Informazioni sui contenuti di sicurezza di iOS 10.3

In questo documento sono descritti i contenuti di sicurezza di iOS 10.3.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle nuove versioni alla pagina Aggiornamenti di sicurezza Apple.

Per ulteriori informazioni sulla sicurezza, visita la pagina relativa alla sicurezza dei prodotti Apple. Puoi codificare le comunicazioni con Apple usando la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

iOS 10.3

Rilasciato il 27 marzo 2017

Account

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: un utente potrebbe essere in grado di visualizzare un ID Apple dal blocco schermo.

Descrizione: un problema di gestione delle richieste è stato risolto eliminando le richieste di autenticazione di iCloud dal blocco schermo.

CVE-2017-2397: Suprovici Vadim del team di UniApps, un ricercatore autonomo

Audio

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: l'elaborazione di un file audio pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2017-2430: un ricercatore anonimo in collaborazione con Zero Day Initiative di Trend Micro

CVE-2017-2462: un ricercatore anonimo in collaborazione con Zero Day Initiative di Trend Micro

Carbon

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: l'elaborazione di un file con estensione .dfont pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: si verifica un overflow del buffer nella gestione dei file font. Questo problema è stato risolto attraverso un migliore controllo dei limiti.

CVE-2017-2379: John Villamil, Doyensec, riusksk (泉哥) di Tencent Security Platform Department

CoreGraphics

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: l'elaborazione di un'immagine pericolosa può causare l'interruzione del servizio.

Descrizione: una ricorsione infinita è stata risolta tramite una migliore gestione dello stato.

CVE-2017-2417: riusksk (泉哥) di Tencent Security Platform Department

CoreGraphics

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida dell'input.

CVE-2017-2444: Mei Wang di 360 GearTeam

CoreText

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: l'elaborazione di un file di caratteri pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2017-2435: John Villamil, Doyensec

CoreText

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: l'elaborazione di un font pericoloso può causare la divulgazione dei contenuti della memoria.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida degli input.

CVE-2017-2450: John Villamil, Doyensec

CoreText

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: l'elaborazione di un messaggio di testo pericoloso può causare l'interruzione del servizio di un'applicazione.

Descrizione: un problema di esaurimento delle risorse è stato risolto attraverso una migliore convalida dell'input.

CVE-2017-2461: Isaac Archambault di IDAoADI, ricercatore autonomo

DataAccess

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: la configurazione di un account di Exchange con un indirizzo email digitato in modo errato può rimandare a un server imprevisto.

Descrizione: un problema di convalida dell'input era presente nella gestione degli indirizzi email di Exchange. Questo problema è stato risolto attraverso una migliore convalida dell'input.

CVE-2017-2414: Ilya Nesterov e Maxim Goncharov

FontParser

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: l'elaborazione di un file di caratteri pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida dell'input.

CVE-2017-2487: riusksk (泉哥) di Tencent Security Platform Department

CVE-2017-2406: riusksk (泉哥) di Tencent Security Platform Department

FontParser

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: l'elaborazione di un file di font pericoloso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida dell'input.

CVE-2017-2407: riusksk (泉哥) di Tencent Security Platform Department

FontParser

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: l'elaborazione di un font pericoloso può causare la divulgazione dei contenuti della memoria.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida degli input.

CVE-2017-2439: John Villamil, Doyensec

HomeKit

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: Controlli Casa potrebbe essere visualizzato per errore nel Centro di Controllo.

Descrizione: si verificava un errore di stato nella gestione di Controlli Casa. Il problema è stato risolto attraverso una migliore convalida.

CVE-2017-2434: Suyash Narain, India

HTTPProtocol

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: un server HTTP/2 pericoloso potrebbe causare un comportamento non definito.

Descrizione: nelle versioni di nghttp2 precedenti alla 1.17.0 esistevano diversi problemi, che sono stati risolti con l'aggiornamento di nghttp2 alla versione 1.17.0.

CVE-2017-2428

Voce aggiornata il 28 marzo 2017

ImageIO

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: l'elaborazione di un'immagine pericolosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) di KeenLab, Tencent

ImageIO

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: la visualizzazione di un file JPEG pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2017-2432: un ricercatore anonimo in collaborazione con Zero Day Initiative di Trend Micro

ImageIO

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: l'elaborazione di un file pericoloso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2017-2467

ImageIO

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: l'elaborazione di un'immagine pericolosa può causare la chiusura improvvisa dell'applicazione.

Descrizione: nelle versioni di LibTIFF precedenti alla 4.0.7 esisteva un problema di lettura non nei limiti, che è stato risolto con l'aggiornamento di LibTIFF in ImageIO alla versione 4.0.7.

CVE-2016-3619

iTunes Store

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: un utente malintenzionato in una posizione privilegiata sulla rete può essere in grado di manomettere il traffico di rete di iTunes.

Descrizione: le richieste ai servizi web delle sandbox di iTunes venivano inviate in chiaro. Il problema è stato risolto tramite l'attivazione di HTTPS.

CVE-2017-2412: Richard Shupak (linkedin.com/in/rshupak)

JavaScriptCore

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-2491: Apple

Voce aggiunta il 2 maggio 2017

JavaScriptCore

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: l'elaborazione di una pagina web pericolosa può comportare lo scripting cross-site universale.

Descrizione: un problema del prototipo è stato risolto attraverso una migliore logica.

CVE-2017-2492: lokihardt di Google Project Zero

Voce aggiornata il 24 aprile 2017

Kernel

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2017-2398: Lufeng Li di Qihoo 360 Vulcan Team

CVE-2017-2401: Lufeng Li di Qihoo 360 Vulcan Team

Kernel

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di overflow dei numeri interi è stato risolto mediante una migliore convalida degli input.

CVE-2017-2440: un ricercatore anonimo

Kernel

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi root.

Descrizione: una race condition è stata risolta attraverso una migliore gestione della memoria.

CVE-2017-2456: lokihardt di Google Project Zero

Kernel

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-2472: Ian Beer di Google Project Zero

Kernel

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2017-2473: Ian Beer di Google Project Zero

Kernel

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel.

Descrizione: un errore off-by-one è stato risolto attraverso un migliore controllo dei limiti.

CVE-2017-2474: Ian Beer di Google Project Zero

Kernel

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel.

Descrizione: una race condition è stata risolta mediante un blocco migliore.

CVE-2017-2478: Ian Beer di Google Project Zero

Kernel

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-2482: Ian Beer di Google Project Zero

CVE-2017-2483: Ian Beer di Google Project Zero

Kernel

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: un'applicazione può eseguire codice arbitrario con privilegi elevati.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-2490: Ian Beer di Google Project Zero, National Cyber Security Centre (NCSC) del Regno Unito

Voce aggiunta il 31 marzo 2017

Tastiere

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: un'applicazione può eseguire codice arbitrario

Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.

CVE-2017-2458: Shashank (@cyberboyIndia)

Portachiavi

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: un malintenzionato in grado di intercettare connessioni TLS può essere in grado di leggere informazioni riservate protette dal portachiavi iCloud.

Descrizione: in alcune circostanze, il portachiavi iCloud non riusciva a convalidare l'autenticità dei pacchetti OTR. Il problema è stato risolto attraverso una migliore convalida.

CVE-2017-2448: Alex Radocea di Longterm Security, Inc.

Voce aggiornata il 30 marzo 2017

libarchive

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: un utente malintenzionato locale può essere in grado di modificare le autorizzazioni del file system in directory arbitrarie.

Descrizione: si verificava un problema di convalida nella gestione dei link simbolici. Il problema è stato risolto attraverso una migliore convalida dei link simbolici.

CVE-2017-2390: Omer Medan di enSilo Ltd

libc++abi

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: il demangling di un'applicazione C++ pericolosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-2441

libxslt

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: si verificano diverse vulnerabilità in libxslt.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.

CVE-2017-5029: Holger Fuhrmannek

Voce aggiunta il 28 marzo 2017

Pasteboard

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: un individuo con accesso fisico a un dispositivo iOS potrebbe leggere la pasteboard.

Descrizione: la pasteboard era codificata con una chiave protetta solamente dall'UID dell'hardware. Il problema è stato risolto codificando la pasteboard con una chiave protetta dall'UID dell'hardware e dal codice dell'utente.

CVE-2017-2399

Telefono

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: un'app di terze parti può avviare una chiamata senza l'interazione dell'utente.

Descrizione: in iOS esisteva un problema a causa del quale potevano essere avviate chiamate senza richiesta.  Il problema è stato risolto richiedendo all'utente di confermare l'avvio delle chiamate.

CVE-2017-2484

Profili

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: un malintenzionato può essere in grado di sfruttare le debolezze dell'algoritmo di crittografia DES.

Descrizione: il supporto per l'algoritmo di crittografia 3DES è stato aggiunto al client SCEP e DES è stato dichiarato obsoleto.

CVE-2017-2380: un ricercatore anonimo

QuickLook

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: la selezione del link di un numero telefonico in un documento PDF potrebbe causare l'avvio di una chiamata senza richiesta all'utente.

Descrizione: si verificava un problema relativo alla selezione dell'URL di un numero telefonico, prima di avviare le chiamate. Il problema è stato risolto con l'aggiunta di una richiesta di conferma.

CVE-2017-2404: Tuan Anh Ngo (Melbourne, Australia), Christoph Nehring

Safari

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: l'accesso a un sito web pericoloso può causare lo spoofing della barra degli indirizzi.

Descrizione: un problema di gestione dello stato è stato risolto tramite la disabilitazione dell'inserimento del testo fino al caricamento della pagina di destinazione.

CVE-2017-2376: un ricercatore anonimo, Michal Zalewski di Google Inc, Muneaki Nishimura (nishimunea) di Recruit Technologies Co., Ltd., Chris Hlady di Google Inc, un ricercatore anonimo, Yuyang Zhou di Tencent Security Platform Department (security.tencent.com)

Safari

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: un utente locale potrebbe scoprire quali siti web sono stati visitati da un utente in Navigazione privata.

Descrizione: si verificava un problema nell'eliminazione di SQLite. Il problema è stato risolto attraverso una migliore pulizia di SQLite.

CVE-2017-2384

Safari

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: l'elaborazione di contenuti web pericolosi potrebbe causare la visualizzazione di fogli di autenticazione tramite siti web arbitrari.

Descrizione: nella gestione dell'autenticazione HTTP si verificava un problema di spoofing e DoS (Denial of Service). Il problema è stato risolto rendendo i fogli di autenticazione HTTP non modali.

CVE-2017-2389: ShenYeYinJiu di Tencent Security Response Center, TSRC

Safari

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: l'accesso a un sito web pericoloso mediante clic su un link può consentire lo spoofing dell'interfaccia utente.

Descrizione: si verificava un problema di spoofing nella gestione delle richieste di FaceTime. Questo problema è stato risolto attraverso una migliore convalida dell'input.

CVE-2017-2453: xisigr di Tencent's Xuanwu Lab (tencent.com)

Reader di Safari

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: l'abilitazione della funzione Reader di Safari su una pagina web pericolosa può comportare lo scripting cross-site universale.

Descrizione: diversi problemi di convalida sono stati risolti attraverso una migliore sanitizzazione dell'input.

CVE-2017-2393: Erling Ellingsen

SafariViewController

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: lo stato della cache non viene sincronizzato correttamente tra Safari e SafariViewController, quando un utente cancella la cache di Safari.

Descrizione: esisteva un problema relativo all'eliminazione delle informazioni della cache di Safari da SafariViewController.  Il problema è stato risolto tramite una migliore gestione dello stato della cache.

CVE-2017-2400: Abhinav Bansal di Zscaler, Inc.

Profili delle sandbox

Disponibile per: iPhone 5 e versioni successive, iPad 4a generazione e versioni successive, iPod touch 6a generazione

Impatto: un'applicazione dannosa può accedere al record iCloud di un utente che ha eseguito l'accesso.

Descrizione: un problema di accesso è stato risolto attraverso restrizioni delle sandbox aggiuntive su applicazioni di terze parti.

CVE-2017-6976: George Dan (@theninjaprawn)

Voce aggiunta il 1° agosto 2017

Sicurezza

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: la convalida delle firme vuote con SecKeyRawVerify() potrebbe avere esito positivo in modo inatteso.

Descrizione: si verificava un problema di convalida relativo alle chiamate API crittografiche. Il problema è stato risolto attraverso una migliore convalida dei parametri.

CVE-2017-2423: un ricercatore anonimo

Sicurezza

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: un'applicazione può eseguire codice arbitrario con privilegi root.

Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.

CVE-2017-2451: Alex Radocea di Longterm Security, Inc.

Sicurezza

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: l'elaborazione di un certificato x509 pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: si verificava un problema di danneggiamento della memoria durante l'analisi dei certificati. Questo problema è stato risolto attraverso una migliore convalida dell'input.

CVE-2017-2485: Aleksandar Nikolic di Cisco Talos

Siri

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: Siri potrebbe rivelare i contenuti dei messaggi di testo quando il dispositivo è bloccato.

Descrizione: un problema di blocco insufficiente è stato risolto migliorando la gestione dello stato.

CVE-2017-2452: Hunter Byrnes

WebKit

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: le azioni di trascinamento e rilascio di un link pericoloso potrebbero causare lo spoofing dei preferiti o l'esecuzione di codice arbitrario.

Descrizione: durante la creazione dei preferiti si verificava un problema di convalida. Questo problema è stato risolto attraverso una migliore convalida dell'input.

CVE-2017-2378: xisigr di Tencent's Xuanwu Lab (tencent.com)

WebKit

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: l'accesso a un sito web pericoloso può causare lo spoofing della barra degli indirizzi.

Descrizione: un problema di interfaccia utente non coerente è stato risolto tramite una migliore gestione dello stato.

CVE-2017-2486: redrain di light4freedom

WebKit

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: l'elaborazione di contenuti web pericolosi può consentire l'esfiltrazione multiorigine dei dati.

Descrizione: un problema di accesso al prototipo è stato risolto attraverso una migliore gestione delle eccezioni.

CVE-2017-2386: André Bargull

WebKit

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida dell'input.

CVE-2017-2394: Apple

CVE-2017-2396: Apple

CVE-2016-9642: Gustavo Grieco

WebKit

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.

CVE-2017-2395: Apple

CVE-2017-2454: Ivan Fratric di Google Project Zero, Zheng Huang di Baidu Security Lab in collaborazione con Zero Day Initiative di Trend Micro

CVE-2017-2455: Ivan Fratric di Google Project Zero

CVE-2017-2457: lokihardt di Google Project Zero

CVE-2017-2459: Ivan Fratric di Google Project Zero

CVE-2017-2460: Ivan Fratric di Google Project Zero

CVE-2017-2464: Jeonghoon Shin, Natalie Silvanovich di Google Project Zero

CVE-2017-2465: Zheng Huang e Wei Yuan di Baidu Security Lab

CVE-2017-2466: Ivan Fratric di Google Project Zero

CVE-2017-2468: lokihardt di Google Project Zero

CVE-2017-2469: lokihardt di Google Project Zero

CVE-2017-2470: lokihardt di Google Project Zero

CVE-2017-2476: Ivan Fratric di Google Project Zero

CVE-2017-2481: 0011 in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiornata il 20 giugno 2017

WebKit

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-2415: Kai Kang di Tencent's Xuanwu Lab (tentcent.com)

WebKit

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: l'elaborazione di contenuti web pericolosi potrebbe causare la mancata applicazione della Content Security Policy in modo inatteso.

Descrizione: nella Content Security Policy si verificava un problema di accesso.  Questo problema è stato risolto attraverso migliori restrizioni di accesso.

CVE-2017-2419: Nicolai Grødum di Cisco Systems

WebKit

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: l'elaborazione di contenuti web pericolosi può comportare un elevato utilizzo della memoria.

Descrizione: un problema di utilizzo incontrollato delle risorse è stato risolto migliorando l'elaborazione regex.

CVE-2016-9643: Gustavo Grieco

WebKit

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: l'elaborazione di contenuti web pericolosi potrebbe causare la divulgazione dei contenuti della memoria

Descrizione: si verificava un problema di divulgazione di informazioni durante l'elaborazione degli shader OpenGL. Il problema è stato risolto mediante una migliore gestione della memoria.

CVE-2017-2424: Paul Thomson (tramite lo strumento GLFuzz) del Multicore Programming Group, Imperial College London

WebKit

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2017-2433: Apple

WebKit

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: l'elaborazione di contenuti web pericolosi può consentire l'esfiltrazione multiorigine dei dati.

Descrizione: si verificavano diversi problemi di convalida nella gestione del caricamento della pagina. Il problema è stato risolto attraverso una migliore logica.

CVE-2017-2364: lokihardt di Google Project Zero

WebKit

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: un sito web pericoloso può consentire l'esfiltrazione multiorigine dei dati.

Descrizione: si verificava un problema di convalida nella gestione del caricamento della pagina. Il problema è stato risolto attraverso una migliore logica.

CVE-2017-2367: lokihardt di Google Project Zero

WebKit

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: l'elaborazione di contenuti web pericolosi può comportare lo scripting cross-site universale.

Descrizione: si verificava un problema logico nella gestione degli oggetti frame. Il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2017-2445: lokihardt di Google Project Zero

WebKit

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.

Descrizione: si verificava un problema logico nella gestione delle funzioni strict mode. Il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2017-2446: Natalie Silvanovich di Google Project Zero

WebKit

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: l'accesso a un sito web pericoloso può compromettere le informazioni dell'utente.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-2447: Natalie Silvanovich di Google Project Zero

WebKit

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.

CVE-2017-2463: Kai Kang (4B5F5F4B) di Tencent's Xuanwu Lab (tencent.com) in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiunta il 28 marzo 2017

WebKit

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-2471: Ivan Fratric di Google Project Zero

WebKit

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: l'elaborazione di contenuti web pericolosi può comportare lo scripting cross-site universale.

Descrizione: si verificava un problema logico nella gestione dei frame. Il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2017-2475: lokihardt di Google Project Zero

WebKit

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: l'elaborazione di contenuti web pericolosi può consentire l'esfiltrazione multiorigine dei dati.

Descrizione: si verificava un problema di convalida nella gestione degli elementi. Il problema è stato risolto attraverso una migliore convalida.

CVE-2017-2479: lokihardt di Google Project Zero

Voce aggiunta il 28 marzo 2017

WebKit

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: l'elaborazione di contenuti web pericolosi può consentire l'esfiltrazione multiorigine dei dati.

Descrizione: si verificava un problema di convalida nella gestione degli elementi. Il problema è stato risolto attraverso una migliore convalida.

CVE-2017-2480: lokihardt di Google Project Zero

CVE-2017-2493: lokihardt di Google Project Zero

Voce aggiornata il 24 aprile 2017

Binding JavaScript di WebKit

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: l'elaborazione di contenuti web pericolosi può consentire l'esfiltrazione multiorigine dei dati.

Descrizione: si verificavano diversi problemi di convalida nella gestione del caricamento della pagina. Il problema è stato risolto attraverso una migliore logica.

CVE-2017-2442: lokihardt di Google Project Zero

Inspector web di WebKit

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: la chiusura di una finestra sospesa nel debugger potrebbe causare l'arresto imprevisto dell'applicazione.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2017-2377: Vicki Pfau

Inspector web di WebKit

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2017-2405: Apple

Altri riconoscimenti

XNU

Ringraziamo Lufeng Li di Qihoo 360 Vulcan Team per l'assistenza.

WebKit

Ringraziamo Yosuke HASEGAWA di Secure Sky Technology Inc. per l'assistenza.

Safari

Ringraziamo Flyin9 (ZhenHui Lee) per l'assistenza.

Impostazioni

Ringraziamo Adi Sharabani e Yair Amit di Skycure per l'assistenza.

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Data di pubblicazione: