Informazioni sui contenuti di sicurezza di iOS 9.3

In questo documento vengono descritti i contenuti di sicurezza di iOS 9.3.

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni, consulta il sito web Sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, leggi l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, vengono utilizzati ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza, consulta Aggiornamenti di sicurezza Apple.

iOS 9.3

  • AppleUSBNetworking

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un dispositivo USB può causare un'interruzione del servizio

    Descrizione: si verifica un problema di gestione degli errori nella convalida dei pacchetti. Questo problema è stato risolto mediante una migliore gestione degli errori.

    ID CVE

    CVE-2016-1734: Andrea Barisani e Andrej Rosano di Inverse Path

  • FontParser

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'apertura di un file PDF dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario

    Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2016-1740: HappilyCoded (ant4g0nist e r3dsm0k3) in collaborazione con Zero Day Initiative (ZDI) di Trend Micro

  • HTTPProtocol

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un malintenzionato collegato in remoto potrebbe eseguire un codice arbitrario

    Descrizione: sono presenti diverse vulnerabilità nelle versioni di nghttp2 precedenti alla 1.6.0, la più grave delle quali può comportare l'esecuzione di codice remoto. Questi problemi vengono risolti aggiornando nghttp2 alla versione 1.6.0.

    ID CVE

    CVE-2015-8659

  • IOHIDFamily

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione può essere in grado di determinare il layout della memoria del kernel

    Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2016-1748: Brandon Azad

  • Kernel

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione può causare un DoS ("Denial of Service")

    Descrizione: un DoS viene risolto attraverso una migliore convalida.

    ID CVE

    CVE-2016-1752: CESG

  • Kernel

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

    Descrizione: un problema di tipo use-after-free viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2016-1750: CESG

  • Kernel

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

    Descrizione: diversi overflow di numeri interi vengono risolti attraverso una migliore convalida dell'input.

    ID CVE

    CVE-2016-1753: Juwei Lin Trend Micro in collaborazione con Zero Day Initiative (ZDI) di Trend Micro

  • Kernel

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione può ignorare la firma del codice

    Descrizione: si verifica un problema di autorizzazioni in cui il permesso di esecuzione non è stato concesso correttamente. Questo problema viene risolto attraverso una migliore convalida del permesso.

    ID CVE

    CVE-2016-1751: Eric Monti di Square Mobile Security

  • Kernel

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

    Descrizione: si verifica una condizione critica durante la creazione di nuovi processi. Questo problema viene risolto attraverso una migliore gestione dello stato.

    ID CVE

    CVE-2016-1757: Ian Beer di Google Project Zero e Pedro Vilaça

  • Kernel

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

    Descrizione: una dereferenziazione puntatore null viene risolta attraverso una migliore convalida dell'input.

    ID CVE

    CVE-2016-1756: Lufeng Li di Qihoo 360 Vulcan Team

  • Kernel

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

    Descrizione: diversi problemi di danneggiamento della memoria vengono risolti attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2016-1754: Lufeng Li di Qihoo 360 Vulcan Team

    CVE-2016-1755: Ian Beer di Google Project Zero

  • Kernel

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione può essere in grado di determinare il layout della memoria del kernel

    Descrizione: si è verificato un problema di lettura non nei limiti che causa la divulgazione della memoria del kernel. Questo problema viene risolto attraverso una migliore convalida dell'input.

    ID CVE

    CVE-2016-1758: Brandon Azad

  • LaunchServices

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un'applicazione potrebbe essere in grado di modificare eventi di altre applicazioni

    Descrizione: un problema di convalida del gestore eventi si è verificato nell'API dei servizi XPC. Questo problema viene risolto attraverso una migliore convalida del messaggio.

    ID CVE

    CVE-2016-1760: Proteas di Qihoo 360 Nirvan Team

  • libxml2

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'elaborazione di un XML pericoloso potrebbe causare la chiusura inattesa dell'applicazione o l'esecuzione di codice arbitrario

    Descrizione: diversi problemi di danneggiamento della memoria vengono risolti attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-1819

    CVE-2015-5312: David Drysdale di Google

    CVE-2015-7499

    CVE-2015-7500: Kostya Serebryany di Google

    CVE-2015-7942: Kostya Serebryany di Google

    CVE-2015-8035: gustavo.grieco

    CVE-2015-8242: Hugh Davenport

    CVE-2016-1761: wol0xff in collaborazione con Zero Day Initiative (ZDI) di Trend Micro

    CVE-2016-1762

  • Messaggi

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'accesso a un sito Web pericoloso potrebbe comportare il riempimento automatico di testo in altri thread di messaggi

    Descrizione: si verifica un problema nell'analisi degli URL degli SMS. Questo problema viene risolto attraverso una migliore convalida dell'URL.

    ID CVE

    CVE-2016-1763: CityTog

  • Messaggi

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un malintenzionato in grado di disabilitare l'associazione del certificato Apple, intercettare connessioni TLS, inserire messaggi e registrare messaggi di tipo allegato crittografati potrebbe visualizzare gli allegati

    Descrizione: un problema crittografico viene risolto rifiutando messaggi duplicati sul client.

    ID CVE

    CVE-2016-1788: Christina Garman, Matthew Green, Gabriel Kaptchuk, Ian Miers e Michael Rushanan di Johns Hopkins University

  • Profili

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un profilo MDM non attendibile potrebbe essere visualizzato in modo errato alla verifica

    Descrizione: si verifica un problema di convalida del certificato nei profili MDM. Questo problema viene risolto attraverso verifiche aggiuntive.

    ID CVE

    CVE-2016-1766: Taylor Boyko in collaborazione con Zero Day Initiative (ZDI) di Trend Micro

  • Sicurezza

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'elaborazione di un certificato pericoloso può causare l'esecuzione di codice arbitrario

    Descrizione: si verifica un problema di danneggiamento della memoria nel decodificatore ASN.1. Questo problema viene risolto attraverso una migliore convalida dell'input.

    ID CVE

    CVE-2016-1950: Francis Gabriel di Quarkslab

  • TrueTypeScaler

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'elaborazione di un file di font pericoloso può causare l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di danneggiamento della memoria nell'elaborazione dei file di font. Questo problema viene risolto attraverso una migliore convalida dell'input.

    ID CVE

    CVE-2016-1775: 0x1byte in collaborazione con Zero Day Initiative (ZDI) di Trend Micro

  • WebKit

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'elaborazione di un contenuto web pericoloso può causare l'esecuzione di codice arbitrario

    Descrizione: diversi problemi di danneggiamento della memoria vengono risolti attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2016-1778: 0x1byte in collaborazione con Trend Micro's Zero Day Initiative (ZDI) e Yang Zhao di CM Security

    CVE-2016-1783: Mihai Parparita di Google

  • WebKit

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un sito web potrebbe registrare informazioni riservate dell'utente

    Descrizione: si verifica un problema nella gestione degli URL dell'allegato. Questo problema viene risolto mediante una migliore gestione degli URL.

    ID CVE

    CVE-2016-1781: Devdatta Akhawe di Dropbox, Inc.

  • WebKit

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un sito web potrebbe registrare informazioni riservate dell'utente

    Descrizione: una pagina web nascosta potrebbe accedere ai dati di orientamento dispositivo e di movimento dispositivo. Questo problema viene risolto sospendendo la disponibilità dei dati quando la visualizzazione web è nascosta.

    ID CVE

    CVE-2016-1780: Maryam Mehrnezhad, Ehsan Toreini, Siamak F. Shahandashti e Feng Hao della School of Computing Science, Newcastle University, UK

  • WebKit

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'accesso a un sito web pericoloso può mostrare la posizione corrente di un utente

    Descrizione: si verifica un problema nell'analisi di richieste di georivelazione. Il problema viene risolto attraverso una migliore convalida dell'origine di sicurezza per le richieste di georivelazione.

    ID CVE

    CVE-2016-1779: xisigr di Tencent's Xuanwu Lab (http://www.tencent.com)

  • WebKit

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un sito web pericoloso potrebbe accedere alle porte con restrizioni sui server arbitrari

    Descrizione: un problema di reindirizzamento a una porta viene risolto attraverso l'ulteriore convalida della porta.

    ID CVE

    CVE-2016-1782: Muneaki Nishimura (nishimunea) di Recruit Technologies Co.,Ltd.

  • WebKit

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'apertura di un URL pericoloso può provocare la divulgazione di informazioni sensibili degli utenti

    Descrizione: si verifica un problema durante il reindirizzamento di URL quando auditor XSS è stato utilizzato in modalità di blocco. Questo problema è stato risolto mediante la navigazione di URL migliorata.

    ID CVE

    CVE-2016-1864 : Takeshi Terada di Mitsui Bussan Secure Directions, Inc.

  • Cronologia WebKit

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: l'elaborazione di un contenuto web pericoloso può causare un improvviso arresto anomalo di Safari

    Descrizione: un problema di esaurimento delle risorse viene risolto attraverso una migliore convalida dell'input.

    ID CVE

    CVE-2016-1784: Moony Li e Jack Tang di TrendMicro e 李普君 di 无声信息技术PKAV Team (PKAV.net)

  • Caricamento della pagina di WebKit

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: la visualizzazione di un sito web pericoloso può determinare lo spoofing dell'interfaccia utente

    Descrizione: le risposte di reindirizzamento potrebbero aver consentito a un sito web pericoloso di visualizzare un URL arbitrario e di leggere contenuti memorizzati nella cache dell'origine di destinazione. Questo problema viene risolto attraverso una migliore logica di visualizzazione degli URL.

    ID CVE

    CVE-2016-1786: ma.la di LINE Corporation

  • Caricamento della pagina di WebKit

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un sito web pericoloso può esfiltrare la multiorigine dei dati.

    Descrizione: si verifica un problema di memorizzazione nella cache con la codifica dei caratteri. Questo problema viene risolto tramite un ulteriore controllo dei tipi.

    ID CVE

    CVE-2016-1785: un ricercatore anonimo

  • Wi-Fi

    Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti

    Impatto: un malintenzionato con una posizione privilegiata in rete può causare l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di convalida frame e di danneggiamento della memoria per un dato EtherType. Il problema viene risolto attraverso la convalida aggiuntiva di EtherType e una migliore gestione della memoria.

    ID CVE

    CVE-2016-0801: un ricercatore anonimo

    CVE-2016-0802: un ricercatore anonimo

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Data di pubblicazione: