Informazioni sui contenuti di sicurezza di iOS 16.4 e iPadOS 16.4
In questo documento vengono descritti i contenuti di sicurezza di iOS 16.4 e iPadOS 16.4.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
iOS 16.4 e iPadOS 16.4
Rilasciato il 27 marzo 2023
Accessibility
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un'app potrebbe accedere alle informazioni sui contatti di un utente
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2023-23541: Csaba Fitzl (@theevilbit) di Offensive Security
App Store
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2023-42830: Adam M.
Voce aggiunta il 31 ottobre 2023 e aggiornata il 16 luglio 2024
Apple Neural Engine
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-23540: Mohamed GHANNAM (@_simo36)
CVE-2023-27959: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2023-27970: Mohamed GHANNAM
Apple Neural Engine
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un'app potrebbe essere in grado di uscire dalla sandbox
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2023-23532: Mohamed Ghannam (@_simo36)
AppleMobileFileIntegrity
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un utente può ottenere l'accesso a parti protette del file system.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-23527: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.
CVE-2023-27931: Mickey Jin (@patch1t)
Calendar
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: l'importazione di un invito di calendario dannoso può consentire l'esfiltrazione delle informazioni dell'utente
Descrizione: diversi problemi di convalida sono stati risolti attraverso una migliore sanitizzazione dell'input.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
Camera
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un'applicazione sandbox potrebbe essere in grado di determinare quale app utilizza la fotocamera.
Descrizione: il problema è stato risolto attraverso restrizioni aggiuntive sull'osservabilità degli stati delle app.
CVE-2023-23543: Yiğit Can YILMAZ (@yilmazcanyigit)
CarPlay
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un utente in una posizione privilegiata nella rete potrebbe causare l'interruzione del servizio.
Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.
CVE-2023-23494: Itay Iellin di General Motors Product Cyber Security
ColorSync
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un'app potrebbe leggere file arbitrari
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-27955: JeongOhKyea
Core Bluetooth
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: l'elaborazione di un pacchetto Bluetooth dannoso potrebbe causare la divulgazione della memoria dei processi
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2023-23528: Jianjun Dai e Guang Gong del 360 Vulnerability Research Institute
CoreCapture
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-28181: Tingting Yin della Tsinghua University
CoreServices
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un processo sandbox può essere in grado di eludere le restrizioni della sandbox.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2023-40398: Mickey Jin (@patch1t)
Voce aggiunta il 16 luglio 2024
Find My
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2023-28195: Adam M.
CVE-2023-23537: Adam M.
Voce aggiornata il 21 dicembre 2023
FontParser
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2023-32366: Ye Zhang (@VAR10CK) di Baidu Security
Voce aggiunta il 31 ottobre 2023
FontParser
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: l'elaborazione di un'immagine dannosa potrebbe causare la divulgazione dei contenuti della memoria dei processi
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-27956: Ye Zhang (@VAR10CK) di Baidu Security
Voce aggiornata il 31 ottobre 2023
Foundation
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: l'elaborazione di un file font dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario
Descrizione: un problema di overflow dei numeri interi è stato risolto attraverso una migliore convalida dell'input.
CVE-2023-27937: un ricercatore anonimo
iCloud
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un file da una cartella iCloud “condivisa da me” potrebbe bypassare Gatekeeper.
Descrizione: il problema è stato risolto attraverso controlli aggiuntivi da parte di Gatekeeper sui file scaricati da una cartella iCloud “condivisa da me”.
CVE-2023-23526: Jubaer Alnazi di TRS Group of Companies
Identity Services
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un'app potrebbe accedere alle informazioni sui contatti di un utente
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2023-27928: Csaba Fitzl (@theevilbit) di Offensive Security
ImageIO
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: l'elaborazione di un'immagine dannosa potrebbe causare la divulgazione dei contenuti della memoria dei processi
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-23535: ryuzaki
ImageIO
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: l'elaborazione di un'immagine dannosa potrebbe causare la divulgazione dei contenuti della memoria dei processi
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2023-27929: Meysam Firouzi (@R00tkitSMM) di Mbition Mercedes-Benz Innovation Lab e jzhu working con Trend Micro Zero Day Initiative
ImageIO
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: l'elaborazione di un'immagine potrebbe causare la divulgazione dei contenuti della memoria dei processi.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2023-42862: Meysam Firouzi (@R00tkitSMM) di Mbition Mercedes-Benz Innovation Lab
CVE-2023-42865: jzhu in collaborazione con Zero Day Initiative di Trend Micro e Meysam Firouzi (@R00tkitSMM) di Mbition Mercedes-Benz Innovation Lab
Voce aggiunta il 21 dicembre 2023
Kernel
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un utente potrebbe causare l'interruzione del servizio.
Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-28187: Pan ZhenPeng (@Peterpan0927) di STAR Labs SG Pte. Ltd.
Voce aggiunta il 31 ottobre 2023
Kernel
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un'app potrebbe causare l'interruzione del servizio.
Descrizione: un problema di overflow dei numeri interi è stato risolto mediante una migliore convalida degli input.
CVE-2023-28185: Pan ZhenPeng di STAR Labs SG Pte. Ltd.
Voce aggiunta il 31 ottobre 2023
Kernel
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un utente malintenzionato che ha già ottenuto l'esecuzione del codice kernel può essere in grado di bypassare le mitigazioni della memoria del kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-32424: Zechao Cai (@Zech4o) della Zhejiang University
Voce aggiunta il 31 ottobre 2023
Kernel
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2023-27969: Adam Doupé di ASU SEFCOM
Kernel
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un'app con privilegi root potrebbe eseguire codice arbitrario con privilegi kernel
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-27933: sqrtpwn
Kernel
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con migliori controlli dei limiti.
CVE-2023-23536: Félix Poulin-Bélanger e David Pan Ogea
Voce aggiunta il 1° maggio 2023 e aggiornata il 31 ottobre 2023
LaunchServices
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: ai file scaricati da internet potrebbe non essere applicato il contrassegno di quarantena.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2023-27943: un ricercatore anonimo, Brandon Dalton (@partyD0lphin) di Red Canary, Milan Tenk e Arthur Valiev di F-Secure Corporation
Voce aggiornata il 31 ottobre 2023
LaunchServices
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un'app potrebbe ottenere privilegi root
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2023-23525: Mickey Jin (@patch1t)
libpthread
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di confusione dei tipi è stato risolto con migliori controlli.
CVE-2023-41075: Zweig di Kunlun Lab
Voce aggiunta il 21 dicembre 2023
Magnifier
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: una persona con accesso fisico a un dispositivo iOS potrebbe riuscire a vedere l'ultima immagine usata in Lente d'ingrandimento dal blocco schermo
Descrizione: il problema è stato risolto limitando le opzioni offerte su un dispositivo bloccato.
CVE-2022-46724: Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology Bhopal
Voce aggiunta il 1° agosto 2023
NetworkExtension
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un utente in una posizione di rete privilegiata potrebbe eseguire lo spoofing di un server VPN la cui unica autenticazione configurata è EAP.
Descrizione: il problema è stato risolto attraverso una migliore autenticazione.
CVE-2023-28182: Zhuowei Zhang
Photos
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: le foto appartenenti all'album delle foto nascoste potrebbero essere visualizzate senza autenticazione con Ricerca visiva
Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.
CVE-2023-23523: developStorm
Podcast
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-27942: Mickey Jin (@patch1t)
Safari
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un'app potrebbe creare inaspettatamente un segnalibro nella schermata Home.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-28194: Anton Spivak
Sandbox
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un'app potrebbe bypassare le preferenze sulla privacy.
Descrizione: un problema logico è stato risolto attraverso una migliore convalida.
CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)
Shortcuts
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un comando rapido può essere in grado di utilizzare dati sensibili con determinate azioni senza richiedere l'autorizzazione dell'utente.
Descrizione: il problema è stato risolto attraverso maggiori controlli dei permessi.
CVE-2023-27963: Jubaer Alnazi Jabin di TRS Group Of Companies e Wenchao Li e Xiaolong Bai di Alibaba Group
TCC
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.
CVE-2023-27931: Mickey Jin (@patch1t)
TextKit
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un utente collegato in remoto potrebbe causare l'interruzione del servizio.
Descrizione: un problema di interruzione del servizio è stato risolto attraverso una migliore convalida dell'input.
CVE-2023-28188: Xin Huang (@11iaxH)
Voce aggiunta il 31 ottobre 2023
WebKit
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: il blocco dei domini con caratteri jolly da parte della Content Security Policy potrebbe avere esito negativo.
Descrizione: un problema logico è stato risolto attraverso una migliore convalida.
WebKit Bugzilla: 250709
CVE-2023-32370: Gertjan Franken di imec-DistriNet, KU Leuven
Voce aggiunta il 31 ottobre 2023
WebKit
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario
Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.
WebKit Bugzilla: 250429
CVE-2023-28198: hazbinhotel in collaborazione con Zero Day Initiative di Trend Micro
Voce aggiunta il 1° agosto 2023
WebKit
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: l'accesso a un sito web dannoso potrebbe causare lo spoofing della barra degli indirizzi.
Descrizione: esisteva un problema di spoofing nella gestione degli URL Il problema è stato risolto attraverso una migliore convalida dell'input.
WebKit Bugzilla: 247289
CVE-2022-46725: Hyeon Park (@tree_segment) del Team ApplePIE
Voce aggiunta il 1° agosto 2023 e aggiornata il 21 dicembre 2023
WebKit
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: l'elaborazione di un contenuto web può causare l'esecuzione di codice arbitrario. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente contro le versioni di iOS precedenti alla 15.7.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
WebKit Bugzilla: 251890
CVE-2023-32435: Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) e Boris Larin (@oct0xor) di Kaspersky
Voce aggiunta il 21 giugno 2023, aggiornata il 1° agosto 2023
WebKit
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: l'elaborazione di contenuti web dannosi può eludere la Same Origin Policy.
Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.
WebKit Bugzilla: 248615
CVE-2023-27932: un ricercatore anonimo
WebKit
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un sito web potrebbe essere in grado di tenere traccia delle informazioni sensibili degli utenti.
Descrizione: il problema è stato risolto rimuovendo le informazioni sull'origine.
WebKit Bugzilla: 250837
CVE-2023-27954: un ricercatore anonimo
WebKit
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: l'accesso a un sito web dannoso potrebbe causare lo spoofing della barra degli indirizzi.
Descrizione: esisteva un problema di spoofing nella gestione degli URL Il problema è stato risolto attraverso una migliore convalida dell'input.
WebKit Bugzilla: 247287
CVE-2022-46705: Hyeon Park (@tree_segment) del Team ApplePIE
Voce aggiunta il 1° maggio 2023 e aggiornata il 21 dicembre 2023
WebKit
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: l'elaborazione di un file potrebbe causare l'interruzione del servizio o la divulgazione di contenuti presenti in memoria.
Descrizione: il problema è stato risolto con controlli migliori.
WebKit Bugzilla: 249434
CVE-2014-1745: un ricercatore anonimo
Voce aggiunta il 21 dicembre 2023
WebKit PDF
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario
Descrizione: un problema di confusione dei tipi è stato risolto attraverso migliori controlli.
WebKit Bugzilla: 249169
CVE-2023-32358: anonimo in collaborazione con Zero Day Initiative di Trend Micro
Voce aggiunta il 1° agosto 2023
WebKit Web Inspector
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-28201: Dohyun Lee (@l33d0hyun), crixer (@pwning_me) di SSD Labs
Voce aggiunta il 1 maggio 2023
Altri riconoscimenti
Activation Lock
Ringraziamo Christian Mina per l'assistenza.
CFNetwork
Ringraziamo un ricercatore anonimo per l'assistenza.
Core Location
Ringraziamo IL, Diego Carvalho, Hamza Toğmuş, Liang Liu, Alex Tippets, WGM, Dennis, Dalton Gould, Alejandro Tejada Borges, Cosmin Iconaru, Chase Bigsby, Bikesh Bimali, Cal Rookard, Bashar Ajlani e Robert Kott per l'assistenza.
Voce aggiunta il 1 maggio 2023
CoreServices
Ringraziamo Mickey Jin (@patch1t) per l'assistenza.
file_cmds
Ringraziamo Lukas Zronek per l'assistenza.
Heimdal
Ringraziamo Evgeny Legerov di Intevydis per l'assistenza.
ImageIO
Ringraziamo Meysam Firouzi @R00tkitSMM per l'assistenza.
Kernel
Ringraziamo Tim Michaud (@TimGMichaud) di Moveworks.ai per l'assistenza.
Voce aggiunta il 16 luglio 2024
lldb
Ringraziamo James Duffy (mangoSecure) per l'assistenza.
Voce aggiunta il 1 maggio 2023
Ringraziamo Chen Zhang, Fabian Ising della FH Münster University of Applied Sciences, Damian Poddebniak della FH Münster University of Applied Sciences, Tobias Kappert della Münster University of Applied Sciences, Christoph Saatjohann della Münster University of Applied Sciences, Sebastian Schinzel della Münster University of Applied Sciences e Merlin Chlosta del CISPA Helmholtz Center for Information Security per l'assistenza.
Voce aggiornata il 1 maggio 2023
Messaggi
Ringraziamo Idriss Riouak, Anıl özdil e Gurusharan Singh per l'assistenza.
Voce aggiunta il 1 maggio 2023
Password Manager
Ringraziamo OCA Creations LLC e Sebastian S. Andersen per l'assistenza.
Voce aggiunta il 1 maggio 2023
Safari Downloads
Ringraziamo Andrew Gonzalez per l'assistenza.
Status Bar
Ringraziamo N e jiaxu li per l'assistenza.
Voce aggiornata il 21 dicembre 2023
Telephony
Ringraziamo CheolJun Park di KAIST SysSec Lab per l'assistenza.
WebKit
Ringraziamo un ricercatore anonimo per l'assistenza.
WebKit Web Inspector
Ringraziamo Dohyun Lee (@l33d0hyun) e crixer (@pwning_me) di SSD Labs per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.