Informazioni sui contenuti di sicurezza di iOS 8.3

In questo documento vengono descritti i contenuti di sicurezza di iOS 8.3.

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple consulta l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, vengono utilizzati ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza consulta l'articolo Aggiornamenti di sicurezza Apple.

iOS 8.3

  • AppleKeyStore
    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
    Impatto: un'applicazione pericolosa può indovinare il codice dell'utente.
    Descrizione: iOS consentiva l'accesso a un'interfaccia che autorizzava tentativi di verifica del codice dell'utente. Il problema è stato risolto con un migliore controllo delle autorizzazioni.
    ID CVE
    CVE-2015-1085: Elias Limneos
    Voce aggiornata il 17 maggio 2017
  • Driver audio
    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
    Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi di sistema.
    Descrizione: si verificava un problema di convalida negli oggetti IOKit utilizzati da un driver audio. Il problema è stato risolto attraverso una migliore convalida dei metadati.
    ID CVE
    CVE-2015-1086
  • Backup
    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
    Impatto: un malintenzionato può usare il sistema di backup per accedere alle aree soggette a restrizione del file system.
    Descrizione: si verificava un problema nella logica di valutazione del percorso relativo del sistema di backup. Il problema è stato risolto attraverso il miglioramento della valutazione del percorso.
    ID CVE
    CVE-2015-1087: TaiG Jailbreak Team
  • Certificate Trust Policy
    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
    Impatto: aggiornamento del Certificate Trust Policy.
    Descrizione: aggiornato il Certificate Trust Policy. L'elenco completo dei certificati può essere visualizzato al seguente indirizzo: https://support.apple.com/it-it/HT204132.
  • CFNetwork
    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
    Impatto: i cookie appartenenti a un'origine possono essere inviati a un'altra origine.
    Descrizione: si verificava un problema relativo ai cookie tra domini a livello di gestione dei reindirizzamenti. I cookie impostati in una risposta di reindirizzamento potevano essere trasmessi a un target di reindirizzamento appartenente a un'altra origine. Il problema è stato risolto attraverso una migliore gestione dei reindirizzamenti.
    ID CVE
    CVE-2015-1089: Niklas Keller (http://kelunik.com)
  • CFNetwork
    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
    Impatto: un utente potrebbe non riuscire a eliminare completamente la cronologia di navigazione.
    Descrizione: l'eliminazione della cronologia di Safari non comportava l'eliminazione dello stato HTTP Strict Transport Security salvato. Il problema è stato risolto attraverso una migliore eliminazione dei dati.
    ID CVE
    CVE-2015-1090
  • Sessione CFNetwork
    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
    Impatto: le credenziali di autenticazione possono essere inviate a un server su un'altra origine.
    Descrizione: si verificava un problema delle intestazioni di richiesta HTTP tra domini nella gestione dei reindirizzamenti. Le intestazioni di richiesta HTTP inviate in una risposta di reindirizzamento potevano essere trasmesse a un'altra origine. Il problema è stato risolto attraverso una migliore gestione dei reindirizzamenti.
    ID CVE
    CVE-2015-1091: Diego Torres (http://dtorres.me)
  • CFURL
    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
    Impatto: l'accesso a un sito web pericoloso può causare l'esecuzione di codice arbitrario.
    Descrizione: si verificava un problema di convalida degli input nell'elaborazione degli URL. Il problema è stato risolto attraverso una migliore convalida dell'URL.
    ID CVE
    CVE-2015-1088
  • Foundation
    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
    Impatto: un'applicazione che utilizza NSXMLParser può essere usata in modo scorretto per divulgare le informazioni.
    Descrizione: si verificava un problema di entità XML esterne nella gestione dei contenuti XML da parte di NSXMLParser. Il problema è stato risolto non caricando entità esterne tra le origini.
    ID CVE
    CVE-2015-1092: Ikuya Fukumoto
  • FontParser
    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
    Impatto: l'elaborazione di un file di caratteri pericoloso può causare l'esecuzione di codice arbitrario.
    Descrizione: si verificavano diversi problemi di danneggiamento della memoria nell'elaborazione dei file di caratteri. Questi problemi sono stati risolti attraverso una migliore verifica dei limiti.
    ID CVE
    CVE-2015-1093: Marc Schoenefeld
  • IOAcceleratorFamily
    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
    Impatto: un'applicazione dannosa può essere in grado di determinare il layout della memoria del kernel.
    Descrizione: si verificava un problema in IOAcceleratorFamily che causava la divulgazione dei contenuti della memoria del kernel. Il problema è stato risolto rimuovendo il codice non richiesto.
    ID CVE
    CVE-2015-1094: Cererdlong di Alibaba Mobile Security Team
  • IOHIDFamily
    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
    Impatto: un dispositivo HID pericoloso può causare l'esecuzione di codice arbitrario.
    Descrizione: si verificava un problema di danneggiamento della memoria in un'API di IOHIDFamily. Il problema è stato risolto mediante una migliore gestione della memoria.
    ID CVE
    CVE-2015-1095: Andrew Church
  • IOHIDFamily
    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
    Impatto: un'applicazione dannosa può essere in grado di determinare il layout della memoria del kernel.
    Descrizione: si verificava un problema in IOHIDFamily che causa la divulgazione dei contenuti della memoria del kernel. Il problema è stato risolto attraverso un migliore controllo dei limiti.
    ID CVE
    CVE-2015-1096: Ilja van Sprundel di IOActive
  • IOMobileFramebuffer
    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
    Impatto: un'applicazione dannosa può essere in grado di determinare il layout della memoria del kernel.
    Descrizione: si verificava un problema in MobileFrameBuffer che causava la divulgazione dei contenuti della memoria del kernel. Il problema è stato risolto attraverso un migliore controllo dei limiti.
    ID CVE
    CVE-2015-1097: Barak Gabai dell'IBM X-Force Application Security Research Team
  • iWork Viewer
    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
    Impatto: l'apertura di un file iWork pericoloso può causare l'esecuzione di codice arbitrario.
    Descrizione: si verificava un problema di danneggiamento della memoria nella gestione dei file iWork. Il problema è stato risolto mediante una migliore gestione della memoria.
    ID CVE
    CVE-2015-1098: Christopher Hickstein
  • Kernel
    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
    Impatto: un'applicazione pericolosa può causare un DoS ("Denial of Service") del sistema.
    Descrizione: si verificava una condizione critica nella chiamata di sistema setreuid del kernel. Il problema è stato risolto attraverso una migliore gestione dello stato.
    ID CVE
    CVE-2015-1099: Mark Mentovai di Google Inc.
  • Kernel
    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
    Impatto: un'applicazione pericolosa può disporre di privilegi più elevati tramite un servizio compromesso destinato all'esecuzione con privilegi ridotti.
    Descrizione: le chiamate di sistema setreuid e setregid non riuscivano a rimuovere in modo permanente i privilegi. Il problema è stato risolto rimuovendo correttamente i privilegi.
    ID CVE
    CVE-2015-1117: Mark Mentovai di Google Inc.
  • Kernel
    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
    Impatto: un'applicazione pericolosa può causare l'arresto improvviso del sistema o leggere la memoria del kernel.
    Descrizione: si verificava un problema di accesso alla memoria fuori dai limiti nel kernel. Il problema è stato risolto mediante una migliore gestione della memoria.
    ID CVE
    CVE-2015-1100: Maxime Villard di m00nbsd
  • Kernel
    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
    Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi di sistema.
    Descrizione: si verificava un problema di danneggiamento della memoria nel kernel. Il problema è stato risolto mediante una migliore gestione della memoria.
    ID CVE
    CVE-2015-1101: lokihardt@ASRT collaboratore della Zero Day Initiative di HP
  • Kernel
    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
    Impatto: un malintenzionato in una posizione privilegiata nella rete potrebbe causare un'interruzione del servizio.
    Descrizione: si verificava un comportamento non coerente dello stato nell'elaborazione delle intestazioni TCP. Il problema è stato risolto attraverso una migliore gestione dello stato.
    ID CVE
    CVE-2015-1102: Andrey Khudyakov e Maxim Zhuravlev di Kaspersky Lab
  • Kernel
    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
    Impatto: un malintenzionato con una posizione privilegiata in rete può reindirizzare il traffico utente a host arbitrari.
    Descrizione: in iOS sono abilitati di default i reindirizzamenti ICMP. Il problema è stato risolto disabilitando i reindirizzamenti ICMP.
    ID CVE
    CVE-2015-1103: Zimperium Mobile Security Labs
  • Kernel
    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
    Impatto: un malintenzionato collegato in remoto può ignorare i filtri di rete.
    Descrizione: il sistema trattava alcuni pacchetti IPv6 da rete remota come fossero pacchetti locali. Il problema è stato risolto rifiutando tali pacchetti.
    ID CVE
    CVE-2015-1104: Stephen Roettger del Google Security Team
  • Kernel
    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
    Impatto: un malintenzionato collegato in remoto può causare un'interruzione del servizio.
    Descrizione: si verificava un comportamento non coerente dello stato nella gestione dei dati fuori banda di TCP. Il problema è stato risolto attraverso una migliore gestione dello stato.
    ID CVE
    CVE-2015-1105: Kenton Varda di Sandstorm.io
  • Tastiere
    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
    Impatto: QuickType può memorizzare i codici dell'utente.
    Descrizione: durante l'uso delle tastiere Bluetooth, QuickType poteva memorizzare i codici dell'utente. Il problema è stato risolto impedendo la visualizzazione di QuickType sulla schermata di blocco.
    ID CVE
    CVE-2015-1106: Jarrod Dwenger, Steve Favorito, Paul Reedy di ConocoPhillips, Pedro Tavares di Molecular Biophysics presso UCIBIO/FCT/UNL, De Paul Sunny, Christian Still di Evolve Media, Canada
  • libnetcore
    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
    Impatto: l'elaborazione di un profilo di configurazione pericoloso può causare la chiusura improvvisa dell'applicazione.
    Descrizione: si verificava un problema di danneggiamento della memoria nella gestione dei profili di configurazione. Il problema è stato risolto attraverso un migliore controllo dei limiti.
    ID CVE
    CVE-2015-1118: Zhaofeng Chen, Hui Xue, Yulong Zhang e Tao Wei di FireEye, Inc.
  • Blocco schermo
    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
    Impatto: un malintenzionato in possesso di un dispositivo può impedire l'inizializzazione del dispositivo dopo i tentativi falliti di inserimento del codice.
    Descrizione: in alcune circostanze un dispositivo poteva non inizializzarsi dopo i tentativi falliti di inserimento del codice. Il problema è stato risolto attraverso ulteriori misure di inizializzazione.
    ID CVE
    CVE-2015-1107: Brent Erickson, Stuart Ryan della University of Technology, Sydney
  • Blocco schermo
    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
    Impatto: un malintenzionato in possesso di un dispositivo potrebbe superare il numero massimo consentito di tentativi falliti di inserimento del codice.
    Descrizione: in alcune circostanze il limite relativo al numero massimo consentito di tentativi falliti di inserimento del codice non veniva applicato. Il problema è stato risolto attraverso ulteriori misure di applicazione del limite.
    ID CVE
    CVE-2015-1108
  • NetworkExtension
    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
    Impatto: un malintenzionato in possesso di un dispositivo potrebbe recuperare le credenziali VPN.
    Descrizione: si verificava un problema nella gestione dei resoconti di configurazione VPN. Il problema è stato risolto rimuovendo la registrazione delle credenziali.
    ID CVE
    CVE-2015-1109: Josh Tway di IPVanish
  • Podcast
    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
    Impatto: le informazioni non necessarie possono essere inviate ai server esterni durante il download degli asset del podcast.
    Descrizione: durante il download degli asset del podcast a cui un utente è iscritto, venivano inviati ai server esterni gli identificatori univoci. Il problema è stato risolto rimuovendo gli identificatori.
    ID CVE
    CVE-2015-1110: Alex Selivanov
  • Safari
    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
    Impatto: un utente potrebbe non riuscire a eliminare completamente la cronologia di navigazione.
    Descrizione: l'eliminazione della cronologia di Safari non comportava l'eliminazione dei pannelli chiusi di recente. Il problema è stato risolto attraverso una migliore eliminazione dei dati.
    ID CVE
    CVE-2015-1111: Frode Moe di LastFriday.no
  • Safari
    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
    Impatto: la cronologia di esplorazione degli utenti può non essere completamente eliminata.
    Descrizione: si verificava un problema di gestione dello stato in Safari che comportava la mancata cancellazione della cronologia di esplorazione degli utenti dal file history.plist. Il problema è stato risolto migliorando la gestione dello stato.
    ID CVE
    CVE-2015-1112: William Breuer, Paesi Bassi
  • Profili delle sandbox
    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
    Impatto: un'applicazione pericolosa può accedere ai numeri di telefono o agli indirizzi email dei contatti recenti.
    Descrizione: si verificava un problema di divulgazione delle informazioni nella sandbox delle app di terze parti. Il problema è stato risolto migliorando il profilo della sandbox.
    ID CVE
    CVE-2015-1113: Andreas Kurtz di NESO Security Labs, Markus Troßbach della Heilbronn University
  • Profili delle sandbox
    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
    Impatto: app di terze parti possono accedere agli identificatori hardware.
    Descrizione: si verificava un problema di divulgazione delle informazioni nella sandbox delle app di terze parti. Il problema è stato risolto migliorando il profilo della sandbox.
    ID CVE
    CVE-2015-1114

  • Secure Transport
    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
    Impatto: l'elaborazione di un certificato X.509 pericoloso può causare la chiusura improvvisa dell'applicazione.
    Descrizione: si verificava un problema di dereferenziazione del puntatore NULL nella gestione dei certificati X.509. Il problema è stato risolto attraverso una migliore convalida dell'input.
    ID CVE
    CVE-2015-1160: Elisha Eshed, Roy Iarchy e Yair Amit di Skycure Security Research
  • Telefonia
    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
    Impatto: un'applicazione pericolosa può accedere alle funzioni di telefonia soggette a restrizioni.
    Descrizione: si verificava un problema di controllo dell'accesso nel sottosistema di telefonia. Le app sandboxed potevano accedere alle funzioni di telefonia soggette a restrizioni. Il problema è stato risolto con un migliore controllo delle autorizzazioni.
    ID CVE
    CVE-2015-1115: Andreas Kurtz di NESO Security Labs, Markus Troßbach della Heilbronn University
  • UIKit View
    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
    Impatto: i dati sensibili possono essere esposti nelle istantanee delle applicazioni presentate nel Task Switcher.
    Descrizione: si verificava un problema in UIKit che non rendeva irriconoscibili le istantanee dell'applicazione contenenti dati sensibili in Task Switcher. Il problema è stato risolto rendendo l'istantanea irriconoscibile.
    ID CVE
    CVE-2015-1116: il team delle app per dispositivi mobili di HP Security Voltage, Aaron Rogers di Mint.com, David Edwards di Tech4Tomorrow, David Zhang di Dropbox
  • WebKit
    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
    Impatto: un comportamento non coerente dell'interfaccia utente potrebbe impedire agli utenti di identificare gli attacchi di phishing.
    Descrizione: si verificava un comportamento non coerente dell'interfaccia in Safari che consentiva a un malintenzionato di alterare un URL. Il problema è stato risolto attraverso migliori controlli di coerenza dell'interfaccia utente.
    ID CVE
    CVE-2015-1084: Apple
  • WebKit
    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
    Impatto: l'accesso a un sito web pericoloso può causare l'esecuzione di codice arbitrario.
    Descrizione: si verificavano diversi problemi di danneggiamento della memoria in WebKit. Questi problemi sono stati risolti mediante una migliore gestione della memoria.
    ID CVE
    CVE-2015-1068: Apple
    CVE-2015-1069: lokihardt@ASRT collaboratore della Zero Day Initiative di HP
    CVE-2015-1070: Apple
    CVE-2015-1071: Apple
    CVE-2015-1072
    CVE-2015-1073: Apple
    CVE-2015-1074: Apple
    CVE-2015-1076
    CVE-2015-1077: Apple
    CVE-2015-1078: Apple
    CVE-2015-1079: Apple
    CVE-2015-1080: Apple
    CVE-2015-1081: Apple
    CVE-2015-1082: Apple
    CVE-2015-1083: Apple
    CVE-2015-1119: Renata Hodovan della University of Szeged/Samsung Electronics
    CVE-2015-1120: Apple
    CVE-2015-1121: Apple
    CVE-2015-1122: Apple
    CVE-2015-1123: Randy Luecke e Anoop Menon di Google Inc.
    CVE-2015-1124: Apple
  • WebKit
    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
    Impatto: l'accesso a un sito web pericoloso può indurre l'utente a fare clic su un altro sito web.
    Descrizione: si verificava un problema durante la gestione degli eventi touch. Un tocco poteva indirizzare a un altro sito web. Il problema è stato risolto attraverso una migliore gestione degli eventi.
    ID CVE
    CVE-2015-1125: Phillip Moon e Matt Weston di www.sandfield.co.nz
  • WebKit
    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive
    Impatto: la visita di un sito web pericoloso può causare l'accesso alle risorse di un'altra origine.
    Descrizione: si verificava un problema in WebKit durante la gestione delle credenziali degli URL dell'FTP. Il problema è stato risolto attraverso una migliore decodifica.
    ID CVE
    CVE-2015-1126: Jouko Pynnonen di Klikki Oy

  • Wi-Fi
    Impatto: la password di un utente potrebbe essere inviata a un punto di accesso Wi-Fi non attendibile.
    Descrizione: nella schermata che segnala un certificato Wi-Fi non attendibile era presente un solo pulsante che configurava il certificato come attendibile. Un utente che non desiderasse usare il punto di accesso Wi-Fi doveva premere il tasto Home o di blocco per uscire dalla schermata. Il problema è stato risolto aggiungendo un pulsante "Annulla" visibile.
    ID CVE
    CVE-2015-5762: Michael Santos

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: