Informazioni sui contenuti di sicurezza di iOS 15.4 e iPadOS 15.4
In questo documento vengono descritti i contenuti di sicurezza di iOS 15.4 e iPadOS 15.4.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
iOS 15.4 e iPadOS 15.4
Accelerate Framework
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: l'apertura di un file PDF dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-22633: ryuzaki
AppleAVD
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: l'elaborazione di un'immagine dannosa può causare un danno alla memoria heap.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
CVE-2022-22666: Marc Schoenefeld, Dr. rer. nat.
AVEVideoEncoder
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.
Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.
CVE-2022-22634: un ricercatore anonimo
AVEVideoEncoder
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2022-22635: un ricercatore anonimo
AVEVideoEncoder
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2022-22636: un ricercatore anonimo
Cellular
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: una persona in grado di accedere fisicamente può riuscire a visualizzare e modificare le informazioni e le impostazioni dell'account dell'operatore dal blocco schermo.
Descrizione: il pannello di autenticazione GSMA può essere visualizzato sulla schermata di blocco. Il problema è stato risolto prevedendo l'interazione dello sblocco del dispositivo con il pannello di autenticazione GSMA.
CVE-2022-22652: Kağan Eğlence (linkedin.com/in/kaganeglence), Oğuz Kırat (@oguzkirat)
CoreMedia
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un'app può essere in grado di apprendere informazioni sull'attuale vista della fotocamera prima di autorizzare l'accesso alla fotocamera.
Descrizione: un problema con l'accesso di un'app ai metadati della fotocamera è stato risolto attraverso una migliore logica.
CVE-2022-22598: Will Blaschko di Team Quasko
CoreTypes
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un'applicazione dannosa può riuscire a bypassare i controlli di Gatekeeper.
Descrizione: questo problema è stato risolto attraverso migliori controlli in modo da evitare azioni non autorizzate.
CVE-2022-22663: Arsenii Kostromin (0x3c3e)
FaceTime
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un utente può essere in grado di bypassare la richiesta di codice di SOS emergenze.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2022-22642: Yicong Ding (@AntonioDing)
FaceTime
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un utente può inviare a sua insaputa audio e video in una chiamata FaceTime.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2022-22643: Sonali Luthar della University of Virginia, Michael Liao della University of Illinois di Urbana-Champaign, Rohan Pahwa della Rutgers University e Bao Nguyen della University of Florida
GPU Drivers
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2022-22667: Justin Sherman della University of Maryland, Baltimore County
ImageIO
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2022-22611: Xingyu Jin di Google
ImageIO
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: l'elaborazione di un'immagine dannosa può causare un danno alla memoria heap.
Descrizione: un problema di consumo della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2022-22612: Xingyu Jin di Google
IOGPUFamily
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2022-22641: Mohamed Ghannam (@_simo36)
iTunes
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un sito web dannoso può essere in grado di accedere alle informazioni sull'utente e i suoi dispositivi.
Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.
CVE-2022-22653: Aymeric Chaib di CERT Banque de France
Kernel
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
CVE-2022-22596: un ricercatore anonimo
CVE-2022-22640: sqrtpwn
Kernel
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2022-22613: Alex, un ricercatore anonimo
Kernel
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2022-22614: un ricercatore anonimo
CVE-2022-22615: un ricercatore anonimo
Kernel
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un'applicazione dannosa può essere in grado di elevare i privilegi.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-22632: Keegan Saunders
Kernel
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un utente malintenzionato in una posizione privilegiata potrebbe causare un'interruzione del servizio.
Descrizione: un problema di dereferenziazione del puntatore null è stato risolto attraverso una migliore convalida.
CVE-2022-22638: derrek (@derrekr6)
LaunchServices
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un'app potrebbe bypassare alcune preferenze sulla privacy.
Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.
CVE-2021-30946: @gorelics e Ron Masas di BreakPoint.sh
libarchive
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: diversi problemi in libarchive
Descrizione: si verificavano diversi problemi di danneggiamento della memoria in libarchive Questi problemi sono stati risolti attraverso una migliore convalida dell'input.
CVE-2021-36976
LLVM
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un'applicazione potrebbe essere in grado di eliminare file per i quali non dispone dell'autorizzazione.
Descrizione: una race condition è stata risolta con un'ulteriore convalida.
CVE-2022-21658: Florian Weimer (@fweimer)
Markup
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: una persona con accesso fisico a un dispositivo iOS può essere in grado di vedere informazioni sensibili tramite i suggerimenti della tastiera.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2022-22622: Ingyu Lim (@_kanarena)
MediaRemote
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un'applicazione dannosa può riuscire a identificare quali altre applicazioni ha installato l'utente.
Descrizione: un problema di accesso è stato risolto attraverso migliori restrizioni di accesso.
CVE-2022-22670: Brandon Azad
MobileAccessoryUpdater
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2022-22672: Siddharth Aeri (@b1n4r1b01)
NetworkExtension
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un malintenzionato in una posizione privilegiata nella rete potrebbe essere in grado di divulgare informazioni riservate degli utenti.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-22659: George Chen Kaidi di PayPal
Phone
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un utente può essere in grado di bypassare la richiesta di codice di SOS emergenze.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2022-22618: Yicong Ding (@AntonioDing)
Preferences
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un'applicazione dannosa può essere in grado di leggere le impostazioni di altre applicazioni.
Descrizione: il problema è stato risolto attraverso maggiori controlli dei permessi.
CVE-2022-22609: Mickey Jin (@patch1t), e Zhipeng Huo (@R3dF09) e Yuebin Sun (@yuebinsun2020) di Tencent Security Xuanwu Lab (xlab.tencent.com)
Sandbox
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un'app potrebbe divulgare informazioni sensibili degli utenti
Descrizione: un problema di accesso è stato risolto con miglioramenti alla sandbox.
CVE-2022-22655: Csaba Fitzl (@theevilbit) di Offensive Security
Sandbox
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un'applicazione dannosa può essere in grado di bypassare alcune preferenze sulla privacy.
Descrizione: il problema è stato risolto attraverso una migliore logica delle autorizzazioni.
CVE-2022-22600: Sudhakar Muthumani (@sudhakarmuthu04) di Primefort Private Limited, Khiem Tran
Siri
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: una persona con accesso fisico a un dispositivo può essere in grado di usare Siri per ottenere alcune informazioni sulla posizione dal blocco schermo.
Descrizione: un problema di autorizzazioni è stato risolto attraverso una migliore convalida.
CVE-2022-22599: Andrew Goldberg della University of Texas di Austin, McCombs School of Business (linkedin.com/andrew-goldberg-/)
SoftwareUpdate
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-22639: Mickey (@patch1t)
UIKit
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: una persona con accesso fisico a un dispositivo iOS può essere in grado di vedere informazioni sensibili tramite i suggerimenti della tastiera.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2022-22621: Joey Hewitt
VoiceOver
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: una persona con accesso fisico a un dispositivo iOS può essere in grado di accedere alle foto dalla schermata di blocco.
Descrizione: un problema di autenticazione è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-22671: videosdebarraquito
WebKit
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: l'elaborazione di contenuti web dannosi può divulgare informazioni sensibili dell'utente.
Descrizione: un problema di gestione dei cookie è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-22662: Prakash (@1lastBr3ath) di Threat Nix
WebKit
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-22610: Quan Yin del Team Live Client di Bigo Technology
WebKit
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2022-22624: Kirin (@Pwnrin) di Tencent Security Xuanwu Lab
CVE-2022-22628: Kirin (@Pwnrin) di Tencent Security Xuanwu Lab
WebKit
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.
CVE-2022-22629: Jeonghoon Shin di Theori in collaborazione con Zero Day Initiative di Trend Micro
WebKit
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un sito web dannoso può causare un comportamento multiorigine inaspettato.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-22637: Tom McKee di Google
Wi-Fi
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un'applicazione dannosa può essere in grado di divulgare informazioni sensibili degli utenti.
Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.
CVE-2022-22668: MrPhil17
Wi-Fi
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un'applicazione dannosa può essere in grado di divulgare informazioni sensibili degli utenti.
Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.
CVE-2022-22668: MrPhil17
Altri riconoscimenti
AirDrop
Ringraziamo Omar Espino (omespino.com), Ron Masas di BreakPoint.sh per l'assistenza.
Bluetooth
Ringraziamo un ricercatore anonimo per l'assistenza.
Music
Ringraziamo Vishesh Balani di Urban Company per l'assistenza.
Notes
Ringraziamo Abhishek Bansal di Wipro Technologies per l'assistenza.
Safari
Ringraziamo Konstantin Darutkin di FingerprintJS (fingerprintjs.com) per l'assistenza.
Shortcuts
Ringraziamo Baibhav Anand Jha di Streamers Land per l'assistenza.
Siri
Ringraziamo un ricercatore anonimo per l'assistenza.
syslog
Ringraziamo Yonghwi Jin (@jinmo123) di Theori per l'assistenza.
UIKit
Ringraziamo Tim Shadel di Day Logger, Inc. per l'assistenza.
Wallet
Ringraziamo un ricercatore anonimo per l'assistenza.
WebKit
Ringraziamo Abdullah Md Shaleh per l'assistenza.
WebKit Storage
Ringraziamo Martin Bajanik di FingerprintJS per l'assistenza.
WidgetKit
Ringraziamo un ricercatore anonimo per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.