Informazioni sui contenuti di sicurezza di iOS 13.3 e iPadOS 13.3
In questo documento vengono descritti i contenuti di sicurezza di iOS 13.3 e iPadOS 13.3.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
iOS 13.3 e iPadOS 13.3
CallKit
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: le chiamate effettuate con Siri potrebbero essere avviate usando il piano cellulare sbagliato sui dispositivi con due piani attivi.
Descrizione: si verificava un problema dell'API nella gestione delle chiamate in uscita avviate con Siri. Il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2019-8856: Fabrice TERRANCLE di TERRANCLE SARL
CFNetwork
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: un utente malintenzionato in una posizione di rete privilegiata potrebbe riuscire a bypassare il protocollo HSTS per un numero limitato di specifici domini di primo livello precedentemente non presenti nell'elenco di precaricamento HSTS.
Descrizione: un problema di configurazione è stato risolto attraverso restrizioni aggiuntive.
CVE-2019-8834: Rob Sayre (@sayrer)
Proxy CFNetwork
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2019-8848: Zhuo Liang del Vulcan Team di Qihoo 360
FaceTime
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: l'elaborazione di video dannosi su FaceTime può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-8830: natashenka di Google Project Zero
IOSurfaceAccelerator
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di divulgazione delle informazioni è stato risolto rimuovendo il codice vulnerabile.
CVE-2019-8841: Corellium
Kernel
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso la rimozione del codice vulnerabile.
CVE-2019-8833: Ian Beer di Google Project Zero
Kernel
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8828: Cim Stordal di Cognite
CVE-2019-8838: Dr. Silvio Cesare di InfoSect
libexpat
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: l'analisi di un file XML pericoloso può determinare la divulgazione delle informazioni utente.
Descrizione: il problema è stato risolto con l'aggiornamento di expat alla versione 2.2.8.
CVE-2019-15903: Joonun Jang
libpcap
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: diversi problemi presenti in libpcap.
Descrizione: diversi problemi sono stati risolti con l'aggiornamento di libpcap alla versione 1.9.1.
CVE-2019-15161
CVE-2019-15162
CVE-2019-15163
CVE-2019-15164
CVE-2019-15165
Foto
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: i dati audio e video di Live Photo possono essere condivisi tramite collegamenti iCloud anche se Live Photo è disabilitato nelle opzioni disponibili del foglio di condivisione
Descrizione: il problema è stato risolto attraverso una migliore convalida quando viene creato un collegamento di iCloud.
CVE-2019-8857: Tor Bruce
Sicurezza
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8832: Insu Yun di SSLab del Georgia Tech
WebKit
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: l'accesso a un sito web dannoso può rivelare i siti visitati da un utente.
Descrizione: si verificava un problema di divulgazione di informazioni nella gestione dell'API di accesso alle risorse di archiviazione. Questo problema è stato risolto attraverso una migliore logica.
CVE-2019-8898: Michael Kleber di Google
WebKit
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.
CVE-2019-8835: anonimo in collaborazione con Zero Day Initiative di Trend Micro, Mike Zhang di Pangu Team
CVE-2019-8844: William Bowling (@wcbowling)
WebKit
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8846: Marcin Towalski di Cisco Talos
Altri riconoscimenti
Account
Ringraziamo Allison Husain della UC Berkeley, Kishan Bagaria (KishanBagaria.com), Tom Snelling della Loughborough University per l'assistenza.
Core Data
Ringraziamo natashenka di Google Project Zero per l'assistenza.
Impostazioni
Ringraziamo un ricercatore anonimo per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.