Informazioni sui contenuti di sicurezza di iOS 15.7.6 e iPadOS 15.7.6
In questo documento vengono descritti i contenuti di sicurezza di iOS 15.7.6 e iPadOS 15.7.6.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina relativa agli aggiornamenti di sicurezza Apple.
Quando possibile, i documenti sulla sicurezza Apple utilizzano i CVE-ID per indicare la vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
iOS 15.7.6 e iPadOS 15.7.6
Data di rilascio: giovedì 18 maggio 2023
Accessibility
Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)
Impatto: un'app potrebbe bypassare le preferenze sulla privacy.
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2023-32388: Kirin (@Pwnrin)
Apple Neural Engine
Disponibile per i dispositivi con Apple Neural Engine: iPhone 8 e modelli successivi, iPad Pro (3a generazione) e modelli successivi, iPad Air (3a generazione) e modelli successivi e iPad mini (5a generazione)
Impatto: un'app potrebbe essere in grado di uscire dalla sandbox
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2023-23532: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Disponibile per i dispositivi con Apple Neural Engine: iPhone 8 e modelli successivi, iPad Pro (3a generazione) e modelli successivi, iPad Air (3a generazione) e modelli successivi e iPad mini (5a generazione)
Impatto: un'app potrebbe riuscire ad acquisire privilegi elevati
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-32425: Mohamed Ghannam (@_simo36)
Voce aggiunta il 21 dicembre 2023
CoreCapture
Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-28181: Tingting Yin della Tsinghua University
ImageIO
Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)
Impatto: l'elaborazione di un'immagine può causare l'esecuzione di un codice arbitrario.
Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.
CVE-2023-32384: Meysam Firouzi @R00tkitsmm in collaborazione con Zero Day Initiative di Trend Micro
IOSurface
Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)
Impatto: un'app potrebbe divulgare lo stato sensibile del kernel
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2023-32410: hou xuewei (@p1ay8y3ar) vmk msu
Kernel
Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)
Impatto: un'applicazione sandbox può essere in grado di osservare le connessioni di rete a livello di sistema.
Descrizione: il problema è stato risolto attraverso maggiori controlli dei permessi.
CVE-2023-27940: James Duffy (mangoSecure)
Kernel
Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)
Impatto: un'app potrebbe ottenere privilegi root
Descrizione: una race condition è stata risolta attraverso una migliore gestione dello stato.
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) di Synacktiv (@Synacktiv) in collaborazione con Zero Day Initiative di Trend Micro
Kernel
Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2023-32398: Adam Doupé di ASU SEFCOM
Metal
Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)
Impatto: un'app potrebbe bypassare le preferenze sulla privacy.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
NetworkExtension
Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.
CVE-2023-32403: Adam M.
Voce aggiornata il 21 dicembre 2023
Photos
Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)
Impatto: “Agitare per annullare” può consentire a una foto eliminata di riapparire senza autenticazione
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-32365: Jiwon Park
Shell
Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-32397: Arsenii Kostromin (0x3c3e)
Shortcuts
Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)
Impatto: un comando rapido può essere in grado di utilizzare dati sensibili con determinate azioni senza richiedere l'autorizzazione dell'utente.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-32391: Wenchao Li e Xiaolong Bai di Alibaba Group
Telephony
Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)
Impatto: una persona malintenzionata collegata in remoto può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2023-32412: Ivan Fratric di Google Project Zero
TV App
Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.
CVE-2023-32408: Adam M.
WebKit
Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)
Impatto: l'elaborazione di contenuti web potrebbe divulgare informazioni sensibili. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
WebKit Bugzilla: 254930
CVE-2023-28204: un ricercatore anonimo
WebKit
Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)
Impatto: l'elaborazione di un contenuto web pericoloso potrebbe causare l'esecuzione di codice arbitrario. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente.
Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.
WebKit Bugzilla: 254840
CVE-2023-32373: un ricercatore anonimo
Altri riconoscimenti
libxml2
Ringraziamo OSS-Fuzz, Ned Williamson di Google Project Zero per l'assistenza.
Reminders
Ringraziamo Kirin (@Pwnrin) per l'assistenza.
Security
Ringraziamo James Duffy (mangoSecure) per l'assistenza.
Wi-Fi
Ringraziamo Adam M. per l'assistenza.
Voce aggiornata il 21 dicembre 2023
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.