Informazioni sui contenuti di sicurezza di iOS 18 e iPadOS 18

In questo documento vengono descritti i contenuti di sicurezza di iOS 18 E iPadOS 18.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Le versioni recenti sono elencate nella pagina Versioni di sicurezza di Apple.

Quando possibile, i documenti sulla sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta la pagina Sicurezza dei prodotti Apple.

iOS 18 e iPadOS 18

Data di rilascio: 16 settembre 2024

Accessibility

Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: un utente malintenzionato con accesso fisico potrebbe essere in grado di usare Siri per accedere ai dati sensibili dell'utente.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2024-40840: Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology Bhopal India

Accessibility

Impatto: un'app potrebbe essere in grado di enumerare le app installate dall'utente.

Descrizione: il problema è stato risolto attraverso una migliore protezione dei dati.

CVE-2024-40830: Chloe Surett

Accessibility

Impatto: un utente malintenzionato con accesso fisico a un dispositivo bloccato può essere in grado di controllare i dispositivi vicini tramite le funzioni di accessibilità.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2024-44171: Jake Derouin

Accessibility

Impatto: un utente malintenzionato può essere in grado di visualizzare le foto recenti senza autenticazione usando Accesso assistito.

Descrizione: il problema è stato risolto limitando le opzioni offerte su un dispositivo bloccato.

CVE-2024-40852: Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology Bhopal India

Cellular

Impatto: un utente malintenzionato remoto può essere in grado di provocare un'interruzione del servizio.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2024-27874: Tuan D. Hoang

Compression

Impatto: l'estrazione di un archivio dannoso può consentire a un utente malintenzionato di scrivere file arbitrari.

Descrizione: una race condition è stata risolta attraverso un blocco migliore.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Control Center

Impatto: un'app può essere in grado di registrare lo schermo senza la presenza di un indicatore.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-27869: un ricercatore anonimo

Core Bluetooth

Impatto: un dispositivo di input Bluetooth dannoso può bypassare l'abbinamento.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2024-44124: Daniele Antonioli

FileProvider

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: il problema è stato risolto attraverso una migliore convalida dei link simbolici.

CVE-2024-44131: @08Tc3wBB di Jamf

Game Center

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: un problema di accesso ad alcuni file è stato risolto attraverso una migliore convalida dell'input.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Impatto: l'elaborazione di un file dannoso potrebbe causare la chiusura improvvisa dell'applicazione.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2024-27880: Junsung Lee

ImageIO

Impatto: l'elaborazione di un'immagine potrebbe causare l'interruzione del servizio

Descrizione: un problema di accesso non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2024-44176: dw0r di ZeroPointer Lab in collaborazione con Zero Day Initiative di Trend Micro e un ricercatore anonimo.

IOSurfaceAccelerator

Impatto: un'app potrebbe causare l'arresto improvviso del sistema.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2024-44169: Antonio Zekić

Kernel

Impatto: può verificarsi una fuoriuscita del traffico di rete al di fuori di un tunnel VPN.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2024-44165: Andrew Lytvynov

Kernel

Impatto: un'app potrebbe ottenere l'accesso non autorizzato al Bluetooth.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) e Mathy Vanhoef

libxml2

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: un problema di overflow dei numeri interi è stato risolto mediante una migliore convalida degli input.

CVE-2024-44198: OSS-Fuzz, Ned Williamson di Google Project Zero

Mail Accounts

Impatto: un'app potrebbe accedere alle informazioni sui contatti di un utente.

Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

mDNSResponder

Impatto: un'app potrebbe causare l'interruzione del servizio.

Descrizione: un problema logico è stato risolto con una migliore gestione dell'errore.

CVE-2024-44183: Olivier Levon

Model I/O

Impatto: l'elaborazione di un'immagine dannosa può causare l'interruzione del servizio.

Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.

CVE-2023-5841

NetworkExtension

Impatto: un'app potrebbe ottenere l'accesso non autorizzato alla rete locale.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2024-44147: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) e Mathy Vanhoef

Notes

Impatto: un'app potrebbe sovrascrivere i file arbitrari.

Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.

CVE-2024-44167: ajajfxhj

Printing

Impatto: un documento non crittografato può essere scritto in un file temporaneo durante l'utilizzo dell'anteprima di stampa.

Descrizione: un problema di privacy è stato risolto migliorando la gestione dei file.

CVE-2024-40826: un ricercatore anonimo

Safari Private Browsing

Impatto: potrebbero verificarsi accessi senza autenticazione alle schede di navigazione private.

Descrizione: un problema di autenticazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2024-44202: Kenneth Chew

Safari Private Browsing

Impatto: potrebbero verificarsi accessi senza autenticazione alle schede di navigazione private.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2024-44127: Anamika Adhikari

Sandbox

Impatto: un'app potrebbe divulgare informazioni sensibili degli utenti.

Descrizione: il problema è stato risolto attraverso una migliore protezione dei dati.

CVE-2024-40863: Csaba Fitzl (@theevilbit) di Offensive Security

Siri

Impatto: un utente malintenzionato che può accedere fisicamente potrebbe riuscire ad accedere ai contatti dal blocco schermo.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-44139: Srijan Poudel

CVE-2024-44180: Bistrit Dahal

Siri

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: un problema di privacy è stato risolto spostando i dati sensibili in una posizione più sicura.

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)

Transparency

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

UIKit

Impatto: un utente malintenzionato potrebbe causare la chiusura imprevista dell'app.

Descrizione: il problema è stato risolto con migliori controlli dei limiti.

CVE-2024-27879: Justin Cohen

WebKit

Impatto: l'elaborazione di contenuti web dannosi può causare il cross-site scripting universale.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

WebKit Bugzilla: 268724

CVE-2024-40857: Ron Masas

WebKit

Impatto: un sito web dannoso può consentire l'esfiltrazione multiorigine dei dati.

Descrizione: si verificava un problema multiorigine con gli elementi “iFrame”. è stato risolto attraverso un migliore monitoraggio delle origini di sicurezza.

WebKit Bugzilla: 279452

CVE-2024-44187: Narendra Bhati, Manager di Cyber Security presso Suma Soft Pvt. Ltd, Pune (India)

Wi-Fi

Impatto: un utente malintenzionato può essere in grado di forzare la disconnessione di un dispositivo da una rete protetta.

Descrizione: un problema di integrità è stato risolto attraverso Beacon Protection.

CVE-2024-40856: Domien Schepers

Altri riconoscimenti

Core Bluetooth

Ringraziamo Nicholas C. di Onymos Inc. (onymos.com) per l'assistenza.

Foundation

Ringraziamo Ostorlab per l'assistenza.

Installer

Ringraziamo Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology di Bhopal India, Christian Scalese, Ishan Boda, Shane Gallagher, Chi Yuan Chang di ZUSO ART e taikosoup per l'assistenza.

Kernel

Ringraziamo Braxton Anderson, Deutsche Telekom Security GmbH sponsorizzato da Bundesamt für Sicherheit in der Informationstechnik, Fakhri Zulkifli (@d0lph1n98) di PixiePoint Security per l'assistenza.

Magnifier

Ringraziamo Andr.Ess per l'assistenza.

Maps

Ringraziamo Kirin (@Pwnrin) per l'assistenza.

Messages

Ringraziamo Chi Yuan Chang di ZUSO ART e taikosoup per l'assistenza.

MobileLockdown

Ringraziamo Andr.Ess per l'assistenza.

Notifications

Ringraziamo un ricercatore anonimo per l'assistenza.

Password

Ringraziamo Richard Hyunho Im (@r1cheeta) per l'assistenza.

Photos

Ringraziamo Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology di Bhopal India, Harsh Tyagi, Kenneth Chew, Leandro Chaves, Saurabh Kumar del Technocrat Institute of Technology di Bhopal, Shibin B Shaji, Vishnu Prasad P G, UST, Yusuf Kelany per l'assistenza.

Safari

Ringraziamo Hafiizh e YoKo Kho (@yokoacc) di HakTrak, James Lee (@Windowsrcer) per l'assistenza.

Shortcuts

Ringraziamo Cristian Dinca della Tudor Vianu National High School of Computer Science, Romania, Jacob Braun e un ricercatore anonimo per l'assistenza.

Siri

Ringraziamo Rohan Paudel per l'assistenza.

Status Bar

Ringraziamo Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology Bhopal India e Jacob Braun per l'assistenza.

TCC

Ringraziamo Vaibhav Prajapati per l'assistenza.

UIKit

Ringraziamo Andr.Ess per l'assistenza.

Voice Memos

Ringraziamo Lisa B per l'assistenza.

WebKit

Ringraziamo Avi Lumelsky, Uri Katz, (Oligo Security), Johan Carlsson (joaxcar) per l'assistenza.

Wi-Fi

Ringraziamo Antonio Zekic (@antoniozekic) e ant4g0nist, Tim Michaud (@TimGMichaud) di Moveworks.ai per l'assistenza.

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: 20 settembre 2024