Informazioni sui contenuti di sicurezza di iOS 8.4

In questo articolo vengono descritti i contenuti di sicurezza di iOS 8.4.

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.

Per saperne di più sull'uso della chiave PGP per la sicurezza dei prodotti Apple, consulta l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, vengono utilizzati ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza consulta l'articolo Aggiornamenti di sicurezza Apple.

iOS 8.4

  • Application Store

    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive

    Impatto: un'app per il profilo di provisioning universale dannosa può impedire l'avvio delle app.

    Descrizione: un problema nella logica di installazione per le app per i profili di provisioning universali comportava un conflitto tra gli ID pacchetto esistenti. Questo problema è stato risolto attraverso un migliore controllo dei conflitti.

    ID CVE

    CVE-2015-3722: Zhaofeng Chen, Hui Xue e Tao (Lenx) Wei di FireEye, Inc.
  • Certificate Trust Policy

    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive

    Impatto: un utente malintenzionato con una posizione privilegiata sulla rete può essere in grado di intercettare il traffico di rete.

    Descrizione: veniva rilasciato per errore un certificato intermedio dall'autorità di certificazione CNNIC. Questo problema è stato risolto attraverso l'aggiunta di un meccanismo per rendere attendibile solo un sottoinsieme di certificati rilasciati prima dell'erronea emissione del certificato intermedio. Sono disponibili ulteriori dettagli sull'elenco dei certificati di sicurezza consentiti con attendibilità parziale.

  • Certificate Trust Policy

    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive

    Impatto: aggiornamento del Certificate Trust Policy.

    Descrizione: il Certificate Trust Policy è stato aggiornato. L'elenco completo dei certificati è consultabile all'interno dell'archivio certificati attendibili di iOS.

  • CFNetwork HTTPAuthentication

    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive

    Impatto: l'accesso a un URL dannoso può causare l'esecuzione di codice arbitrario.

    Descrizione: si verificava un problema di danneggiamento della memoria nella gestione delle credenziali per alcuni URL, che è stato risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-3684: Apple

  • CoreGraphics

    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive

    Impatto: l'apertura di un file PDF dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificavano diversi problemi di danneggiamento della memoria nella gestione dei profili ICC, che sono stati risolti mediante una migliore gestione della memoria.

    ID CVE

    CVE-2015-3723: chaithanya (SegFault) in collaborazione con Zero Day Initiative di HP

    CVE-2015-3724: WanderingGlitch di Zero Day Initiative di HP

  • CoreText

    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive

    Impatto: l'elaborazione di un file di testo dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificavano diversi problemi di danneggiamento della memoria durante l'elaborazione dei file di testo, che sono stati risolti attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2015-1157

    CVE-2015-3685: Apple

    CVE-2015-3686: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3687: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3688: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3689: Apple

  • coreTLS

    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive

    Impatto: un utente malintenzionato con una posizione privilegiata sulla rete può intercettare le connessioni TLS/SSL.

    Descrizione: coreTLS accettava chiavi Diffie-Hellman (DH) temporanee brevi, utilizzate nelle suite di crittografia DH di tipo “export-strength”. Questo problema, noto anche come Logjam, consentiva a un utente malintenzionato con una posizione privilegiata sulla rete di eseguire il downgrade della sicurezza alle chiavi DH a 512 bit se il server supportava la suite di crittografia DH temporanea di tipo “export-strength”. Il problema è stato risolto aumentando a 768 bit le dimensioni minime di default consentite per le chiavi temporanee DH.

    ID CVE

    CVE-2015-4000: team weakdh di weakdh.org, Hanno Boeck

  • DiskImages

    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive

    Impatto: un'applicazione dannosa può essere in grado di determinare il layout della memoria del kernel.

    Descrizione: si verificava un problema di divulgazione di informazioni durante l'elaborazione delle immagini disco che è stato risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-3690: Peter Rutenbar in collaborazione con Zero Day Initiative di HP

  • FontParser

    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive

    Impatto: l'elaborazione di un file di font dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificavano diversi problemi di danneggiamento della memoria durante l'elaborazione dei file di font, che sono stati risolti attraverso una migliore convalida dell'input.

    ID CVE

    CVE-2015-3694: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3719: John Villamil (@day6reak), Yahoo Pentest Team

  • ImageIO

    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive

    Impatto: l'elaborazione di un file .tiff dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un problema di danneggiamento della memoria durante l'elaborazione dei file .tiff, Il problema è stato risolto attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2015-3703: Apple

  • ImageIO

    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive

    Impatto: sono presenti diverse vulnerabilità in libtiff, la più grave delle quali può causare l'esecuzione di codice arbitrario.

    Descrizione: le vulnerabilità presenti nelle versioni di libtiff precedenti alla 4.0.4 sono state risolte aggiornando libtiff alla versione 4.0.4.

    ID CVE

    CVE-2014-8127

    CVE-2014-8128

    CVE-2014-8129

    CVE-2014-8130
     

  • Kernel

    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive

    Impatto: un'applicazione dannosa può essere in grado di determinare il layout della memoria del kernel.

    Descrizione: si verificava un errore di gestione della memoria nella gestione dei parametri HFS, che poteva comportare la divulgazione del layout della memoria del kernel. che è stato risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-3721: Ian Beer di Google Project Zero
  • Mail

    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive

    Impatto: un'email dannosa può sostituire il contenuto di un messaggio con una pagina web arbitraria al momento della visualizzazione del messaggio.

    Descrizione: si verificava un problema nel supporto per le email HTML che consentiva l'aggiornamento del contenuto di un messaggio con una pagina web arbitraria. Questo problema è stato risolto imponendo delle restrizioni per il supporto dei contenuti HTML.

    ID CVE

    CVE-2015-3710: Aaron Sigel di vtty.com, Jan Souček
  • MobileInstallation

    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive

    Impatto: un'app per il profilo di provisioning universale dannosa può impedire l'avvio di un'app su Apple Watch.

    Descrizione: un problema nella logica di installazione per le app per i profili di provisioning universali su Apple Watch comportava un conflitto tra gli ID pacchetto esistenti. Questo problema è stato risolto attraverso un migliore controllo dei conflitti.

    ID CVE

    CVE-2015-3725: Zhaofeng Chen, Hui Xue e Tao (Lenx) Wei di FireEye, Inc.

  • Safari

    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive

    Impatto: l'accesso a un sito web dannoso può compromettere le informazioni dell'utente sul file system.

    Descrizione: si verificava un problema di gestione dello stato in Safari che consentiva alle origini senza privilegi di accedere ai contenuti sul file system. Il problema è stato risolto attraverso una migliore gestione dello stato.

    ID CVE

    CVE-2015-1155: Joe Vennix di Rapid7 Inc. in collaborazione con Zero Day Initiative di HP
     

  • Safari

    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive

    Impatto: l'accesso a un sito web dannoso può causare l'acquisizione della proprietà dell'account.

    Descrizione: si verificava un problema per cui Safari manteneva l'intestazione della richiesta dell'origine per i reindirizzamenti multiorigine, consentendo a siti web dannosi di eludere le protezioni CSRF. Questo problema è stato risolto attraverso una migliore gestione dei reindirizzamenti.

    ID CVE

    CVE-2015-3658: Brad Hill di Facebook
  • Sicurezza

    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive

    Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un overflow di numeri interi nel codice del framework di sicurezza per l'analisi delle email S/MIME e di altri oggetti con segno o codificati. Questo problema è stato risolto attraverso un migliore controllo della validità.

    ID CVE

    CVE-2013-1741

  • SQLite

    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive

    Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificavano diversi overflow del buffer nell'implementazione del printf di SQLite, che sono stati risolti attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2015-3717: Peter Rutenbar in collaborazione con Zero Day Initiative di HP

  • SQLite

    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive

    Impatto: un comando SQL dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un problema relativo alle API nella funzionalità SQLite, che è stato risolto attraverso migliori restrizioni.

    ID CVE

    CVE-2015-7036: Peter Rutenbar in collaborazione con Zero Day Initiative di HP

  • Telefonia

    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive

    Impatto: schede SIM dannose possono causare l'esecuzione di codice arbitrario.

    Descrizione: si verificavano diversi problemi di convalida dell'input nell'analisi dei payload SIM/UIM, che sono stati risolti attraverso una migliore convalida dei payload.

    ID CVE

    CVE-2015-3726: Matt Spisak di Endgame

  • WebKit

    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive

    Impatto: l'accesso a un sito web dannoso mediante clic su un link può consentire lo spoofing dell'interfaccia utente.

    Descrizione: si verificava un problema nella gestione dell'attributo rel negli elementi di ancoraggio. Gli oggetti target potevano ottenere l'accesso non autorizzato agli oggetti del link. Questo problema è stato risolto attraverso una migliore aderenza al tipo di link.

    ID CVE

    CVE-2015-1156: Zachary Durber di Moodle
  • WebKit

    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive

    Impatto: l'accesso a un sito web dannoso potrebbe causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificavano diversi problemi di danneggiamento della memoria in WebKit, che sono stati risolti mediante una migliore gestione della memoria.

    ID CVE

    CVE-2015-1152: Apple

    CVE-2015-1153: Apple

  • WebKit

    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive

    Impatto: l'accesso a una pagina web dannosa può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificava un problema di confronto non sufficiente nel centro autorizzazioni di SQLite che consentiva l'invocazione di funzioni SQL arbitrarie. Questo problema è stato risolto attraverso migliori controlli di autorizzazione.

    ID CVE

    CVE-2015-3659: Peter Rutenbar in collaborazione con Zero Day Initiative di HP

  • WebKit

    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive

    Impatto: un sito web dannoso può accedere ai database WebSQL di altri siti web.

    Descrizione: si verificava un problema nei controlli di autorizzazione per la ridenominazione delle tabelle WebSQL che poteva causare l'accesso da parte di un sito web dannoso ai database appartenenti ad altri siti web. Questo problema è stato risolto attraverso migliori controlli di autorizzazione.

    ID CVE

    CVE-2015-3727: Peter Rutenbar in collaborazione con Zero Day Initiative di HP

  • Connettività Wi-Fi

    Disponibile per: iPhone 4s e versioni successive, iPod touch (5a generazione) e versioni successive, iPad 2 e versioni successive

    Impatto: i dispositivi iOS possono associarsi automaticamente a punti di accesso non affidabili pur indicando un ESSID noto, ma con un tipo di sicurezza inferiore.

    Descrizione: si verificava un problema di confronto non sufficiente nella valutazione delle indicazioni dei punti di accesso noti da parte del client per la gestione della rete Wi-Fi. Questo problema è stato risolto attraverso una migliore corrispondenza dei parametri di sicurezza.

    ID CVE

    CVE-2015-3728: Brian W. Gray della Carnegie Mellon University, Craig Young di TripWire

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: