Informazioni sui contenuti di sicurezza di iOS 9.3
In questo documento vengono descritti i contenuti di sicurezza di iOS 9.3.
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni, consulta il sito web Sicurezza dei prodotti Apple.
Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, leggi l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.
Quando possibile, vengono utilizzati ID CVE per fornire ulteriori informazioni sulle vulnerabilità.
Per informazioni su altri aggiornamenti di sicurezza, consulta Aggiornamenti di sicurezza Apple.
iOS 9.3
AppleUSBNetworking
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un dispositivo USB può causare un'interruzione del servizio
Descrizione: si verifica un problema di gestione degli errori nella convalida dei pacchetti. Questo problema è stato risolto mediante una migliore gestione degli errori.
ID CVE
CVE-2016-1734: Andrea Barisani e Andrej Rosano di Inverse Path
FontParser
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: l'apertura di un file PDF dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario
Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore gestione della memoria.
ID CVE
CVE-2016-1740: HappilyCoded (ant4g0nist e r3dsm0k3) in collaborazione con Zero Day Initiative (ZDI) di Trend Micro
HTTPProtocol
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un malintenzionato collegato in remoto potrebbe eseguire un codice arbitrario
Descrizione: sono presenti diverse vulnerabilità nelle versioni di nghttp2 precedenti alla 1.6.0, la più grave delle quali può comportare l'esecuzione di codice remoto. Questi problemi vengono risolti aggiornando nghttp2 alla versione 1.6.0.
ID CVE
CVE-2015-8659
IOHIDFamily
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un'applicazione può essere in grado di determinare il layout della memoria del kernel
Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore gestione della memoria.
ID CVE
CVE-2016-1748: Brandon Azad
Kernel
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un'applicazione può causare un DoS ("Denial of Service")
Descrizione: un DoS viene risolto attraverso una migliore convalida.
ID CVE
CVE-2016-1752: CESG
Kernel
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel
Descrizione: un problema di tipo use-after-free viene risolto attraverso una migliore gestione della memoria.
ID CVE
CVE-2016-1750: CESG
Kernel
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel
Descrizione: diversi overflow di numeri interi vengono risolti attraverso una migliore convalida dell'input.
ID CVE
CVE-2016-1753: Juwei Lin Trend Micro in collaborazione con Zero Day Initiative (ZDI) di Trend Micro
Kernel
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un'applicazione può ignorare la firma del codice
Descrizione: si verifica un problema di autorizzazioni in cui il permesso di esecuzione non è stato concesso correttamente. Questo problema viene risolto attraverso una migliore convalida del permesso.
ID CVE
CVE-2016-1751: Eric Monti di Square Mobile Security
Kernel
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel
Descrizione: si verifica una condizione critica durante la creazione di nuovi processi. Questo problema viene risolto attraverso una migliore gestione dello stato.
ID CVE
CVE-2016-1757: Ian Beer di Google Project Zero e Pedro Vilaça
Kernel
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel
Descrizione: una dereferenziazione puntatore null viene risolta attraverso una migliore convalida dell'input.
ID CVE
CVE-2016-1756: Lufeng Li di Qihoo 360 Vulcan Team
Kernel
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel
Descrizione: diversi problemi di danneggiamento della memoria vengono risolti attraverso una migliore gestione della memoria.
ID CVE
CVE-2016-1754: Lufeng Li di Qihoo 360 Vulcan Team
CVE-2016-1755: Ian Beer di Google Project Zero
Kernel
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un'applicazione può essere in grado di determinare il layout della memoria del kernel
Descrizione: si è verificato un problema di lettura non nei limiti che causa la divulgazione della memoria del kernel. Questo problema viene risolto attraverso una migliore convalida dell'input.
ID CVE
CVE-2016-1758: Brandon Azad
LaunchServices
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un'applicazione potrebbe essere in grado di modificare eventi di altre applicazioni
Descrizione: un problema di convalida del gestore eventi si è verificato nell'API dei servizi XPC. Questo problema viene risolto attraverso una migliore convalida del messaggio.
ID CVE
CVE-2016-1760: Proteas di Qihoo 360 Nirvan Team
libxml2
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: l'elaborazione di un XML pericoloso potrebbe causare la chiusura inattesa dell'applicazione o l'esecuzione di codice arbitrario
Descrizione: diversi problemi di danneggiamento della memoria vengono risolti attraverso una migliore gestione della memoria.
ID CVE
CVE-2015-1819
CVE-2015-5312: David Drysdale di Google
CVE-2015-7499
CVE-2015-7500: Kostya Serebryany di Google
CVE-2015-7942: Kostya Serebryany di Google
CVE-2015-8035: gustavo.grieco
CVE-2015-8242: Hugh Davenport
CVE-2016-1761: wol0xff in collaborazione con Zero Day Initiative (ZDI) di Trend Micro
CVE-2016-1762
Messaggi
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: l'accesso a un sito Web pericoloso potrebbe comportare il riempimento automatico di testo in altri thread di messaggi
Descrizione: si verifica un problema nell'analisi degli URL degli SMS. Questo problema viene risolto attraverso una migliore convalida dell'URL.
ID CVE
CVE-2016-1763: CityTog
Messaggi
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un malintenzionato in grado di disabilitare l'associazione del certificato Apple, intercettare connessioni TLS, inserire messaggi e registrare messaggi di tipo allegato crittografati potrebbe visualizzare gli allegati
Descrizione: un problema crittografico viene risolto rifiutando messaggi duplicati sul client.
ID CVE
CVE-2016-1788: Christina Garman, Matthew Green, Gabriel Kaptchuk, Ian Miers e Michael Rushanan di Johns Hopkins University
Profili
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un profilo MDM non attendibile potrebbe essere visualizzato in modo errato alla verifica
Descrizione: si verifica un problema di convalida del certificato nei profili MDM. Questo problema viene risolto attraverso verifiche aggiuntive.
ID CVE
CVE-2016-1766: Taylor Boyko in collaborazione con Zero Day Initiative (ZDI) di Trend Micro
Sicurezza
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: l'elaborazione di un certificato pericoloso può causare l'esecuzione di codice arbitrario
Descrizione: si verifica un problema di danneggiamento della memoria nel decodificatore ASN.1. Questo problema viene risolto attraverso una migliore convalida dell'input.
ID CVE
CVE-2016-1950: Francis Gabriel di Quarkslab
TrueTypeScaler
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: l'elaborazione di un file di font pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema di danneggiamento della memoria nell'elaborazione dei file di font. Questo problema viene risolto attraverso una migliore convalida dell'input.
ID CVE
CVE-2016-1775: 0x1byte in collaborazione con Zero Day Initiative (ZDI) di Trend Micro
WebKit
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: l'elaborazione di un contenuto web pericoloso può causare l'esecuzione di codice arbitrario
Descrizione: diversi problemi di danneggiamento della memoria vengono risolti attraverso una migliore gestione della memoria.
ID CVE
CVE-2016-1778: 0x1byte in collaborazione con Trend Micro's Zero Day Initiative (ZDI) e Yang Zhao di CM Security
CVE-2016-1783: Mihai Parparita di Google
WebKit
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un sito web potrebbe registrare informazioni riservate dell'utente
Descrizione: si verifica un problema nella gestione degli URL dell'allegato. Questo problema viene risolto mediante una migliore gestione degli URL.
ID CVE
CVE-2016-1781: Devdatta Akhawe di Dropbox, Inc.
WebKit
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un sito web potrebbe registrare informazioni riservate dell'utente
Descrizione: una pagina web nascosta potrebbe accedere ai dati di orientamento dispositivo e di movimento dispositivo. Questo problema viene risolto sospendendo la disponibilità dei dati quando la visualizzazione web è nascosta.
ID CVE
CVE-2016-1780: Maryam Mehrnezhad, Ehsan Toreini, Siamak F. Shahandashti e Feng Hao della School of Computing Science, Newcastle University, UK
WebKit
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: l'accesso a un sito web pericoloso può mostrare la posizione corrente di un utente
Descrizione: si verifica un problema nell'analisi di richieste di georivelazione. Il problema viene risolto attraverso una migliore convalida dell'origine di sicurezza per le richieste di georivelazione.
ID CVE
CVE-2016-1779: xisigr di Tencent's Xuanwu Lab (http://www.tencent.com)
WebKit
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un sito web pericoloso potrebbe accedere alle porte con restrizioni sui server arbitrari
Descrizione: un problema di reindirizzamento a una porta viene risolto attraverso l'ulteriore convalida della porta.
ID CVE
CVE-2016-1782: Muneaki Nishimura (nishimunea) di Recruit Technologies Co.,Ltd.
WebKit
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: l'apertura di un URL pericoloso può provocare la divulgazione di informazioni sensibili degli utenti
Descrizione: si verifica un problema durante il reindirizzamento di URL quando auditor XSS è stato utilizzato in modalità di blocco. Questo problema è stato risolto mediante la navigazione di URL migliorata.
ID CVE
CVE-2016-1864 : Takeshi Terada di Mitsui Bussan Secure Directions, Inc.
Cronologia WebKit
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: l'elaborazione di un contenuto web pericoloso può causare un improvviso arresto anomalo di Safari
Descrizione: un problema di esaurimento delle risorse viene risolto attraverso una migliore convalida dell'input.
ID CVE
CVE-2016-1784: Moony Li e Jack Tang di TrendMicro e 李普君 di 无声信息技术PKAV Team (PKAV.net)
Caricamento della pagina di WebKit
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: la visualizzazione di un sito web pericoloso può determinare lo spoofing dell'interfaccia utente
Descrizione: le risposte di reindirizzamento potrebbero aver consentito a un sito web pericoloso di visualizzare un URL arbitrario e di leggere contenuti memorizzati nella cache dell'origine di destinazione. Questo problema viene risolto attraverso una migliore logica di visualizzazione degli URL.
ID CVE
CVE-2016-1786: ma.la di LINE Corporation
Caricamento della pagina di WebKit
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un sito web pericoloso può esfiltrare la multiorigine dei dati.
Descrizione: si verifica un problema di memorizzazione nella cache con la codifica dei caratteri. Questo problema viene risolto tramite un ulteriore controllo dei tipi.
ID CVE
CVE-2016-1785: un ricercatore anonimo
Wi-Fi
Disponibile per: iPhone 4s e versioni più recenti, iPod touch (5a generazione) e versioni più recenti, iPad 2 e versioni più recenti
Impatto: un malintenzionato con una posizione privilegiata in rete può causare l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema di convalida frame e di danneggiamento della memoria per un dato EtherType. Il problema viene risolto attraverso la convalida aggiuntiva di EtherType e una migliore gestione della memoria.
ID CVE
CVE-2016-0801: un ricercatore anonimo
CVE-2016-0802: un ricercatore anonimo
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.