Informazioni sui contenuti di sicurezza di iOS 13.2 e iPadOS 13.2
In questo documento vengono descritti i contenuti di sicurezza di iOS 13.2 e iPadOS 13.2.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
iOS 13.2 e iPadOS 13.2
Account
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: un utente malintenzionato collegato in remoto può causare una perdita di memoria.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-8787: Steffen Klee di Secure Mobile Networking Lab della Technische Universität Darmstadt
AirDrop
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: i trasferimenti AirDrop possono essere accettati in modo imprevisto con l'opzione di ricezione Tutti attiva.
Descrizione: un problema logico è stato risolto attraverso una migliore convalida.
CVE-2019-8796: Allison Husain della UC Berkeley
App Store
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: un utente malintenzionato locale può essere in grado di accedere all'account di un utente connesso in precedenza senza credenziali valide.
Descrizione: un problema di autenticazione è stato risolto attraverso una migliore gestione dello stato.
CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)
Domini associati
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: l'elaborazione non corretta degli URL potrebbe comportare l'esfiltrazione dei dati.
Descrizione: si verificava un problema durante l'analisi degli URL. Il problema è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-8788: Juha Lindstedt di Pakastin, Mirko Tanania, Rauli Rikama di Zero Keyboard Ltd
Audio
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8785: Ian Beer di Google Project Zero
CVE-2019-8797: 08Tc3wBB in collaborazione con SSD Secure Disclosure
AVEVideoEncoder
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8795: 08Tc3wBB in collaborazione con SSD Secure Disclosure
Libri
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: l'analisi di un file iBooks pericoloso può determinare la divulgazione delle informazioni utente
Descrizione: si verificava un problema di convalida nella gestione dei link simbolici. Questo problema è stato risolto attraverso una migliore convalida dei link simbolici.
CVE-2019-8789: Gertjan Franken di imec-DistriNet, KU Leuven
Contatti
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: l'elaborazione di un contatto dannoso può causare lo spoofing dell'interfaccia utente.
Descrizione: un problema di interfaccia utente non coerente è stato risolto con una migliore gestione dello stato.
CVE-2017-7152: Oliver Paukstadt di Thinking Objects GmbH (to.com)
Eventi File System
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8798: ABC Research s.r.o. in collaborazione con Zero Day Initiative di Trend Micro
Driver della scheda grafica
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8784: Vasiliy Vasilyev e Ilya Finogeev di Webinar, LLC
Kernel
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.
Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.
CVE-2019-8794: 08Tc3wBB in collaborazione con SSD Secure Disclosure
Kernel
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8786: Wen Xu di Georgia Tech, stagista presso Microsoft Offensive Security Research
Kernel
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: una vulnerabilità al danneggiamento della memoria è stata risolta mediante un blocco migliore.
CVE-2019-8829: Jann Horn di Google Project Zero
Impostazione Assistita
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: un utente malintenzionato in prossimità fisica può riuscire a forzare la connessione di un utente a una rete Wi-Fi dannosa durante l'impostazione del dispositivo.
Descrizione: è stata risolta un'incoerenza nelle impostazioni della configurazione della rete Wi-Fi.
CVE-2019-8804: Christy Philip Mathew di Zimperium, Inc
Registrazione schermo
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: un utente locale può riuscire a registrare i contenuti dello schermo senza che sia visualizzato un indicatore di registrazione dello schermo.
Descrizione: si verificava un problema di coerenza nella scelta dei casi in cui mostrare l'indicatore di registrazione dello schermo. Il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2019-8793: Ryan Jenkins di Lake Forrest Prep School
WebKit
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: l'elaborazione di contenuti web dannosi può causare il cross-site scripting universale.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2019-8813: un ricercatore anonimo
WebKit
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.
CVE-2019-8782: Cheolung Lee di LINE+ Security Team
CVE-2019-8783: Cheolung Lee di LINE+ Graylab Security Team
CVE-2019-8808: rilevato da OSS-Fuzz
CVE-2019-8811: Soyeon Park di SSLab presso Georgia Tech
CVE-2019-8812: JunDong Xie di Ant-financial Light-Year Security Lab
CVE-2019-8814: Cheolung Lee di LINE+ Security Team
CVE-2019-8816: Soyeon Park di SSLab presso Georgia Tech
CVE-2019-8819: Cheolung Lee di LINE+ Security Team
CVE-2019-8820: Samuel Groß di Google Project Zero
CVE-2019-8821: Sergei Glazunov di Google Project Zero
CVE-2019-8822: Sergei Glazunov di Google Project Zero
CVE-2019-8823: Sergei Glazunov di Google Project Zero
WebKit
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: l'accesso a un sito web pericoloso può rivelare i siti visitati da un utente.
Descrizione: l'intestazione di riferimento HTTP potrebbe essere utilizzata per divulgare la cronologia di navigazione. Il problema è stato risolto eseguendo il downgrade di tutti i riferimenti di terze parti alla propria origine.
CVE-2019-8827: Artur Janc, Krzysztof Kotowicz, Lukas Weichselbaum e Roberto Clapis di Google Security Team
Modello di processo WebKit
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.
CVE-2019-8815: Apple
Wi-Fi
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: un utente malintenzionato nel raggio di copertura del Wi-Fi potrebbe riuscire a visualizzare una piccola quantità di traffico di rete.
Descrizione: si verificava un problema logico nella gestione delle transizioni di stato. Il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2019-15126: Milos Cermak presso ESET
Altri riconoscimenti
CFNetwork
Ringraziamo Lily Chen di Google per l'assistenza.
Kernel
Ringraziamo Daniel Roethlisberger di Swisscom CSIRT e Jann Horn di Google Project Zero per l'assistenza.
WebKit
Ringraziamo Dlive dello Xuanwu Lab di Tencent e Zhiyi Zhang del Codesafe Team di Legendsec presso Qi'anxin Group per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.