Informazioni sui contenuti di sicurezza di iOS 18.2 e iPadOS 18.2

In questo documento vengono descritti i contenuti di sicurezza di iOS 18.2 e iPadOS 18.2.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver effettuato un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle versioni più recenti alla pagina Versioni di sicurezza Apple.

Quando possibile, i documenti sulla sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consultare questo articolo sulla sicurezza dei prodotti Apple.

iOS 18.2 e iPadOS 18.2

Data di rilascio: 11 dicembre 2024

Accounts

Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: le foto appartenenti all'album delle foto nascoste potrebbero essere visualizzate senza autenticazione

Descrizione: un problema logico è stato risolto con una migliore gestione dei file.

CVE-2024-54488: Benjamin Hornbeck, Skadz (@skadz108), Chi Yuan Chang of ZUSO ART e taikosoup

Voce aggiunta il 27 gennaio 2025

APFS

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2024-54541: Arsenii Kostromin (0x3c3e) e un ricercatore anonimo

Voce aggiunta il 27 gennaio 2025

Apple Account

Impatto: un utente malintenzionato con una posizione privilegiata sulla rete può monitorare l'attività di un altro utente.

Descrizione: il problema è stato risolto attraverso una migliore gestione dei protocolli.

CVE-2024-40864: Wojciech Regula di SecuRing (wojciechregula.blog)

Voce aggiunta il 2 aprile 2025

AppleMobileFileIntegrity

Impatto: un'app dannosa potrebbe accedere a informazioni private

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-54526: Mickey Jin (@patch1t), Arsenii Kostromin (0x3c3e)

AppleMobileFileIntegrity

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2024-54527: Mickey Jin (@patch1t)

Audio

Impatto: la disattivazione dell'audio di una chiamata mentre il telefono sta squillando potrebbe non determinare l'effettiva disattivazione dell'audio

Descrizione: un problema di interfaccia utente non coerente è stato risolto con una migliore gestione dello stato.

CVE-2024-54503: Micheal Chukwu e un ricercatore anonimo

Contacts

Impatto: un'app potrebbe essere in grado di visualizzare le informazioni di contatto inserite automaticamente da Messaggi e Mail nei log di sistema.

Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.

CVE-2024-54550: Smi1e (@Smi1eSEC)

Voce aggiunta il 27 gennaio 2025

Crash Reporter

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2024-54513: un ricercatore anonimo

Face Gallery

Impatto: un binario di sistema potrebbe essere utilizzato per accedere all'Apple Account di un utente con l'impronta digitale

Descrizione: il problema è stato risolto rimuovendo i contrassegni pertinenti

CVE-2024-54512: Bistrit Dahal

Voce aggiunta il 27 gennaio 2025

FontParser

Impatto: l'elaborazione di un font dannoso può causare la divulgazione della memoria dei processi.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-54486: Hossein Lotfi (@hosselot) di Trend Micro Zero Day Initiative

ICU

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: un problema di accesso non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2024-54478: Gary Kwong

Voce aggiunta il 27 gennaio 2025

ImageIO

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2024-54499: anonimo in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiunta il 27 gennaio 2025

ImageIO

Impatto: l'elaborazione di un'immagine dannosa potrebbe causare la divulgazione dei contenuti della memoria dei processi.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-54500: Junsung Lee in collaborazione con Zero Day Initiative di Trend Micro

IOMobileFrameBuffer

Impatto: un'app potrebbe danneggiare la memoria del coprocessore.

Descrizione: il problema è stato risolto con migliori controlli dei limiti.

CVE-2024-54517: Ye Zhang (@VAR10CK) di Baidu Security

CVE-2024-54518: Ye Zhang (@VAR10CK) di Baidu Security

CVE-2024-54522: Ye Zhang (@VAR10CK) di Baidu Security

CVE-2024-54523: Ye Zhang (@VAR10CK) di Baidu Security

Voce aggiunta il 27 gennaio 2025

Kernel

Impatto: un'app potrebbe essere in grado di uscire dalla sandbox

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-54468: un ricercatore anonimo

Voce aggiunta il 27 gennaio 2025

Kernel

Impatto: un utente malintenzionato con privilegi utente potrebbe essere in grado di leggere la memoria del kernel

Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.

CVE-2024-54507: Joseph Ravichandran (@0xjprx) di MIT CSAIL

Voce aggiunta il 27 gennaio 2025

Kernel

Impatto: un utente malintenzionato può essere in grado di creare una mappatura di memoria di sola lettura che può essere scritta.

Descrizione: una race condition è stata risolta con un'ulteriore convalida.

CVE-2024-54494: sohybbyk

Kernel

Impatto: un'app potrebbe divulgare lo stato sensibile del kernel.

Descrizione: una race condition è stata risolta attraverso un blocco migliore.

CVE-2024-54510: Joseph Ravichandran (@0xjprx) di MIT CSAIL

Kernel

Impatto: un'app potrebbe causare l'arresto improvviso del sistema o danneggiare la memoria del kernel

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2024-44245: un ricercatore anonimo

libexpat

Impatto: un utente malintenzionato in remoto potrebbe causare la chiusura improvvisa di un'applicazione o l'esecuzione di codice arbitrario.

Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.

CVE-2024-45490

libxpc

Impatto: un'app potrebbe essere in grado di uscire dalla sandbox

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-54514: un ricercatore anonimo

libxpc

Impatto: un'app potrebbe riuscire ad acquisire privilegi elevati.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2024-44225: 风沐云烟(@binary_fmyy)

MobileBackup

Impatto: il ripristino di un file di backup dannoso potrebbe causare la modifica di file di sistema protetti.

Descrizione: un problema logico è stato risolto con una migliore gestione dei file.

CVE-2024-54525: Andrew James Gonzalez, Dragon Fruit Security (Davis Dai, ORAC 落云, Frank Du cooperative discovery)

Voce aggiunta il 17 marzo 2025

Passkeys

Impatto: Inserimento automatico password potrebbe immettere password anche dopo un'autenticazione fallita.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-54530: Abhay Kailasia (@abhay_kailasia) di C-DAC Thiruvananthapuram India, Rakeshkumar Talaviya, Tomomasa Hiraiwa

Voce aggiunta il 27 gennaio 2025 e aggiornata il 17 marzo 2025

Passwords

Impatto: un utente in una posizione privilegiata nella rete potrebbe divulgare informazioni sensibili

Descrizione: questo problema è stato risolto utilizzando HTTPS durante l'invio di informazioni sulla rete.

CVE-2024-44276: Talal Haj Bakry e Tommy Mysk di Mysk Inc. @mysk_co

Voce aggiunta il 17 marzo 2025

Passwords

Impatto: un malintenzionato in una posizione privilegiata sulla rete potrebbe modificare il traffico sulla rete.

Descrizione: questo problema è stato risolto utilizzando HTTPS durante l'invio di informazioni sulla rete.

CVE-2024-54492: Talal Haj Bakry e Tommy Mysk of Mysk Inc. (@mysk_co)

QuartzCore

Impatto: l'elaborazione di contenuti web potrebbe causare l'interruzione del servizio.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-54497: anonimo in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiunta il 27 gennaio 2025

Safari

Impatto: su un dispositivo su cui è abilitato il relay privato, l'aggiunta di un sito web all'elenco di lettura in Safari può rivelare l'indirizzo IP di origine del sito web.

Descrizione: il problema è stato risolto migliorando l'instradamento delle richieste originate da Safari.

CVE-2024-44246: Jacob Braun

Safari Private Browsing

Impatto: potrebbero verificarsi accessi senza autenticazione alle schede di navigazione private.

Descrizione: un problema di autenticazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2024-54542: Rei (@reizydev), Kenneth Chew

Voce aggiunta il 27 gennaio 2025

SceneKit

Impatto: l'elaborazione di un file dannoso può causare una negazione del servizio.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-54501: Michael DePlante (@izobashi) di Zero Day Initiative di Trend Micro

Vim

Impatto: l'elaborazione di un file dannoso può danneggiare la memoria heap.

CVE-2024-45306

Voce aggiunta il 27 gennaio 2025

VoiceOver

Impatto: un utente malintenzionato con accesso fisico a un dispositivo iOS può essere in grado di visualizzare il contenuto delle notifiche dal blocco schermo.

Descrizione: il problema è stato risolto mediante l'aggiunta di ulteriore logica.

CVE-2024-54485: Abhay Kailasia (@abhay_kailasia) di C-DAC Thiruvananthapuram India

WebKit

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: il problema è stato risolto con controlli migliori.

WebKit Bugzilla: 278497

CVE-2024-54479: Seunghyun Lee

WebKit Bugzilla: 281912

CVE-2024-54502: Brendon Tiszka di Google Project Zero

WebKit

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

WebKit Bugzilla: 282180

CVE-2024-54508: linjy di HKUS3Lab e chluo di WHUSecLab, Xiangwei Zhang di Tencent Security YUNDING LAB

WebKit

Impatto: l'elaborazione di contenuti web pericolosi può comportare il danneggiamento della memoria.

Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.

WebKit Bugzilla: 282661

CVE-2024-54505: Gary Kwong

WebKit

Impatto: l'elaborazione di contenuti web pericolosi può comportare il danneggiamento della memoria.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

WebKit Bugzilla: 277967

CVE-2024-54534: Tashita Software Security

WebKit Bugzilla: 282450

CVE-2024-54543: Lukas Bernhard, Gary Kwong e un ricercatore anonimo

Voce aggiornata il 27 gennaio 2025

Altri riconoscimenti

Accessibility

Ringraziamo Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology Bhopal India, Andr.Ess, Jake Derouin, Jason Gendron (@gendron_jason) per l'assistenza.

App Protection

Ringraziamo Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology Bhopal India per l'assistenza.

Bluetooth

Ringraziamo Sophie Winter per l'assistenza.

Voce aggiunta il 17 marzo 2025

Calendar

Ringraziamo Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology Bhopal India per l'assistenza.

Face Gallery

Ringraziamo Bistrit Dahal per l'assistenza.

Voce aggiunta il 17 marzo 2025

FaceTime

Ringraziamo 椰椰 per l'assistenza.

FaceTime Foundation

Ringraziamo Joshua Pellecchia per l'assistenza.

Family Sharing

Ringraziamo Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology Bhopal India, J T per l'assistenza.

Files

Ringraziamo Christian Scalese per l'assistenza.

Voce aggiunta il 27 gennaio 2025

MobileLockdown

Ringraziamo Tecno Service per l'assistenza.

Voce aggiunta il 17 marzo 2025

Notes

Ringraziamo Katzenfutter per l'assistenza.

Photos

Ringraziamo Bistrit Dahal, Chi Yuan Chang di ZUSO ART e taikosoup, Finlay James (@Finlay1010), Rizki Maulana (rmrizki.my.id), Srijan Poudel per l'assistenza.

Photos Storage

Ringraziamo Jake Derouin (jakederouin.com) per l'assistenza.

Proximity

Ringraziamo Junming C. (@Chapoly1305) e il Prof. Qiang Zeng della George Mason University per l'assistenza.

Quick Response

Ringraziamo un ricercatore anonimo per l'assistenza.

Safari

Ringraziamo Jayateertha Guruprasad per l'assistenza.

Safari Private Browsing

Ringraziamo Richard Hyunho Im (@richeeta) con Route Zero Security per l'assistenza.

Settings

Ringraziamo Akshith Muddasani, Bistrit Dahal, Emanuele Slusarz e Abhishek Kanaujia per l'assistenza.

Voce aggiornata il 27 gennaio 2025

Siri

Ringraziamo Srijan Poudel e Bistrit Dahal per l'assistenza.

Voce aggiornata il 27 gennaio 2025

Spotlight

Ringraziamo Abhay Kailasia (@abhay_kailasia) di LNCT Bhopal e C-DAC Thiruvananthapuram India per l'assistenza.

Status Bar

Ringraziamo Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology Bhopal India, Andr.Ess per l'assistenza.

Swift

Ringraziamo Marc Schoenefeld, Dr. rer. nat. per l'assistenza.

Time Zone

Ringraziamo Abhay Kailasia (@abhay_kailasia) di LNCT Bhopal e C-DAC Thiruvananthapuram India per l'assistenza.

WebKit

Ringraziamo Hafiizh per l'assistenza.

WindowServer

Ringraziamo Felix Kratz per l'assistenza.

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: 9 aprile 2025