Informazioni sui contenuti di sicurezza di iOS 17.2 e iPadOS 17.2
In questo documento vengono descritti i contenuti di sicurezza di iOS 17.2 e iPadOS 17.2.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle nuove versioni alla pagina Versioni di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
iOS 17.2 e iPadOS 17.2
Data di rilascio: 11 dicembre 2023
Accessibility
Disponibile per: iPhone XS e successivi, iPad Pro da 12,9 pollici 2a generazione e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici 1a generazione e successivi, iPad Air 3a generazione e successivi, iPad 6a generazione e successivi e iPad mini 5a generazione e successivi
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2023-42937: Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab)
Voce aggiunta il 22 gennaio 2024
Accounts
Disponibile per: iPhone XS e successivi, iPad Pro da 12,9 pollici 2a generazione e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici 1a generazione e successivi, iPad Air 3a generazione e successivi, iPad 6a generazione e successivi e iPad mini 5a generazione e successivi
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2023-42919: Kirin (@Pwnrin)
Assets
Disponibile per: iPhone XS e successivi, iPad Pro da 12,9 pollici 2a generazione e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici 1a generazione e successivi, iPad Air 3a generazione e successivi, iPad 6a generazione e successivi e iPad mini 5a generazione e successivi
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: un problema è stato risolto attraverso una migliore gestione dei file temporanei.
CVE-2023-42896: Mickey Jin (@patch1t)
Voce aggiunta il 22 marzo 2024
AVEVideoEncoder
Disponibile per: iPhone XS e successivi, iPad Pro da 12,9 pollici 2a generazione e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici 1a generazione e successivi, iPad Air 3a generazione e successivi, iPad 6a generazione e successivi e iPad mini 5a generazione e successivi
Impatto: un'app potrebbe rivelare la memoria kernel.
Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.
CVE-2023-42884: un ricercatore anonimo
Bluetooth
Disponibile per: iPhone XS e successivi, iPad Pro da 12,9 pollici 2a generazione e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici 1a generazione e successivi, iPad Air 3a generazione e successivi, iPad 6a generazione e successivi e iPad mini 5a generazione e successivi
Impatto: un utente malintenzionato con una posizione privilegiata nella rete potrebbe servirsi dello spoofing della tastiera per digitare tasti.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-45866: Marc Newlin of SkySafe
Voce aggiunta l'11 dicembre 2023
Bluetooth
Disponibile per: iPhone XS e successivi, iPad Pro da 12,9 pollici 2a generazione e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici 1a generazione e successivi, iPad Air 3a generazione e successivi, iPad 6a generazione e successivi e iPad mini 5a generazione e successivi
Impatto: un utente malintenzionato in una posizione privilegiata sulla rete potrebbe causare un'interruzione del servizio usando pacchetti Bluetooth modificati.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-42941: Christopher Reynolds
Voce aggiunta il 10 gennaio 2024
CallKit
Disponibile per: iPhone XS e successivi, iPad Pro da 12,9 pollici 2a generazione e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici 1a generazione e successivi, iPad Air 3a generazione e successivi, iPad 6a generazione e successivi e iPad mini 5a generazione e successivi
Impatto: un utente malintenzionato remoto può essere in grado di provocare un'interruzione del servizio.
Descrizione: il problema è stato risolto attraverso migliori controlli
CVE-2023-42962: Aymane Chabat
Voce aggiunta il 22 marzo 2024
Find My
Disponibile per: iPhone XS e successivi, iPad Pro da 12,9 pollici 2a generazione e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici 1a generazione e successivi, iPad Air 3a generazione e successivi, iPad 6a generazione e successivi e iPad mini 5a generazione e successivi
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.
CVE-2023-42922: Wojciech Regula di SecuRing (wojciechregula.blog)
ImageIO
Disponibile per: iPhone XS e successivi, iPad Pro da 12,9 pollici 2a generazione e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici 1a generazione e successivi, iPad Air 3a generazione e successivi, iPad 6a generazione e successivi e iPad mini 5a generazione e successivi
Impatto: l'elaborazione di un'immagine può causare l'esecuzione di un codice arbitrario.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-42898: Zhenjiang Zhao di Pangu Team, Qianxin e Junsung Lee
CVE-2023-42899: Meysam Firouzi @R00tkitSMM e Junsung Lee
Voce aggiornata il 22 marzo 2024
ImageIO
Disponibile per: iPhone XS e successivi, iPad Pro da 12,9 pollici 2a generazione e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici 1a generazione e successivi, iPad Air 3a generazione e successivi, iPad 6a generazione e successivi e iPad mini 5a generazione e successivi
Impatto: l'elaborazione di un'immagine dannosa potrebbe causare la divulgazione dei contenuti della memoria dei processi
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-42888: Michael DePlante (@izobashi) della Zero Day Initiative di Trend Micro
Voce aggiunta il 22 gennaio 2024
IOUSBDeviceFamily
Disponibile per: iPhone XS e successivi, iPad Pro da 12,9 pollici 2a generazione e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici 1a generazione e successivi, iPad Air 3a generazione e successivi, iPad 6a generazione e successivi e iPad mini 5a generazione e successivi
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: una race condition è stata risolta attraverso una migliore gestione dello stato.
CVE-2023-42974: Pan ZhenPeng (@Peterpan0927) di STAR Labs SG Pte. Ltd.
Voce aggiornata il 22 marzo 2024
Kernel
Disponibile per: iPhone XS e successivi, iPad Pro da 12,9 pollici 2a generazione e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici 1a generazione e successivi, iPad Air 3a generazione e successivi, iPad 6a generazione e successivi e iPad mini 5a generazione e successivi
Impatto: un'app potrebbe essere in grado di uscire dalla sandbox
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) di Synacktiv (@Synacktiv)
Libsystem
Disponibile per: iPhone XS e successivi, iPad Pro da 12,9 pollici 2a generazione e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici 1a generazione e successivi, iPad Air 3a generazione e successivi, iPad 6a generazione e successivi e iPad mini 5a generazione e successivi
Impatto: un'app potrebbe accedere ai dati protetti degli utenti.
Descrizione: un problema relativo ai permessi è stato risolto rimuovendo il codice vulnerabile e aggiungendo ulteriori controlli.
CVE-2023-42893
Voce aggiunta il 22 marzo 2024
Safari Private Browsing
Disponibile per: iPhone XS e successivi, iPad Pro da 12,9 pollici 2a generazione e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici 1a generazione e successivi, iPad Air 3a generazione e successivi, iPad 6a generazione e successivi e iPad mini 5a generazione e successivi
Impatto: potrebbero verificarsi accessi senza autenticazione alle schede di navigazione private.
Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-42923: ARJUN S D
Sandbox
Disponibile per: iPhone XS e successivi, iPad Pro da 12,9 pollici 2a generazione e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici 1a generazione e successivi, iPad Air 3a generazione e successivi, iPad 6a generazione e successivi e iPad mini 5a generazione e successivi
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.
CVE-2023-42936: Csaba Fitzl (@theevilbit) di OffSec
Voce aggiunta il 22 marzo 2024 e aggiornata il 16 luglio 2024
Siri
Disponibile per: iPhone XS e successivi, iPad Pro da 12,9 pollici 2a generazione e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici 1a generazione e successivi, iPad Air 3a generazione e successivi, iPad 6a generazione e successivi e iPad mini 5a generazione e successivi
Impatto: un utente malintenzionato con accesso fisico potrebbe essere in grado di usare Siri per accedere ai dati sensibili dell'utente
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-42897: Andrew Goldberg della The McCombs School of Business della University of Texas di Austin (linkedin.com/andrew-goldberg-/)
TCC
Disponibile per: iPhone XS e successivi, iPad Pro da 12,9 pollici 2a generazione e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici 1a generazione e successivi, iPad Air 3a generazione e successivi, iPad 6a generazione e successivi e iPad mini 5a generazione e successivi
Impatto: un'app potrebbe essere in grado di uscire dalla sandbox
Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.
CVE-2023-42947: Zhongquan Li (@Guluisacat) di Dawn Security Lab di JingDong
Voce aggiunta il 22 marzo 2024
Transparency
Disponibile per: iPhone XS e successivi, iPad Pro da 12,9 pollici 2a generazione e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici 1a generazione e successivi, iPad Air 3a generazione e successivi, iPad 6a generazione e successivi e iPad mini 5a generazione e successivi
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti
Descrizione: il problema è stato risolto attraverso una migliore restrizione dell'accesso al container dati.
CVE-2023-40389: Csaba Fitzl (@theevilbit) di Offensive Security e Joshua Jewett (@JoshJewett33)
Voce aggiunta il 16 luglio 2024
WebKit
Disponibile per: iPhone XS e successivi, iPad Pro da 12,9 pollici 2a generazione e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici 1a generazione e successivi, iPad Air 3a generazione e successivi, iPad 6a generazione e successivi e iPad mini 5a generazione e successivi
Impatto: l'elaborazione di contenuti web potrebbe causare l'esecuzione di codice arbitrario
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
WebKit Bugzilla: 259830
CVE-2023-42890: Pwn2car
WebKit
Disponibile per: iPhone XS e successivi, iPad Pro da 12,9 pollici 2a generazione e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici 1a generazione e successivi, iPad Air 3a generazione e successivi, iPad 6a generazione e successivi e iPad mini 5a generazione e successivi
Impatto: l'elaborazione di un'immagine potrebbe causare l'interruzione del servizio
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
WebKit Bugzilla: 263349
CVE-2023-42883: Offensive Security Team di Zoom
WebKit
Disponibile per: iPhone XS e successivi, iPad Pro da 12,9 pollici 2a generazione e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici 1a generazione e successivi, iPad Air 3a generazione e successivi, iPad 6a generazione e successivi e iPad mini 5a generazione e successivi
Impatto: l'elaborazione di contenuti web dannosi potrebbe causare l'esecuzione di codice arbitrario.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
WebKit Bugzilla: 263682
CVE-2023-42950: Nan Wang (@eternalsakura13) di 360 Vulnerability Research Institute e Rushikesh Nandedkar
Voce aggiunta il 22 marzo 2024
WebKit
Disponibile per: iPhone XS e successivi, iPad Pro da 12,9 pollici 2a generazione e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici 1a generazione e successivi, iPad Air 3a generazione e successivi, iPad 6a generazione e successivi e iPad mini 5a generazione e successivi
Impatto: l'elaborazione di contenuti web potrebbe causare l'interruzione del servizio
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
WebKit Bugzilla: 263989
CVE-2023-42956: SungKwon Lee (Demon.Team)
Voce aggiunta il 22 marzo 2024
Altri riconoscimenti
Safari Private Browsing
Ringraziamo Joshua Lund della Signal Technology Foundation e Iakovos Gurulian per l'assistenza.
Voce aggiornata il 22 marzo 2024
Setup Assistant
Ringraziamo Aaron Gregory della Acoustic.com e Eastern Illinois University – Graduate School of Technology per l'assistenza.
WebKit
Ringraziamo 椰椰 per l'assistenza.
WebSheet
Ringraziamo Paolo Ruggero di e-phors S.p.A. (A FINCANTIERI S.p.A. Company) per l'assistenza.
Voce aggiunta il 22 marzo 2024
Wi-Fi
Ringraziamo Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab) per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.