Informazioni sui contenuti di sicurezza di iOS 18 e iPadOS 18
In questo documento vengono descritti i contenuti di sicurezza di iOS 18 E iPadOS 18.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Le versioni recenti sono elencate nella pagina Versioni di sicurezza di Apple.
Quando possibile, i documenti sulla sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta la pagina Sicurezza dei prodotti Apple.
iOS 18 e iPadOS 18
Data di rilascio: 16 settembre 2024
Accessibility
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: un utente malintenzionato con accesso fisico potrebbe essere in grado di usare Siri per accedere ai dati sensibili dell'utente.
Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2024-40840: Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology Bhopal India
Accessibility
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: un'app potrebbe essere in grado di enumerare le app installate dall'utente.
Descrizione: il problema è stato risolto attraverso una migliore protezione dei dati.
CVE-2024-40830: Chloe Surett
Accessibility
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: un utente malintenzionato con accesso fisico a un dispositivo bloccato può essere in grado di controllare i dispositivi vicini tramite le funzioni di accessibilità.
Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2024-44171: Jake Derouin
Accessibility
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: un utente malintenzionato può essere in grado di visualizzare le foto recenti senza autenticazione usando Accesso assistito.
Descrizione: il problema è stato risolto limitando le opzioni offerte su un dispositivo bloccato.
CVE-2024-40852: Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology Bhopal India
Cellular
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: un utente malintenzionato remoto può essere in grado di provocare un'interruzione del servizio.
Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2024-27874: Tuan D. Hoang
Compression
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: l'estrazione di un archivio dannoso può consentire a un utente malintenzionato di scrivere file arbitrari.
Descrizione: una race condition è stata risolta attraverso un blocco migliore.
CVE-2024-27876: Snoolie Keffaber (@0xilis)
Control Center
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: un'app può essere in grado di registrare lo schermo senza la presenza di un indicatore.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2024-27869: un ricercatore anonimo
Core Bluetooth
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: un dispositivo di input Bluetooth dannoso può bypassare l'abbinamento.
Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2024-44124: Daniele Antonioli
FileProvider
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti
Descrizione: il problema è stato risolto attraverso una migliore convalida dei link simbolici.
CVE-2024-44131: @08Tc3wBB di Jamf
Game Center
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: un problema di accesso ad alcuni file è stato risolto attraverso una migliore convalida dell'input.
CVE-2024-40850: Denis Tokarev (@illusionofcha0s)
ImageIO
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: l'elaborazione di un file dannoso potrebbe causare la chiusura improvvisa dell'applicazione.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2024-27880: Junsung Lee
ImageIO
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: l'elaborazione di un'immagine potrebbe causare l'interruzione del servizio
Descrizione: un problema di accesso non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2024-44176: dw0r di ZeroPointer Lab in collaborazione con Zero Day Initiative di Trend Micro e un ricercatore anonimo.
IOSurfaceAccelerator
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: un'app potrebbe causare l'arresto improvviso del sistema.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2024-44169: Antonio Zekić
Kernel
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: può verificarsi una fuoriuscita del traffico di rete al di fuori di un tunnel VPN.
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2024-44165: Andrew Lytvynov
Kernel
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: un'app potrebbe ottenere l'accesso non autorizzato al Bluetooth.
Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) e Mathy Vanhoef
libxml2
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.
Descrizione: un problema di overflow dei numeri interi è stato risolto mediante una migliore convalida degli input.
CVE-2024-44198: OSS-Fuzz, Ned Williamson di Google Project Zero
Mail Accounts
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: un'app potrebbe accedere alle informazioni sui contatti di un utente.
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)
mDNSResponder
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: un'app potrebbe causare l'interruzione del servizio.
Descrizione: un problema logico è stato risolto con una migliore gestione dell'errore.
CVE-2024-44183: Olivier Levon
Model I/O
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: l'elaborazione di un'immagine dannosa può causare l'interruzione del servizio.
Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.
CVE-2023-5841
NetworkExtension
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: un'app potrebbe ottenere l'accesso non autorizzato alla rete locale.
Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2024-44147: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) e Mathy Vanhoef
Notes
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: un'app potrebbe sovrascrivere i file arbitrari.
Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.
CVE-2024-44167: ajajfxhj
Printing
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: un documento non crittografato può essere scritto in un file temporaneo durante l'utilizzo dell'anteprima di stampa.
Descrizione: un problema di privacy è stato risolto migliorando la gestione dei file.
CVE-2024-40826: un ricercatore anonimo
Safari Private Browsing
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: potrebbero verificarsi accessi senza autenticazione alle schede di navigazione private.
Descrizione: un problema di autenticazione è stato risolto attraverso una migliore gestione dello stato.
CVE-2024-44202: Kenneth Chew
Safari Private Browsing
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: potrebbero verificarsi accessi senza autenticazione alle schede di navigazione private.
Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2024-44127: Anamika Adhikari
Sandbox
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: un'app potrebbe divulgare informazioni sensibili degli utenti.
Descrizione: il problema è stato risolto attraverso una migliore protezione dei dati.
CVE-2024-40863: Csaba Fitzl (@theevilbit) di Offensive Security
Siri
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: un utente malintenzionato che può accedere fisicamente potrebbe riuscire ad accedere ai contatti dal blocco schermo.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2024-44139: Srijan Poudel
CVE-2024-44180: Bistrit Dahal
Siri
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: un problema di privacy è stato risolto spostando i dati sensibili in una posizione più sicura.
CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)
Transparency
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.
CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)
UIKit
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: un utente malintenzionato potrebbe causare la chiusura imprevista dell'app.
Descrizione: il problema è stato risolto con migliori controlli dei limiti.
CVE-2024-27879: Justin Cohen
WebKit
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: l'elaborazione di contenuti web dannosi può causare il cross-site scripting universale.
Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.
WebKit Bugzilla: 268724
CVE-2024-40857: Ron Masas
WebKit
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: un sito web dannoso può consentire l'esfiltrazione multiorigine dei dati.
Descrizione: si verificava un problema multiorigine con gli elementi “iFrame”. è stato risolto attraverso un migliore monitoraggio delle origini di sicurezza.
WebKit Bugzilla: 279452
CVE-2024-44187: Narendra Bhati, Manager di Cyber Security presso Suma Soft Pvt. Ltd, Pune (India)
Wi-Fi
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: un utente malintenzionato può essere in grado di forzare la disconnessione di un dispositivo da una rete protetta.
Descrizione: un problema di integrità è stato risolto attraverso Beacon Protection.
CVE-2024-40856: Domien Schepers
Altri riconoscimenti
Core Bluetooth
Ringraziamo Nicholas C. di Onymos Inc. (onymos.com) per l'assistenza.
Foundation
Ringraziamo Ostorlab per l'assistenza.
Installer
Ringraziamo Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology di Bhopal India, Christian Scalese, Ishan Boda, Shane Gallagher, Chi Yuan Chang di ZUSO ART e taikosoup per l'assistenza.
Kernel
Ringraziamo Braxton Anderson, Deutsche Telekom Security GmbH sponsorizzato da Bundesamt für Sicherheit in der Informationstechnik, Fakhri Zulkifli (@d0lph1n98) di PixiePoint Security per l'assistenza.
Magnifier
Ringraziamo Andr.Ess per l'assistenza.
Maps
Ringraziamo Kirin (@Pwnrin) per l'assistenza.
Messages
Ringraziamo Chi Yuan Chang di ZUSO ART e taikosoup per l'assistenza.
MobileLockdown
Ringraziamo Andr.Ess per l'assistenza.
Notifications
Ringraziamo un ricercatore anonimo per l'assistenza.
Password
Ringraziamo Richard Hyunho Im (@r1cheeta) per l'assistenza.
Photos
Ringraziamo Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology di Bhopal India, Harsh Tyagi, Kenneth Chew, Leandro Chaves, Saurabh Kumar del Technocrat Institute of Technology di Bhopal, Shibin B Shaji, Vishnu Prasad P G, UST, Yusuf Kelany per l'assistenza.
Safari
Ringraziamo Hafiizh e YoKo Kho (@yokoacc) di HakTrak, James Lee (@Windowsrcer) per l'assistenza.
Shortcuts
Ringraziamo Cristian Dinca della Tudor Vianu National High School of Computer Science, Romania, Jacob Braun e un ricercatore anonimo per l'assistenza.
Siri
Ringraziamo Rohan Paudel per l'assistenza.
Status Bar
Ringraziamo Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology Bhopal India e Jacob Braun per l'assistenza.
TCC
Ringraziamo Vaibhav Prajapati per l'assistenza.
UIKit
Ringraziamo Andr.Ess per l'assistenza.
Voice Memos
Ringraziamo Lisa B per l'assistenza.
WebKit
Ringraziamo Avi Lumelsky, Uri Katz, (Oligo Security), Johan Carlsson (joaxcar) per l'assistenza.
Wi-Fi
Ringraziamo Antonio Zekic (@antoniozekic) e ant4g0nist, Tim Michaud (@TimGMichaud) di Moveworks.ai per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.