Informazioni sui contenuti di sicurezza di iOS 12.2
In questo documento vengono descritti i contenuti di sicurezza di iOS 12.2.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
iOS 12.2
802.1X
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un utente malintenzionato in una posizione di rete privilegiata può essere in grado di intercettare il traffico di rete.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2019-6203: Dominic White di SensePost (@singe)
Account
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: l'elaborazione di un file vcf dannoso può causare una negazione del servizio.
Descrizione: un problema di negazione del servizio è stato risolto attraverso una migliore convalida.
CVE-2019-8538: Trevor Spiniolas (@TrevorSpiniolas)
CFString
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: l'elaborazione di una stringa dannosa può causare una negazione del servizio.
Descrizione: un problema di convalida è stato risolto attraverso una migliore logica.
CVE-2019-8516: SWIPS Team di Frifee Inc.
configd
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un'applicazione dannosa potrebbe elevare i privilegi.
Descrizione: un problema di inizializzazione della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8552: Mohamed Ghannam (@_simo36)
Contatti
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un'applicazione dannosa potrebbe elevare i privilegi.
Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8511: un ricercatore anonimo
CoreCrypto
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un'applicazione dannosa potrebbe elevare i privilegi.
Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.
CVE-2019-8542: un ricercatore anonimo
Exchange ActiveSync
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un utente potrebbe autorizzare un amministratore aziendale a cancellare da remoto i contenuti del dispositivo senza una divulgazione appropriata.
Descrizione: questo problema è stato risolto attraverso una migliore trasparenza.
CVE-2019-8512: un ricercatore anonimo, Dennis Munsie di Amazon.com
FaceTime
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: non è possibile mettere in pausa il video di un utente durante una chiamata FaceTime se l'utente esce dall'app FaceTime mentre viene emesso il tono di chiamata.
Descrizione: esisteva un problema nella pausa dei video FaceTime. Questo problema è stato risolto attraverso una migliore logica.
CVE-2019-8550: Lauren Guzniczak di Keystone Academy
Assistente Feedback
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un'applicazione pericolosa può essere in grado di ottenere privilegi root.
Descrizione: una race condition è stata risolta con un'ulteriore convalida.
CVE-2019-8565: CodeColorist di Ant-Financial LightYear Labs
Assistente Feedback
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un'applicazione dannosa può sovrascrivere file arbitrari.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2019-8521: CodeColorist di Ant-Financial LightYear Labs
file
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: l'elaborazione di un file dannoso potrebbe divulgare informazioni dell'utente.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2019-8906: Francisco Alonso
GeoServices
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: facendo clic su un link dannoso in un SMS si può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
CVE-2019-8553: un ricercatore anonimo
iAP
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un'applicazione dannosa potrebbe elevare i privilegi.
Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.
CVE-2019-8542: un ricercatore anonimo
IOHIDFamily
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un utente locale può causare l'arresto imprevisto del sistema o leggere la memoria del kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2019-8545: Adam Donenfeld (@doadam) di Zimperium zLabs Team
IOKit
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un utente locale può essere in grado di leggere la memoria del kernel.
Descrizione: un problema di inizializzazione della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8504: un ricercatore anonimo
IOKit SCSI
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-8529: Juwei Lin (@panicaII) di Trend Micro Research in collaborazione con Zero Day Initiative di Trend Micro
Kernel
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un utente malintenzionato remoto può essere in grado di modificare i dati sul traffico di rete
Descrizione: si verificava un problema di danneggiamento della memoria nella gestione dei pacchetti IPv6 che è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-5608: Apple
Kernel
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un utente malintenzionato remoto può causare una perdita di memoria.
Descrizione: si verificava un problema di lettura non nei limiti che causava la divulgazione della memoria del kernel. Il problema è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-8547: derrek (@derrekr6)
Kernel
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2019-8525: Zhuo Liang e shrek_wzw del Nirvan Team di Qihoo 360
Kernel
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un utente malintenzionato remoto può causare l'arresto imprevisto del sistema o danneggiare la memoria del kernel.
Descrizione: un overflow del buffer è stato risolto attraverso una migliore convalida delle dimensioni.
CVE-2019-8527: Ned Williamson di Google e derrek (@derrekr6)
Kernel
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8528: Fabiano Anemone (@anoane), Zhao Qixun (@S0rryMybad) del Vulcan Team di Qihoo 360
Kernel
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2019-8514: Samuel Groß di Google Project Zero
Kernel
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un'applicazione dannosa può essere in grado di determinare il layout della memoria del kernel.
Descrizione: un problema di inizializzazione della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8540: Weibo Wang (@ma1fan) del Nirvan Team di Qihoo 360
Kernel
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un utente locale può essere in grado di leggere la memoria del kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-7293: Ned Williamson di Google
Kernel
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un'applicazione dannosa può essere in grado di determinare il layout della memoria del kernel.
Descrizione: si verificava un problema di lettura non nei limiti che causava la divulgazione della memoria del kernel. Il problema è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-6207: Weibo Wang del Nirvan Team di Qihoo 360(@ma1fan)
CVE-2019-8510: Stefan Esser di Antid0te UG
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: l'elaborazione di un messaggio di posta dannoso può causare lo spoofing della firma S/MIME.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2019-7284: Damian Poddebniak della Münster University of Applied Sciences
MediaLibrary
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un'applicazione dannosa può accedere a file con restrizioni.
Descrizione: un problema relativo ai permessi è stato risolto rimuovendo il codice vulnerabile e aggiungendo ulteriori controlli.
CVE-2019-8532: Angel Ramirez, Min (Spark) Zheng e Xiaolong Bai di Alibaba Inc.
Messaggi
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un utente locale può essere in grado di visualizzare informazioni riservate degli utenti.
Descrizione: un problema di accesso è stato risolto attraverso ulteriori restrizioni della sandbox.
CVE-2019-8546: ChiYuan Chang
Gestione dell'energia
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verificavano diversi problemi di convalida dell'input nel codice generato da MIG. Questi problemi sono stati risolti con una migliore convalida.
CVE-2019-8549: Mohamed Ghannam (@_simo36) di SSD Secure Disclosure (ssd-disclosure.com)
Privacy
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un'app dannosa può essere in grado di monitorare gli utenti tra le installazioni.
Descrizione: era presente un problema di privacy nella calibrazione del sensore di movimento. Il problema è stato risolto attraverso una migliore elaborazione del sensore di movimento.
CVE-2019-8541: Stan (Jiexin) Zhang e Alastair R. Beresford della University of Cambridge e Ian Sheret di Polymath Insight Limited
ReplayKit
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un'applicazione dannosa potrebbe accedere al microfono senza fornire indicazioni all'utente.
Descrizione: si verificava un problema dell'API nella gestione dei dati del microfono. Il problema è stato risolto attraverso una migliore convalida.
CVE-2019-8566: un ricercatore anonimo
Safari
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un sito web può essere in grado di accedere alle informazioni del sensore senza il consenso dell'utente.
Descrizione: esisteva un problema di autorizzazione nella gestione dei dati di movimento e orientamento che è stato risolto attraverso migliori limitazioni.
CVE-2019-8554: un ricercatore anonimo
Reader di Safari
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: l'abilitazione della funzione Reader di Safari su una pagina web dannosa può causare il cross-site scripting universale.
Descrizione: un problema logico è stato risolto attraverso una migliore convalida.
CVE-2019-6204: Ryan Pickren (ryanpickren.com)
CVE-2019-8505: Ryan Pickren (ryanpickren.com)
Sandbox
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un processo sandbox può essere in grado di eludere le restrizioni della sandbox.
Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.
CVE-2019-8618: Brandon Azad
Sicurezza
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un certificato non attendibile di un server RADIUS può risultare attendibile.
Descrizione: si verificava un problema di convalida in Trust Anchor Management. Il problema è stato risolto attraverso una migliore convalida.
CVE-2019-8531: un ricercatore anonimo, QA team di SecureW2
Siri
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un'applicazione dannosa può causare l'avvio di una richiesta di dettatura senza l'autorizzazione dell'utente.
Descrizione: si verificava un problema dell'API nella gestione delle richieste di dettatura. Il problema è stato risolto attraverso una migliore convalida.
CVE-2019-8502: Luke Deshotels della North Carolina State University, Jordan Beichler della North Carolina State University, William Enck della North Carolina State University, Costin Carabaş dell'Università POLITEHNICA di Bucarest e Răzvan Deaconescu dell'Università POLITEHNICA di Bucarest
TrueTypeScaler
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: l'elaborazione di un font dannoso può causare la divulgazione della memoria dei processi.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2019-8517: riusksk di VulWar Corp in collaborazione con Zero Day Initiative di Trend Micro
WebKit
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: l'elaborazione di contenuti web dannosi può causare il cross-site scripting universale.
Descrizione: un problema logico è stato risolto attraverso una migliore convalida.
CVE-2019-8551: Ryan Pickren (ryanpickren.com)
WebKit
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2019-8535: Zhiyang Zeng (@Wester) di Tencent Blade Team
WebKit
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.
CVE-2019-6201: dwfault in collaborazione con ADLab di Venustech
CVE-2019-8518: Samuel Groß di Google Project Zero
CVE-2019-8523: Apple
CVE-2019-8524: G. Geshev in collaborazione con Zero Day Initiative di Trend Micro
CVE-2019-8558: Samuel Groß di Google Project Zero
CVE-2019-8559: Apple
CVE-2019-8563: Apple
CVE-2019-8638: rilevato da OSS-Fuzz
CVE-2019-8639: rilevato da OSS-Fuzz
WebKit
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un processo sandbox può essere in grado di eludere le restrizioni della sandbox.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
CVE-2019-8562: Wen Xu dell'SSLab del Georgia Tech e Hanqing Zhao del Chaitin Security Research Lab
WebKit
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un sito web potrebbe riuscire ad accedere al microfono senza che venga mostrato l'indicatore di utilizzo del microfono.
Descrizione: un problema di coerenza è stato risolto attraverso una migliore gestione dello stato.
CVE-2019-6222: Denis Markov di Resonance Software
WebKit
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: l'elaborazione di contenuti web dannosi può divulgare informazioni sensibili dell'utente.
Descrizione: si verificava un problema multiorigine nell'API di recupero. Il problema è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-8515: James Lee (@Windowsrcer)
WebKit
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8536: Apple
CVE-2019-8544: un ricercatore anonimo
WebKit
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-7285: dwfault in collaborazione con ADLab di Venustech
CVE-2019-8556: Apple
WebKit
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8506: Samuel Groß di Google Project Zero
WebKit
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un sito web dannoso può consentire l'esecuzione di script nel contesto di un altro sito web.
Descrizione: un problema logico è stato risolto attraverso una migliore convalida.
CVE-2019-8503: Linus Särud di Detectify
WebKit
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: l'elaborazione di contenuti web dannosi può causare la divulgazione della memoria dei processi.
Descrizione: un problema di convalida è stato risolto attraverso una migliore logica.
CVE-2019-7292: Zhunki e Zhiyi Zhang di 360 ESG Codesafe Team
Wi-Fi
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un dispositivo può essere monitorato passivamente attraverso l'indirizzo MAC Wi-Fi.
Descrizione: un problema di privacy dell'utente è stato risolto rimuovendo l'indirizzo MAC broadcast.
CVE-2019-8567: David Kreitschmann e Milan Stute del Secure Mobile Networking Lab della Technische Universität Darmstadt
XPC
Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)
Impatto: un'applicazione dannosa può sovrascrivere file arbitrari.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2019-8530: CodeColorist di Ant-Financial LightYear Labs
Altri riconoscimenti
Account
Ringraziamo Milan Stute del Secure Mobile Networking Lab della Technische Universität Darmstadt per l'assistenza.
Libri
Ringraziamo Yiğit Can YILMAZ (@yilmazcanyigit) per l'assistenza.
Calendario
Ringraziamo un ricercatore anonimo, Peter Hempsall di 104days.com e Sascha Mogler di mogler.com per l'assistenza.
Kernel
Ringraziamo Brandon Azad, Raz Mashat (@RazMashat) della Ilan Ramon High School, Brandon Azad di Google Project Zero per l'assistenza.
Visualizzazione rapida
Ringraziamo Yiğit Can YILMAZ (@yilmazcanyigit) per l'assistenza.
Safari
Ringraziamo Nikhil Mittal (@c0d3G33k) di Payatu Labs (payatu.com), Ryan Pickren (ryanpickren.com) per l'assistenza.
Registrazione schermo
Ringraziamo Brandon Moore (@Brandonsecurity) per l'assistenza.
Tempo di utilizzo
Ringraziamo Brandon Moore (@Brandonsecurity) per l'assistenza.
WebKit
Ringraziamo Andrey Kovalev di Yandex Security Team, David House di Kaiser Permanente e Radha Patnayakuni di Salesforce per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.