava un problema di accesso alla memoria fuori dai limiti nel kernel. Il problema è stato risolto mediante una migliore gestione della memoria.
ID CVE
CVE-2015-1100: Maxime Villard di m00nbsd
- Kernel
Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verificava un problema di danneggiamento della memoria nel kernel. Il problema è stato risolto mediante una migliore gestione della memoria.
ID CVE
CVE-2015-1101: lokihardt@ASRT collaboratore della Zero Day Initiative di HP
- Kernel
Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
Impatto: un malintenzionato in una posizione privilegiata nella rete potrebbe causare un'interruzione del servizio.
Descrizione: si verificava un comportamento non coerente dello stato nell'elaborazione delle intestazioni TCP. Il problema è stato risolto attraverso una migliore gestione dello stato.
ID CVE
CVE-2015-1102: Andrey Khudyakov e Maxim Zhuravlev di Kaspersky Lab
- Kernel
Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
Impatto: un malintenzionato con una posizione privilegiata in rete può reindirizzare il traffico utente a host arbitrari.
Descrizione: in iOS sono abilitati di default i reindirizzamenti ICMP. Il problema è stato risolto disabilitando i reindirizzamenti ICMP.
ID CVE
CVE-2015-1103: Zimperium Mobile Security Labs
- Kernel
Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
Impatto: un malintenzionato collegato in remoto può ignorare i filtri di rete.
Descrizione: il sistema trattava alcuni pacchetti IPv6 da rete remota come fossero pacchetti locali. Il problema è stato risolto rifiutando tali pacchetti.
ID CVE
CVE-2015-1104: Stephen Roettger del Google Security Team
- Kernel
Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
Impatto: un malintenzionato collegato in remoto può causare un'interruzione del servizio.
Descrizione: si verificava un comportamento non coerente dello stato nella gestione dei dati fuori banda di TCP. Il problema è stato risolto attraverso una migliore gestione dello stato.
ID CVE
CVE-2015-1105: Kenton Varda di Sandstorm.io
- Tastiere
Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
Impatto: QuickType può memorizzare i codici dell'utente.
Descrizione: durante l'uso delle tastiere Bluetooth, QuickType poteva memorizzare i codici dell'utente. Il problema è stato risolto impedendo la visualizzazione di QuickType sulla schermata di blocco.
ID CVE
CVE-2015-1106: Jarrod Dwenger, Steve Favorito, Paul Reedy di ConocoPhillips, Pedro Tavares di Molecular Biophysics presso UCIBIO/FCT/UNL, De Paul Sunny, Christian Still di Evolve Media, Canada
- libnetcore
Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
Impatto: l'elaborazione di un profilo di configurazione pericoloso può causare la chiusura improvvisa dell'applicazione.
Descrizione: si verificava un problema di danneggiamento della memoria nella gestione dei profili di configurazione. Il problema è stato risolto attraverso un migliore controllo dei limiti.
ID CVE
CVE-2015-1118: Zhaofeng Chen, Hui Xue, Yulong Zhang e Tao Wei di FireEye, Inc.
- Blocco schermo
Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
Impatto: un malintenzionato in possesso di un dispositivo può impedire l'inizializzazione del dispositivo dopo i tentativi falliti di inserimento del codice.
Descrizione: in alcune circostanze un dispositivo poteva non inizializzarsi dopo i tentativi falliti di inserimento del codice. Il problema è stato risolto attraverso ulteriori misure di inizializzazione.
ID CVE
CVE-2015-1107: Brent Erickson, Stuart Ryan della University of Technology, Sydney
- Blocco schermo
Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
Impatto: un malintenzionato in possesso di un dispositivo potrebbe superare il numero massimo consentito di tentativi falliti di inserimento del codice.
Descrizione: in alcune circostanze il limite relativo al numero massimo consentito di tentativi falliti di inserimento del codice non veniva applicato. Il problema è stato risolto attraverso ulteriori misure di applicazione del limite.
ID CVE
CVE-2015-1108
- NetworkExtension
Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
Impatto: un malintenzionato in possesso di un dispositivo potrebbe recuperare le credenziali VPN.
Descrizione: si verificava un problema nella gestione dei resoconti di configurazione VPN. Il problema è stato risolto rimuovendo la registrazione delle credenziali.
ID CVE
CVE-2015-1109: Josh Tway di IPVanish
- Podcast
Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
Impatto: le informazioni non necessarie possono essere inviate ai server esterni durante il download degli asset del podcast.
Descrizione: durante il download degli asset del podcast a cui un utente è iscritto, venivano inviati ai server esterni gli identificatori univoci. Il problema è stato risolto rimuovendo gli identificatori.
ID CVE
CVE-2015-1110: Alex Selivanov
- Safari
Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
Impatto: un utente potrebbe non riuscire a eliminare completamente la cronologia di navigazione.
Descrizione: l'eliminazione della cronologia di Safari non comportava l'eliminazione dei pannelli chiusi di recente. Il problema è stato risolto attraverso una migliore eliminazione dei dati.
ID CVE
CVE-2015-1111: Frode Moe di LastFriday.no
- Safari
Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
Impatto: la cronologia di esplorazione degli utenti può non essere completamente eliminata.
Descrizione: si verificava un problema di gestione dello stato in Safari che comportava la mancata cancellazione della cronologia di esplorazione degli utenti dal file history.plist. Il problema è stato risolto migliorando la gestione dello stato.
ID CVE
CVE-2015-1112: William Breuer, Paesi Bassi
- Profili delle sandbox
Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
Impatto: un'applicazione pericolosa può accedere ai numeri di telefono o agli indirizzi email dei contatti recenti.
Descrizione: si verificava un problema di divulgazione delle informazioni nella sandbox delle app di terze parti. Il problema è stato risolto migliorando il profilo della sandbox.
ID CVE
CVE-2015-1113: Andreas Kurtz di NESO Security Labs, Markus Troßbach della Heilbronn University
- Profili delle sandbox
Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
Impatto: app di terze parti possono accedere agli identificatori hardware.
Descrizione: si verificava un problema di divulgazione delle informazioni nella sandbox delle app di terze parti. Il problema è stato risolto migliorando il profilo della sandbox.
ID CVE
CVE-2015-1114
- Secure Transport
Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
Impatto: l'elaborazione di un certificato X.509 pericoloso può causare la chiusura improvvisa dell'applicazione.
Descrizione: si verificava un problema di dereferenziazione del puntatore NULL nella gestione dei certificati X.509. Il problema è stato risolto attraverso una migliore convalida dell'input.
ID CVE
CVE-2015-1160: Elisha Eshed, Roy Iarchy e Yair Amit di Skycure Security Research
- Telefonia
Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
Impatto: un'applicazione pericolosa può accedere alle funzioni di telefonia soggette a restrizioni.
Descrizione: si verificava un problema di controllo dell'accesso nel sottosistema di telefonia. Le app sandboxed potevano accedere alle funzioni di telefonia soggette a restrizioni. Il problema è stato risolto con un migliore controllo delle autorizzazioni.
ID CVE
CVE-2015-1115: Andreas Kurtz di NESO Security Labs, Markus Troßbach della Heilbronn University
- UIKit View
Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
Impatto: i dati sensibili possono essere esposti nelle istantanee delle applicazioni presentate nel Task Switcher.
Descrizione: si verificava un problema in UIKit che non rendeva irriconoscibili le istantanee dell'applicazione contenenti dati sensibili in Task Switcher. Il problema è stato risolto rendendo l'istantanea irriconoscibile.
ID CVE
CVE-2015-1116: il team delle app per dispositivi mobili di HP Security Voltage, Aaron Rogers di Mint.com, David Edwards di Tech4Tomorrow, David Zhang di Dropbox
- WebKit
Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
Impatto: un comportamento non coerente dell'interfaccia utente potrebbe impedire agli utenti di identificare gli attacchi di phishing.
Descrizione: si verificava un comportamento non coerente dell'interfaccia in Safari che consentiva a un malintenzionato di alterare un URL. Il problema è stato risolto attraverso migliori controlli di coerenza dell'interfaccia utente.
ID CVE
CVE-2015-1084: Apple
- WebKit
Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
Impatto: l'accesso a un sito web pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: si verificavano diversi problemi di danneggiamento della memoria in WebKit. Questi problemi sono stati risolti mediante una migliore gestione della memoria.
ID CVE
CVE-2015-1068: Apple
CVE-2015-1069: lokihardt@ASRT collaboratore della Zero Day Initiative di HP
CVE-2015-1070: Apple
CVE-2015-1071: Apple
CVE-2015-1072
CVE-2015-1073: Apple
CVE-2015-1074: Apple
CVE-2015-1076
CVE-2015-1077: Apple
CVE-2015-1078: Apple
CVE-2015-1079: Apple
CVE-2015-1080: Apple
CVE-2015-1081: Apple
CVE-2015-1082: Apple
CVE-2015-1083: Apple
CVE-2015-1119: Renata Hodovan della University of Szeged/Samsung Electronics
CVE-2015-1120: Apple
CVE-2015-1121: Apple
CVE-2015-1122: Apple
CVE-2015-1123: Randy Luecke e Anoop Menon di Google Inc.
CVE-2015-1124: Apple
- WebKit
Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
Impatto: l'accesso a un sito web pericoloso può indurre l'utente a fare clic su un altro sito web.
Descrizione: si verificava un problema durante la gestione degli eventi touch. Un tocco poteva indirizzare a un altro sito web. Il problema è stato risolto attraverso una migliore gestione degli eventi.
ID CVE
CVE-2015-1125: Phillip Moon e Matt Weston di www.sandfield.co.nz
- WebKit
Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
Impatto: la visita di un sito web pericoloso può causare l'accesso alle risorse di un'altra origine.
Descrizione: si verificava un problema in WebKit durante la gestione delle credenziali degli URL dell'FTP. Il problema è stato risolto attraverso una migliore decodifica.
ID CVE
CVE-2015-1126: Jouko Pynnonen di Klikki Oy
Wi-Fi
Impatto: la password di un utente potrebbe essere inviata a un punto di accesso Wi-Fi non attendibile.
Descrizione: nella schermata che segnala un certificato Wi-Fi non attendibile era presente un solo pulsante che configurava il certificato come attendibile. Un utente che non desiderasse usare il punto di accesso Wi-Fi doveva premere il tasto Home o di blocco per uscire dalla schermata. Il problema è stato risolto aggiungendo un pulsante "Annulla" visibile.
ID CVE
CVE-2015-5762: Michael Santos