Nella giornata di ieri Apple ha rilasciato la nuova versione di iOS, raggiungendo il 5.1.1. L’aggiornamento, come specificato in quest’articolo, ha risolto un serie di bug, tra cui una pericolosa vulnerabilità relativa a Safari.
Nel corso di Marzo si era parlato di una grave vulnerabilità scoperta da David Vieira-Kurz di MajorSecurity, tramite la quale un malvivente poteva ingannare gli utenti che avrebbero potuto fornire dati sensibili ad un sito diverso da quello che effettivamente avrebbero voluto visitare, in quanto veniva manipolato l’indirizzo web mostrato nella barra degli indirizzi. Il problema poteva essere tranquillamente avvicinato al cosiddetto pishing, ovvero l’utente pensa di collegarsi al sito ufficiale (in genere di una banca o di carte ricaricabili) ed inserisce i propri dati; tuttavia il dominio non appartiene alla società, ma ad alcuni utenti che hanno ricostruito fedelmente il tutto carpendo le informazioni inserite.
Fortunatamente, con l’aggiornamento ad iOS 5.1.1, Apple ha risolto questo tipo di problema. E’ doveroso sottolineare di collegarsi ad un sito digitando sempre l’indirizzo nella barra specifica, senza raggiungerlo da un link ricevuto via mail.
Eccovi di seguito il changelog diffuso dall’azienda:
“Safari
Available for: iPhone 3GS, iPhone 4, iPhone 4S, iPod touch (3rd generation) and later, iPad, iPad 2
Impact: A maliciously crafted website may be able to spoof the address in the location bar
Description: A URL spoofing issue existed in Safari. This could be used in a malicious web site to direct the user to a spoofed site that visually appeared to be a legitimate domain. This issue is addressed through improved URL handling. This issue does not affect OS X systems.”
Oltre al suddetto sono stati risolti due bug relativi al Web Kit, eccovi di seguito il changelog:
WebKit
Available for: iPhone 3GS, iPhone 4, iPhone 4S, iPod touch (3rd generation) and later, iPad, iPad 2
Impact: Visiting a maliciously crafted website may lead to a cross-site scripting attack
Description: Multiple cross-site scripting issues existed in WebKit.
CVE-ID
CVE-2011-3046 : Sergey Glazunov working with Google’s Pwnium contest
CVE-2011-3056 : Sergey GlazunovWebKit
Available for: iPhone 3GS, iPhone 4, iPhone 4S, iPod touch (3rd generation) and later, iPad, iPad 2
Impact: Visiting a maliciously crafted website may lead to an unexpected application termination or arbitrary code execution
Description: A memory corruption issue existed in WebKit.
CVE-ID
CVE-2012-0672 : Adam Barth and Abhishek Arya of the Google Chrome Security Team
Per collegarvi al nostro articolo in cui descriviamo tutti i cambiamenti apportati da Apple nel nuovo iOS 5.1.1 (compresi i link diretti per il download), cliccate qui.
[via]