Informazioni sui contenuti di sicurezza di iOS 9.1

In questo documento vengono descritti i contenuti di sicurezza di iOS 9.1.

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni, consulta il sito web Sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, leggi l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, vengono utilizzati ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza, consulta Aggiornamenti di sicurezza Apple.

iOS 9.1

  • Framework Accelerate

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'accesso a un sito web pericoloso può causare l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di danneggiamento della memoria nella modalità multi-threading del framework Accelerate. Questo problema viene risolto attraverso una migliore convalida dell'elemento della funzione di accesso e un migliore blocco degli oggetti.

    ID CVE

    CVE-2015-5940: Apple

  • Bom

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'estrazione di un archivio pericoloso può causare l'esecuzione di codice arbitrario.

    Descrizione: è presente una vulnerabilità trasversale dei file nella gestione degli archivi CPIO. Questo problema viene risolto attraverso una migliore convalida dei metadati.

    ID CVE

    CVE-2015-7006: Mark Dowd di Azimuth Security

  • CFNetwork

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'accesso a un sito web pericoloso può causare la sovrascrittura dei cookie.

    Descrizione: si verifica un problema relativo all'analisi durante la gestione dei cookie con caratteri maiuscoli e minuscoli diversi. Questo problema viene risolto attraverso una migliore analisi.

    ID CVE

    CVE-2015-7023: Marvin Scholz e Michael Lutonsky; Xiaofeng Zheng e Jinjin Liang dell'Università Tsinghua, Jian Jiang dell'Università della California, Berkeley, Haixin Duan dell'Università Tsinghua e dell'International Computer Science Institute, Shuo Chen del Microsoft Research di Redmond, Tao Wan di Huawei Canada, Nicholas Weaver dell'International Computer Science Institute e dell'Università della California, Berkeley, coordinati tramite CERT/CC

  • configd

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione pericolosa può elevare i privilegi.

    Descrizione: si verifica un overflow del buffer basato su heap nella libreria del client DNS. Un'applicazione pericolosa con la capacità di eseguire lo spoofing delle risposte del servizio configd locale può causare l'esecuzione di codice arbitrario nei client DNS.

    ID CVE

    CVE-2015-7015: PanguTeam

  • CoreGraphics

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'accesso a un sito web pericoloso può causare l'esecuzione di codice arbitrario.

    Descrizione: si verificano diversi problemi di danneggiamento della memoria in CoreGraphics. Questi problemi vengono risolti attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-5925: Apple

    CVE-2015-5926: Apple

  • CoreText

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'elaborazione di un file di font pericoloso può causare l'esecuzione di codice arbitrario.

    Descrizione: si verificano diversi problemi di danneggiamento della memoria nella gestione dei file di font. Questi problemi vengono risolti attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2015-6975: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6992: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7017: John Villamil (@day6reak), Yahoo Pentest Team

  • Immagini del disco

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un problema di danneggiamento della memoria nell'analisi delle immagini del disco. Questo problema viene risolto mediante una migliore gestione della memoria.

    ID CVE

    CVE-2015-6995: Ian Beer di Google Project Zero

  • FontParser

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'elaborazione di un file di font pericoloso può causare l'esecuzione di codice arbitrario.

    Descrizione: si verificano diversi problemi di danneggiamento della memoria nella gestione dei file di font. Questi problemi vengono risolti attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2015-5927: Apple

    CVE-2015-5942

    CVE-2015-6976: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6977: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6978: Jaanus Kp, Clarified Security, collaboratore della Zero Day Initiative di HP

    CVE-2015-6990: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6991: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6993: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7008: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7009: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7010: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7018: John Villamil (@day6reak), Yahoo Pentest Team

  • GasGauge

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi kernel.

    Descrizione: si verifica un problema di danneggiamento della memoria nel kernel. Questo problema viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-6979: PanguTeam

  • Grand Central Dispatch

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'elaborazione di un pacchetto pericoloso può causare l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di danneggiamento della memoria durante la gestione delle chiamate del dispatch. Questo problema viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-6989: Apple

  • Driver della scheda grafica

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'esecuzione di un'applicazione pericolosa può causare l'esecuzione di codice arbitrario nel kernel.

    Descrizione: si verifica un problema di confusione dei tipi in AppleVXD393. Questo problema viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-6986: Proteas di Qihoo 360 Nirvan Team

  • ImageIO

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: la visualizzazione di un file immagine pericoloso può causare l'esecuzione di codice arbitrario.

    Descrizione: si verificano diversi problemi di danneggiamento della memoria nella gestione dei metadati di immagine. Questi problemi vengono risolti attraverso una migliore convalida dei metadati.

    ID CVE

    CVE-2015-5935: Apple

    CVE-2015-5936: Apple

    CVE-2015-5937: Apple

    CVE-2015-5939: Apple

  • IOAcceleratorFamily

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un problema di danneggiamento della memoria in IOAcceleratorFamily. Questo problema viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-6996: Ian Beer di Google Project Zero

  • IOHIDFamily

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi kernel.

    Descrizione: si verifica un problema di danneggiamento della memoria nel kernel. Questo problema viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-6974: Luca Todesco (@qwertyoruiop)

  • Kernel

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione locale può causare un'interruzione del servizio.

    Descrizione: si verifica un problema relativo alla convalida dell'input nel kernel. Questo problema viene risolto attraverso una migliore convalida dell'input.

    ID CVE

    CVE-2015-7004: Sergi Alvarez (pancake) di NowSecure Research Team

  • Kernel

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un malintenzionato con una posizione privilegiata in rete può causare l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di memoria non inizializzata nel kernel. Questo problema viene risolto attraverso una migliore inizializzazione della memoria.

    ID CVE

    CVE-2015-6988: The Brainy Code Scanner (m00nbsd)

  • Kernel

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione locale può causare un'interruzione del servizio.

    Descrizione: si verifica un problema durante il riutilizzo della memoria virtuale. Questo problema viene risolto attraverso una migliore convalida.

    ID CVE

    CVE-2015-6994: Mark Mentovai di Google Inc.

  • mDNSResponder

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verificano diversi problemi di danneggiamento della memoria nell'analisi dei dati DNS. Questi problemi vengono risolti attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2015-7987: Alexandre Helie

  • mDNSResponder

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione locale può causare un'interruzione del servizio

    Descrizione: un problema nella dereferenziazione del puntatore null viene risolto attraverso una migliore gestione della memoria.

    CVE-ID

    CVE-2015-7988: Alexandre Helie

  • Centro notifiche

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: le notifiche di Telefono e Messaggi possono essere visualizzate nel blocco schermo anche se sono state disattivate.

    Descrizione: quando viene disattivata l'opzione Mostra in "Blocco schermo" per Telefono e Messaggi, le modifiche alla configurazione non vengono applicate immediatamente. Questo problema viene risolto attraverso una migliore gestione dello stato.

    ID CVE

    CVE-2015-7000: William Redwood dell'Hampton School

  • OpenGL

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'accesso a un sito web pericoloso può causare l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di danneggiamento della memoria in OpenGL. Questo problema viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-5924: Apple

  • Sicurezza

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'elaborazione di un certificato pericoloso può causare l'esecuzione di codice arbitrario

    Descrizione: si verificano diversi problemi di danneggiamento della memoria nel decoder ASN.1. Questi problemi vengono risolti attraverso una migliore convalida dell'input.

    ID CVE

    CVE-2015-7059: David Keeler di Mozilla

    CVE-2015-7060: Tyson Smith di Mozilla

    CVE-2015-7061: Ryan Sleevi di Google

  • Sicurezza

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione pericolosa può sovrascrivere file arbitrari.

    Descrizione: si verifica un problema di double free nella gestione dei descrittori AtomicBufferedFile. Questo problema viene risolto attraverso una migliore convalida dei descrittori AtomicBufferedFile.

    ID CVE

    CVE-2015-6983: David Benjamin, Greg Kerr, Mark Mentovai e Sergey Ulanov del Chrome Team

  • Sicurezza

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un malintenzionato può far sembrare valido un certificato revocato.

    Descrizione: si verifica un problema di convalida nel client OCSP. Questo problema viene risolto attraverso il controllo della scadenza del certificato OCSP.

    ID CVE

    CVE-2015-6999: Apple

  • Sicurezza

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: una valutazione affidabile configurata per richiedere la verifica della revoca può avere esito positivo anche se la verifica della revoca ha esito negativo.

    Descrizione: il contrassegno kSecRevocationRequirePositiveResponse viene specificato, ma non implementato. Questo problema viene risolto implementando il contrassegno.

    ID CVE

    CVE-2015-6997: Apple

  • Telefonia

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione pericolosa può divulgare informazioni sensibili degli utenti.

    Descrizione: si verifica un problema nei controlli delle autorizzazioni per le richieste dello stato delle telefonate. Questo problema viene risolto attraverso ulteriori controlli delle autorizzazioni per le richieste dello stato.

    ID CVE

    CVE-2015-7022: Andreas Kurtz di NESO Security Labs

  • WebKit

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'accesso a un sito web pericoloso può causare l'esecuzione di codice arbitrario.

    Descrizione: si verificano diversi problemi di danneggiamento della memoria in WebKit. Questi problemi vengono risolti mediante una migliore gestione della memoria.

    ID CVE

    CVE-2015-5928: Apple

    CVE-2015-5929: Apple

    CVE-2015-5930: Apple

    CVE-2015-6981

    CVE-2015-6982

    CVE-2015-7002: Apple

    CVE-2015-7005: Apple

    CVE-2015-7012: Apple

    CVE-2015-7014

    CVE-2015-7104: Apple

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Data di pubblicazione: