Informazioni sui contenuti di sicurezza di iOS 8.4

In questo articolo vengono descritti i contenuti di sicurezza di iOS 8.4.

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple leggi l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, vengono utilizzati ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza consulta l'articolo Aggiornamenti di sicurezza Apple.

iOS 8.4

  • Application Store

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'app per il profilo di provisioning universale pericolosa può impedire l'avvio delle app.

    Descrizione: si verifica un problema nell'installazione della logica per le app per i profili di provisioning universali, che comporta un conflitto tra ID pacchetto. Questo problema viene risolto attraverso un migliore controllo dei conflitti.

    ID CVE

    CVE-2015-3722: Zhaofeng Chen, Hui Xue e Tao (Lenx) Wei di FireEye, Inc.
  • Certificate Trust Policy

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un malintenzionato con una posizione privilegiata sulla rete può intercettare il traffico sulla rete.

    Descrizione: viene rilasciato per errore un certificato intermedio dall'autorità di certificazione CNNIC. Questo problema viene risolto attraverso l'aggiunta di un meccanismo per rendere attendibile solo un sottoinsieme di certificati rilasciati prima dell'erronea emissione del certificato intermedio. Sono disponibili ulteriori dettagli sull'elenco di sicurezza dei certificati consentiti con attendibilità parziale.

  • Certificate Trust Policy

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: viene aggiornata la Certificate Trust Policy.

    Descrizione: viene aggiornata la Certificate Trust Policy. L'elenco completo dei certificati è consultabile all'interno dell'Archivio certificati attendibili di iOS.

  • CFNetwork HTTPAuthentication

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recentiImpatto: l'accesso a un URL pericoloso può causare l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di danneggiamento della memoria nella gestione di alcune credenziali URL. Questo problema viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-3684: Apple

  • CoreGraphics

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'apertura di un file PDF pericoloso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificano diversi problemi di danneggiamento della memoria nella gestione dei profili ICC. Questi problemi vengono risolti attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-3723: chaithanya (SegFault), collaboratore della Zero Day Initiative di HP

    CVE-2015-3724 : WanderingGlitch della Zero Day Initiative di HP

  • CoreText

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'elaborazione di un file di testo pericoloso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificano diversi problemi di danneggiamento della memoria nell'elaborazione dei file di testo. Questi problemi vengono risolti attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2015-1157

    CVE-2015-3685: Apple

    CVE-2015-3686: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3687: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3688: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3689: Apple

  • coreTLS

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un malintenzionato con una posizione privilegiata sulla rete può intercettare le connessioni TLS/SSL.

    Descrizione: coreTLS accetta chiavi Diffie-Hellman (DH) temporanee brevi, che vengono usate nelle suite di crittografia DH di tipo "export-strenght". Questo problema, noto come Logjam, permette a un malintenzionato con una posizione privilegiata sulla rete di eseguire il downgrade della sicurezza a 512 bit DH se il server supporta la suite di crittografia DH temporanea di tipo "export-strenght". Questo problema viene risolto aumentando la dimensione minima di default consentita per le chiavi temporanee DH a 768 bit.

    ID CVE

    CVE-2015-4000: il team weakdh presso weakdh.org, Hanno Boeck

  • DiskImages

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione pericolosa può determinare il layout della memoria del kernel.

    Descrizione: si verifica un problema di divulgazione di informazioni durante l'elaborazione delle immagini disco. Questo problema viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-3690: Peter Rutenbar, collaboratore della Zero Day Initiative di HP

  • FontParser

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'elaborazione di un file font pericoloso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificano diversi problemi di danneggiamento della memoria nell'elaborazione dei file font. Questi problemi vengono risolti attraverso una migliore convalida dell'input.

    ID CVE

    CVE-2015-3694: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3719: John Villamil (@day6reak), Yahoo Pentest Team

  • ImageIO

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'elaborazione di un file .tiff pericoloso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di danneggiamento della memoria nell'elaborazione dei file .tiff. Questo problema viene risolto attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2015-3703: Apple

  • ImageIO

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: sono presenti diverse vulnerabilità in libtiff, la più grave delle quali può causare l'esecuzione di codice arbitrario.

    Descrizione: sono presenti diverse vulnerabilità nelle versioni di libtiff precedenti alla 4.0.4. Questo problema viene risolto con l'aggiornamento di libtiff alla versione 4.0.4.

    ID CVE

    CVE-2014-8127

    CVE-2014-8128

    CVE-2014-8129

    CVE-2014-8130
     

  • Kernel

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione pericolosa può determinare il layout della memoria del kernel.

    Descrizione: si verifica un errore di gestione della memoria nella gestione dei parametri HFS che può comportare la divulgazione del layout della memoria del kernel. Questo problema viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-3721: Ian Beer di Google Project Zero
  • Mail

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'email pericolosa può sostituire il contenuto di un messaggio con una pagina web arbitraria quando viene visualizzato il messaggio.

    Descrizione: si verifica un problema nel supporto per l'email HTML che consente l'aggiornamento del contenuto di un messaggio con una pagina web arbitraria. Questo problema viene risolto limitando il supporto dei contenuti HTML.

    ID CVE

    CVE-2015-3710: Aaron Sigel di vtty.com, Jan Souček
  • MobileInstallation

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'app per il profilo di provisioning universale pericolosa può impedire l'avvio dell'app Apple Watch.

    Descrizione: si verifica un problema nell'installazione della logica per le app per il profilo di provisioning universali sull'Apple Watch, che comporta un conflitto tra ID pacchetto. Questo problema viene risolto attraverso un migliore controllo dei conflitti.

    ID CVE

    CVE-2015-3725 : Zhaofeng Chen, Hui Xue e Tao (Lenx) Wei di FireEye, Inc.

  • Safari

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'accesso a un sito web pericoloso può compromettere le informazioni dell'utente sul file system.

    Descrizione: si verifica un problema di gestione dello stato in Safari che consente alle origini senza privilegi di accedere ai contenuti sul file system. Questo problema viene risolto attraverso una migliore gestione dello stato.

    ID CVE

    CVE-2015-1155: Joe Vennix di Rapid7 Inc., collaboratore di Zero Day Initiative di HP
     

  • Safari

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'accesso a un sito web pericoloso può causare l'acquisizione dell'account.

    Descrizione: si verifica un problema in cui Safari mantiene l'intestazione della richiesta dell'origine per i reindirizzamenti multiorigine, consentendo ai siti web pericolosi di eludere le protezioni CSRF. Questo problema viene risolto attraverso una migliore gestione dei reindirizzamenti.

    ID CVE

    CVE-2015-3658: Brad Hill di Facebook
  • Sicurezza

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un malintenzionato collegato in remoto può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un overflow di numeri interi nel codice del Framework di sicurezza per l'analisi dell'email S/MIME e di altri oggetti firmati e codificati. Questo problema viene risolto attraverso un migliore controllo della validità.

    ID CVE

    CVE-2013-1741

  • SQLite

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un malintenzionato collegato in remoto può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificano diversi overflow del buffer nell'implementazione del printf di SQLite. Questi problemi vengono risolti attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2015-3717: Peter Rutenbar, collaboratore della Zero Day Initiative di HP

  • SQLite

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un comando SQL pericoloso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema relativo alle API nella funzionalità SQLite. Questo problema viene risolto attraverso migliori restrizioni.

    ID CVE

    CVE-2015-7036: Peter Rutenbar, collaboratore della Zero Day Initiative di HP

  • Telefonia

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: schede SIM pericolose possono causare l'esecuzione di codice arbitrario.

    Descrizione: si verificano diversi problemi di convalida dell'input nell'analisi del payload SIM/UIM. Questi problemi vengono risolti attraverso una migliore convalida del payload.

    ID CVE

    CVE-2015-3726: Matt Spisak di Endgame

  • WebKit

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'accesso a un sito web pericoloso mediante clic su un link può favorire lo spoofing dell'interfaccia utente.

    Descrizione: si verifica un problema nella gestione dell'attributo rel negli elementi di ancoraggio. Gli oggetti target possono ottenere l'accesso non autorizzato agli oggetti del link. Questo problema viene risolto attraverso una migliore aderenza al tipo di link.

    ID CVE

    CVE-2015-1156: Zachary Durber di Moodle
  • WebKit

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'accesso a un sito web pericoloso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificano diversi problemi di danneggiamento della memoria in WebKit. Questi problemi vengono risolti attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-1152: Apple

    CVE-2015-1153: Apple

  • WebKit

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'accesso a una pagina web pericolosa può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di confronto non sufficiente nel centro autorizzazioni di SQLite che consente l'invocazione di funzioni SQL arbitrarie. Questo problema viene risolto attraverso migliori verifiche delle autorizzazioni.

    ID CVE

    CVE-2015-3659: Peter Rutenbar, collaboratore della Zero Day Initiative di HP

  • WebKit

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un sito web pericoloso può accedere ai database WebSQL di altri siti web.

    Descrizione: si verifica un problema nelle verifiche delle autorizzazione per la ridenominazione delle tabelle WebSQL che può causare l'accesso da parte di un sito web pericoloso ai database appartenenti ad altri siti web. Questo problema viene risolto attraverso migliori verifiche delle autorizzazioni.

    ID CVE

    CVE-2015-3727: Peter Rutenbar, collaboratore della Zero Day Initiative di HP

  • Connettività Wi-Fi

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: i dispositivi iOS possono associarsi automaticamente a punti di accesso non affidabili pur indicando un ESSID noto, ma con un tipo di sicurezza inferiore.

    Descrizione: si verifica un problema di confronto non sufficiente nella valutazione da parte del gestore Wi-Fi delle indicazioni dei punti di accesso noti. Questo problema viene risolto attraverso una migliore corrispondenza dei parametri di sicurezza.

    ID CVE

    CVE-2015-3728: Brian W. Gray della Carnegie Mellon University, Craig Young di TripWire

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Data di pubblicazione: