Informazioni sui contenuti di sicurezza di iOS 10.1
In questo documento vengono descritti i contenuti di sicurezza di iOS 10.1.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle nuove versioni alla pagina Aggiornamenti di sicurezza Apple.
Per ulteriori informazioni sulla sicurezza, visita la pagina Sicurezza dei prodotti Apple. Puoi codificare le comunicazioni con Apple usando la chiave PGP per la sicurezza dei prodotti Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano ID CVE per indicare le vulnerabilità.
iOS 10.1
AppleMobileFileIntegrity
Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti
Impatto: un eseguibile firmato potrebbe sostituire il codice con lo stesso ID team
Descrizione: si verifica un problema di convalida nella gestione delle firme dei codici. Questo problema viene risolto attraverso una convalida aggiuntiva.
CVE-2016-7584: Mark Mentovai e Boris Vidolov di Google Inc.
Proxy CFNetwork
Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti
Impatto: un malintenzionato in una posizione privilegiata nella rete potrebbe essere in grado di divulgare informazioni degli utenti
Descrizione: si verifica un problema di phishing nella gestione delle credenziali proxy. Questo problema viene risolto rimuovendo richieste indesiderate di autenticazione della password proxy.
CVE-2016-7579: Jerry Decime
Contatti
Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti
Impatto: un'applicazione può conservare l'accesso alla Rubrica indirizzi dopo la revoca dell'accesso in Impostazioni
Descrizione: un problema di controllo accessi nella Rubrica indirizzi viene risolto con una migliore convalida dei link ai file.
CVE-2016-4686: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA di Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)
CoreGraphics
Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti
Impatto: la visualizzazione di un file JPEG dannoso può causare l'esecuzione di codice arbitrario
Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore gestione della memoria.
CVE-2016-4673: Marco Grassi (@marcograss) di KeenLab (@keen_lab), Tencent
FaceTime
Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti
Impatto: un malintenzionato in una posizione privilegiata sulla rete può essere in grado di continuare a trasmettere l'audio di una chiamata inoltrata anche se la chiamata sembra terminata
Descrizione: si verificano incoerenze nell'interfaccia utente nella gestione delle chiamate inoltrate. Questi problemi vengono risolti con una migliore logica del protocollo.
CVE-2016-7577: Martin Vigo (@martin_vigo) di salesforce.com
FontParser
Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti
Impatto: l'analisi di un font pericoloso può divulgare informazioni sensibili degli utenti
Descrizione: un problema di lettura non nei limiti viene risolto attraverso il miglioramento del controllo dei limiti.
CVE-2016-4660: Ke Liu di Tencent's Xuanwu Lab
FontParser
Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti
Impatto: l'elaborazione di un file di caratteri pericoloso può causare l'esecuzione di codice arbitrario
Descrizione: si verifica un overflow del buffer nella gestione dei file font. Questo problema viene risolto attraverso un migliore controllo dei limiti.
CVE-2016-4688: Simon Huang dell'azienda Alipay, thelongestusernameofall@gmail.com
IDS - Connettività
Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti
Impatto: un utente malintenzionato con una posizione privilegiata nella rete potrebbe indurre un utente a partecipare a una chiamata in teleconferenza pensando di parlare con l'altra parte
Descrizione: si verifica un problema di sostituzione di identità nella gestione della commutazione della chiamata. Questo problema viene risolto con una migliore gestione delle notifiche di cambio chiamante.
CVE-2016-4721: Martin Vigo (@martin_vigo) di salesforce.com
Backup iTunes
Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti
Impatto: un malintenzionato con accesso a un backup iTunes codificato può essere in grado di determinare la password di backup
Descrizione: esiste una debolezza di hashing della password nella gestione dei backup iTunes codificati. Questo problema viene risolto rimuovendo l'hash debole.
CVE-2016-4685: Elcomsoft
Kernel
Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti
Impatto: un utente locale potrebbe riuscire a causare una chiusura improvvisa del sistema o l'esecuzione di codice arbitrario nel kernel
Descrizione: si verificano diversi problemi di convalida nei codici generati da MIG. Questi problemi vengono risolti attraverso una migliore convalida.
CVE-2016-4669: Ian Beer di Google Project Zero
Kernel
Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti
Impatto: un'applicazione può essere in grado di divulgare la memoria del kernel
Descrizione: un problema di convalida viene risolto attraverso una migliore sanitizzazione dell'input.
CVE-2016-4680: Max Bazaliy di Lookout e in7egral
Kernel
Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti
Impatto: un'applicazione locale può eseguire codice arbitrario con privilegi root.
Descrizione: si verificano diversi problemi di durata degli oggetti quando si generano nuovi processi. Questi problemi vengono risolti con una migliore convalida.
CVE-2016-7613: Ian Beer di Google Project Zero
libarchive
Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti
Impatto: un archivio pericoloso può essere in grado di sovrascrivere i file arbitrari
Descrizione: si verifica un problema all'interno della logica di convalida dei percorsi per i link simbolici. Questo problema viene risolto migliorando la sanitizzazione dei percorsi.
CVE-2016-4679: Omer Medan di enSilo Ltd
libxpc
Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti
Impatto: un'applicazione può eseguire codice arbitrario con privilegi root
Descrizione: un problema di logica viene risolto attraverso restrizioni aggiuntive.
CVE-2016-4675: Ian Beer di Google Project Zero
Safari
Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti
Impatto: un sito web dannoso può provocare un DoS (Denial Of Service)
Descrizione: un problema di DoS viene risolto attraverso una migliore gestione degli URL.
CVE-2016-7581: Sabri Haddouche (@pwnsdx)
Profili delle sandbox
Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti
Impatto: un'applicazione può essere in grado di recuperare metadati di directory di foto
Descrizione: un problema di accesso viene risolto attraverso restrizioni delle sandbox aggiuntive su applicazioni di terze parti.
CVE-2016-4664: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA of Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)
Profili delle sandbox
Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti
Impatto: un'applicazione può essere in grado di recuperare metadati di directory di registrazioni audio
Descrizione: un problema di accesso viene risolto attraverso restrizioni delle sandbox aggiuntive su applicazioni di terze parti.
CVE-2016-4665: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA of Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)
Sicurezza
Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti
Impatto: un utente malintenzionato locale può guardare la lunghezza di una password di accesso quando l'utente effettua l'accesso
Descrizione: si verifica un problema di registrazione nella gestione delle password. Questo problema viene risolto rimuovendo la registrazione della lunghezza delle password.
CVE-2016-4670: Daniel Jalkut di Red Sweater Software
WebKit
Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti
Impatto: l'elaborazione di un contenuto web pericoloso può causare l'esecuzione di codice arbitrario
Descrizione: diversi problemi di danneggiamento della memoria vengono risolti attraverso una migliore gestione della memoria.
CVE-2016-4666: Apple
CVE-2016-4677: un ricercatore anonimo in collaborazione con Trend Micro's Zero Day Initiative
WebKit
Disponibile per: iPhone 5 e versioni più recenti, iPad 4a generazione e versioni più recenti, iPod touch 6a generazione e versioni più recenti
Impatto: l'elaborazione di un contenuto web pericoloso può causare l'esecuzione di codice arbitrario
Descrizione: diversi problemi di danneggiamento della memoria vengono risolti attraverso una migliore gestione della memoria.
CVE-2016-7578: Apple
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.