Informazioni sui contenuti di sicurezza di iOS 10

In questo documento vengono descritti i contenuti di sicurezza di iOS 10.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle nuove versioni alla pagina Aggiornamenti di sicurezza Apple.

Per ulteriori informazioni sulla sicurezza, consulta la pagina Sicurezza dei prodotti Apple. Puoi codificare le comunicazioni con Apple usando la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

iOS 10

AppleMobileFileIntegrity

Disponibile per: iPhone 5 e successivi, iPad 4a generazione e successive, iPod touch 6a generazione e successive

Impatto: un'applicazione locale può eseguire codice arbitrario con privilegi di sistema.

Descrizione: si verifica un problema di convalida nella politica di eredità delle porte dell'attività. Questo problema viene risolto attraverso una migliore convalida delle autorizzazioni del processo e dell'ID del team.

CVE-2016-4698: Pedro Vilaça

Risorse

Disponibile per: iPhone 5 e successivi, iPad 4a generazione e successive, iPod touch 6a generazione e successive

Impatto: un malintenzionato con una posizione privilegiata sulla rete può impedire a un dispositivo di ricevere aggiornamenti del software

Descrizione: si verifica un problema con gli aggiornamenti iOS che non consente di proteggere adeguatamente le comunicazioni dell'utente. Questo problema viene risolto utilizzando HTTPS per gli aggiornamenti del software.

CVE-2016-4741: Raul Siles di DinoSec

Audio

Disponibile per: iPhone 5 e successivi, iPad 4a generazione e successive, iPod touch 6a generazione e successive

Impatto: un utente malintenzionato collegato in remoto potrebbe eseguire un codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park e Taekyoung Kwon di Information Security Lab, Yonsei University

Certificate Trust Policy

Disponibile per: iPhone 5 e successivi, iPad 4a generazione e successive, iPod touch 6a generazione e successive

Impatto: aggiornamento del Certificate Trust Policy.

Descrizione: il Certificate Trust Policy è stato aggiornato. L'elenco completo dei certificati può essere visualizzato all'indirizzo https://support.apple.com/it-it/HT204132.

CFNetwork

Disponibile per: iPhone 5 e successivi, iPad 4a generazione e successive, iPod touch 6a generazione e successive

Impatto: un utente locale potrebbe scoprire quali siti web sono stati visitati da un utente

Descrizione: si verifica un problema nell'eliminazione dell'Archivio locale. Questo problema viene risolto attraverso una migliore pulitura dell'Archivio locale.

CVE-2016-4707: un ricercatore anonimo

CFNetwork

Disponibile per: iPhone 5 e successivi, iPad 4a generazione e successive, iPod touch 6a generazione e successive

Impatto: l'elaborazione di contenuti web pericolosi può compromettere le informazioni dell'utente.

Descrizione: si verificava un problema di convalida dell'input nell'analisi dell'intestazione Set-Cookie. Il problema è stato risolto attraverso un migliore controllo della convalida.

CVE-2016-4708: Dawid Czagan di Silesia Security Lab

CommonCrypto

Disponibile per: iPhone 5 e successivi, iPad 4a generazione e successive, iPod touch 6a generazione e successive

Impatto: un'applicazione che utilizza CCrypt può causare la divulgazione di testo semplice sensibile se i buffer di input e di output coincidono

Descrizione: si verifica un problema relativo alla convalida dell'input in corecrypto. Il problema è stato risolto attraverso una migliore convalida dell'input.

CVE-2016-4711: Max Lohrmann

CoreCrypto

Disponibile per: iPhone 5 e successivi, iPad 4a generazione e successive, iPod touch 6a generazione e successive

Impatto: un'applicazione può eseguire codice arbitrario

Descrizione: un problema di scrittura non nei limiti è stato risolto rimuovendo il codice vulnerabile.

CVE-2016-4712: Gergo Koteles

FontParser

Disponibile per: iPhone 5 e successivi, iPad 4a generazione e successive, iPod touch 6a generazione e successive

Impatto: l'elaborazione di un font pericoloso può causare la divulgazione della memoria dei processi.

Descrizione: si verifica un overflow del buffer nella gestione dei file font.

Il problema è stato risolto attraverso un migliore controllo dei limiti.

CVE-2016-4718: Apple

GeoServices

Disponibile per: iPhone 5 e successivi, iPad 4a generazione e successive, iPod touch 6a generazione e successive

Impatto: un'applicazione può essere in grado di leggere informazioni sensibili sulla posizione.

Descrizione: si verificava un problema di autorizzazioni in PlaceData. che è stato risolto attraverso una migliore convalida delle autorizzazioni.

CVE-2016-4719: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA of Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

IDS - Connettività

Disponibile per: iPhone 5 e successivi, iPad 4a generazione e successive, iPod touch 6a generazione e successive

Impatto: un utente malintenzionato in una posizione privilegiata nella rete può essere in grado di causare un'interruzione del servizio.

Descrizione: si verificava un problema di spoofing nella gestione dei trasferimenti di chiamata. Il problema è stato risolto attraverso una migliore convalida dell'input.

CVE-2016-4722: Martin Vigo (@martin_vigo) di salesforce.com

IOAcceleratorFamily

Disponibile per: iPhone 5 e successivi, iPad 4a generazione e successive, iPod touch 6a generazione e successive

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di dereferenziazione del puntatore null è stato risolto attraverso una migliore convalida dell'input.

CVE-2016-4724: Cererdlong, Eakerqiu di Team OverSky

IOAcceleratorFamily

Disponibile per: iPhone 5 e successivi, iPad 4a generazione e successive, iPod touch 6a generazione e successive

Impatto: l'elaborazione di contenuti web pericolosi potrebbe causare la divulgazione della memoria dei processi.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2016-4725: Rodger Combs di Plex, Inc.

IOAcceleratorFamily

Disponibile per: iPhone 5 e successivi, iPad 4a generazione e successive, iPod touch 6a generazione e successive

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-4726: un ricercatore anonimo

Kernel

Disponibile per: iPhone 5 e successivi, iPad 4a generazione e successive, iPod touch 6a generazione e successive

Impatto: un'applicazione locale può essere in grado di accedere a file con limitazioni

Descrizione: un problema di analisi nella gestione dei percorsi di directory viene risolto attraverso una migliore convalida dei percorsi.

CVE-2016-4771: Balazs Bucsay, Research Director di MRG Effitas

Kernel

Disponibile per: iPhone 5 e successivi, iPad 4a generazione e successive, iPod touch 6a generazione e successive

Impatto: un malintenzionato collegato in remoto può causare un'interruzione del servizio.

Descrizione: un problema di gestione dei blocchi è stato risolto attraverso una migliore gestione dei blocchi.

CVE-2016-4772: Marc Heuse di mh-sec

Kernel

Disponibile per: iPhone 5 e successivi, iPad 4a generazione e successive, iPod touch 6a generazione e successive

Impatto: un'applicazione può essere in grado di determinare il layout della memoria del kernel

Descrizione: si verificavano diversi problemi di lettura non nei limiti che causavano la divulgazione della memoria del kernel. Questi sono stati risolti attraverso una migliore convalida dell'input.

CVE-2016-4773: Brandon Azad

CVE-2016-4774: Brandon Azad

CVE-2016-4776: Brandon Azad

Kernel

Disponibile per: iPhone 5 e successivi, iPad 4a generazione e successive, iPod touch 6a generazione e successive

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di dereferenziazione a un puntatore non attendibile è stato risolto rimuovendo il codice interessato.

CVE-2016-4777: Lufeng Li di Qihoo 360 Vulcan Team

Kernel

Disponibile per: iPhone 5 e successivi, iPad 4a generazione e successive, iPod touch 6a generazione e successive

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.

CVE-2016-4778: CESG

Tastiere

Disponibile per: iPhone 5 e successivi, iPad 4a generazione e successive, iPod touch 6a generazione e successive

Impatto: i suggerimenti di correzione automatica della tastiera possono rivelare informazioni sensibili

Descrizione: la tastiera iOS eseguiva inavvertitamente il caching di informazioni sensibili. Questo problema viene risolto attraverso una migliore euristica.

CVE-2016-4746: Antoine M di France

libxml2

Disponibile per: iPhone 5 e successivi, iPad 4a generazione e successive, iPod touch 6a generazione e successive

Impatto: diversi problemi in libxml2, il più significativo dei quali può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.

CVE-2016-4658: Nick Wellnhofer

CVE-2016-5131: Nick Wellnhofer

libxslt

Disponibile per: iPhone 5 e successivi, iPad 4a generazione e successive, iPod touch 6a generazione e successive

Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-4738: Nick Wellnhofer

Mail

Disponibile per: iPhone 5 e successivi, iPad 4a generazione e successive, iPod touch 6a generazione e successive

Impatto: un malintenzionato con una posizione privilegiata sulla rete può intercettare le credenziali della posta.

Descrizione: si verifica un problema durante la gestione di certificati non attendibili. Questo problema viene risolto terminando le connessioni non attendibili.

CVE-2016-4747: Dave Aitel

Messaggi

Disponibile per: iPhone 5 e successivi, iPad 4a generazione e successive, iPod touch 6a generazione e successive

Impatto: Messaggi può essere visibile su un dispositivo che non ha eseguito l'accesso a Messaggi

Descrizione: si verifica un problema durante l'uso di Handoff per Messaggi. Questo problema viene risolto attraverso una migliore gestione dello stato.

CVE-2016-4740: Step Wallace

Stampa di UIKit

Disponibile per: iPhone 5 e successivi, iPad 4a generazione e successive, iPod touch 6a generazione e successive

Impatto: un documento non crittografato può essere scritto in un file temporaneo durante l'utilizzo dell'anteprima AirPrint

Descrizione: si verifica un problema nell'anteprima AirPrint. Questo problema viene risolto attraverso una migliore sanitizzazione dell'ambiente.

CVE-2016-4749: Scott Alexander (@gooshy)

S2 Camera

Disponibile per: iPhone 5 e successivi, iPad 4a generazione e successive, iPod touch 6a generazione e successive

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-4750: Jack Tang (@jacktang310) e Moony Li di Trend Micro in collaborazione con Zero Day Initiative di Trend Micro

Reader di Safari

Disponibile per: iPhone 5 e successivi, iPad 4a generazione e successive, iPod touch 6a generazione e successive

Impatto: l'abilitazione della funzione Reader di Safari su una pagina web pericolosa può comportare lo scripting cross-site universale.

Descrizione: diversi problemi di convalida sono stati risolti attraverso una migliore sanitizzazione dell'input.

CVE-2016-4618: Erling Ellingsen

Profili delle sandbox

Disponibile per: iPhone 5 e successivi, iPad 4a generazione e successive, iPod touch 6a generazione e successive

Impatto: un'applicazione pericolosa può determinare il destinatario dei messaggi dell'utente

Descrizione: si verifica un problema nel controllo degli accessi alle directory di bozza degli SMS. Questo problema viene risolto impedendo alle app di indicare le directory interessate.

CVE-2016-4620: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA of Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

Sicurezza

Disponibile per: iPhone 5 e successivi, iPad 4a generazione e successive, iPod touch 6a generazione e successive

Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi di sistema.

Descrizione: si verificava un problema di convalida nelle immagini del disco firmato. Questo problema viene risolto attraverso una migliore convalida delle dimensioni.

CVE-2016-4753: Mark Mentovai di Google Inc.

Springboard

Disponibile per: iPhone 5 e successivi, iPad 4a generazione e successive, iPod touch 6a generazione e successive

Impatto: i dati sensibili possono essere esposti nelle istantanee delle applicazioni presentate nel Task Switcher.

Descrizione: a causa di un errore di SpringBoard, nel Task Switcher vengono visualizzate istantanee archiviate nella cache che includono dati sensibili. Il problema è stato risolto tramite visualizzazione di istantanee aggiornate.

CVE-2016-7759: Fatma Yılmaz di Ptt Genel Müdürlüğü, Ankara

WebKit

Disponibile per: iPhone 5 e successivi, iPad 4a generazione e successive, iPod touch 6a generazione e successive

Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.

Descrizione: si verifica un problema di analisi nella gestione dei prototipi di errore. Questo problema viene risolto attraverso una migliore convalida.

CVE-2016-4728: Daniel Divricean

WebKit

Disponibile per: iPhone 5 e successivi, iPad 4a generazione e successive, iPod touch 6a generazione e successive

Impatto: l'accesso a un sito web pericoloso può causare la perdita di dati sensibili.

Descrizione: si verificava un problema di autorizzazioni nella gestione della variabile di posizione. Il problema è stato risolto con ulteriori verifiche della proprietà.

CVE-2016-4758: Masato Kinugawa di Cure53

WebKit

Disponibile per: iPhone 5 e successivi, iPad 4a generazione e successive, iPod touch 6a generazione e successive

Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.

CVE-2016-4611: Apple

CVE-2016-4729: Apple

CVE-2016-4730: Apple

CVE-2016-4731: Apple

CVE-2016-4734: Natalie Silvanovich di Google Project Zero

CVE-2016-4735: André Bargull

CVE-2016-4737: Apple

CVE-2016-4759: Tongbo Luo di Palo Alto Networks

CVE-2016-4762: Zheng Huang di Baidu Security Lab

CVE-2016-4766: Apple

CVE-2016-4767: Apple

CVE-2016-4768: anonimo in collaborazione con Zero Day Initiative di Trend Micro

WebKit

Disponibile per: iPhone 5 e successivi, iPad 4a generazione e successive, iPod touch 6a generazione e successive

Impatto: un sito web dannoso può accedere ai servizi non HTTP

Descrizione: l'assistenza di Safari di HTTP/0.9 ha consentito l'utilizzo di diversi protocolli di servizi non HTTP utilizzando un nuovo collegamento DNS. Il problema è stato affrontato limitando le risposte HTTP/0.9 alle porte predefinite e annullando i caricamenti delle risorse se il documento è stato caricato con una versione diversa del protocollo HTTP.

CVE-2016-4760: Jordan Milne

WebKit

Disponibile per: iPhone 5 e successivi, iPad 4a generazione e successive, iPod touch 6a generazione e successive

Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione dello stato.

CVE-2016-4733: Natalie Silvanovich di Google Project Zero

CVE-2016-4765: Apple

WebKit

Disponibile per: iPhone 5 e successivi, iPad 4a generazione e successive, iPod touch 6a generazione e successive

Impatto: un malintenzionato con una posizione privilegiata sulla rete potrebbe intercettare e modificare il traffico sulla rete alle applicazioni che utilizzano WKWebView con HTTPS

Descrizione: si verifica un problema relativo alla convalida di gestione dei certificati WKWebView. che è stato risolto attraverso una migliore convalida.

CVE-2016-4763: un ricercatore anonimo

WebKit

Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti

Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione dello stato.

CVE-2016-4764: Apple