Informazioni sui contenuti di sicurezza di iOS 12.2

In questo documento vengono descritti i contenuti di sicurezza di iOS 12.2.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle nuove versioni alla pagina Aggiornamenti di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, visita la pagina relativa alla sicurezza dei prodotti Apple.

iOS 12.2

Rilasciato il 25 marzo 2019

802.1X

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)

Impatto: un utente malintenzionato in una posizione privilegiata sulla rete può essere in grado di intercettare il traffico di rete.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-6203: Dominic White di SensePost (@singe)

Voce aggiunta il 15 aprile 2019

Account

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)

Impatto: l'elaborazione di un file vcf dannoso può causare un'interruzione del servizio.

Descrizione: un problema di interruzione del servizio è stato risolto attraverso una migliore convalida.

CVE-2019-8538: Trevor Spiniolas (@TrevorSpiniolas)

Voce aggiunta il 3 aprile 2019

CFString

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)

Impatto: l'elaborazione di una stringa dannosa può causare un'interruzione del servizio.

Descrizione: un problema di convalida è stato risolto attraverso una migliore logica.

CVE-2019-8516: SWIPS Team di Frifee Inc.

configd

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)

Impatto: un'applicazione dannosa potrebbe rendere più elevati i privilegi.

Descrizione: un problema di inizializzazione della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8552: Mohamed Ghannam (@_simo36)

Contatti

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)

Impatto: un'applicazione dannosa potrebbe rendere più elevati i privilegi.

Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8511: un ricercatore anonimo

CoreCrypto

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)

Impatto: un'applicazione dannosa potrebbe rendere più elevati i privilegi.

Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.

CVE-2019-8542: un ricercatore anonimo

Exchange ActiveSync

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)

Impatto: un utente potrebbe autorizzare un amministratore aziendale a cancellare da remoto i contenuti del dispositivo senza una divulgazione appropriata.

Descrizione: questo problema è stato risolto attraverso una migliore trasparenza.

CVE-2019-8512: un ricercatore anonimo, Dennis Munsie di Amazon.com

Voce aggiornata il 3 aprile 2019

FaceTime

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)

Impatto: il video di un utente non può essere messo in pausa in una chiamata FaceTime se l'utente esce dall'app FaceTime mentre la chiamata è in corso.

Descrizione: esisteva un problema nella pausa del video FaceTime. Questo problema è stato risolto attraverso una migliore logica.

CVE-2019-8550: Lauren Guzniczak di Keystone Academy

Feedback Assistant

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)

Impatto: un'applicazione pericolosa può essere in grado di ottenere privilegi root.

Descrizione: una race condition è stata risolta con un'ulteriore convalida.

CVE-2019-8565: CodeColorist di Ant-Financial LightYear Labs

Feedback Assistant

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)

Impatto: un'applicazione dannosa può sovrascrivere i file arbitrari.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2019-8521: CodeColorist di Ant-Financial LightYear Labs

file

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)

Impatto: l'elaborazione di un file dannoso potrebbe divulgare informazioni dell'utente.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2019-8906: Francisco Alonso

Voce aggiornata il 15 aprile 2019

GeoServices

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)

Impatto: facendo clic su un link SMS pericoloso si potrebbe causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.

CVE-2019-8553: un ricercatore anonimo

iAP

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)

Impatto: un'applicazione dannosa potrebbe rendere più elevati i privilegi.

Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.

CVE-2019-8542: un ricercatore anonimo

IOHIDFamily

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)

Impatto: un utente locale può causare l'arresto imprevisto del sistema o leggere la memoria del kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8545: Adam Donenfeld (@doadam) di Zimperium zLabs Team

IOKit

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)

Impatto: un utente locale può essere in grado di leggere la memoria del kernel.

Descrizione: un problema di inizializzazione della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8504: un ricercatore anonimo

IOKit SCSI

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8529: Juwei Lin (@panicaII) di Trend Micro Research in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiornata il 15 aprile 2019

Kernel

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)

Impatto: un utente malintenzionato collegato in remoto può causare l'arresto imprevisto del sistema o danneggiare la memoria del kernel.

Descrizione: un overflow del buffer è stato risolto attraverso una migliore convalida delle dimensioni.

CVE-2019-8527: Ned Williamson di Google e derrek (@derrekr6)

Kernel

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8528: Fabiano Anemone (@anoane), Zhao Qixun (@S0rryMybad) di Qihoo 360 Vulcan Team

Voce aggiunta il 3 aprile 2019

Kernel

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)

Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8514: Samuel Groß di Google Project Zero

Kernel

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)

Impatto: un'applicazione dannosa può essere in grado di determinare il layout della memoria del kernel.

Descrizione: un problema di inizializzazione della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8540: Weibo Wang (@ma1fan) di Qihoo 360 Nirvan Team

Kernel

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)

Impatto: un utente locale può essere in grado di leggere la memoria del kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-7293: Ned Williamson di Google

Kernel

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)

Impatto: un'applicazione dannosa può essere in grado di determinare il layout della memoria del kernel.

Descrizione: si verificava un problema di lettura non nei limiti che causava la divulgazione della memoria del kernel. Il problema è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-6207: Weibo Wang di Qihoo 360 Nirvan Team (@ma1fan)

CVE-2019-8510: Stefan Esser di Antid0te UG

Mail

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)

Impatto: l'elaborazione di un messaggio di posta dannoso può causare lo spoofing della firma S/MIME.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2019-7284: Damian Poddebniak della Münster University of Applied Sciences

Messaggi

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)

Impatto: un utente locale può essere in grado di visualizzare informazioni riservate degli utenti.

Descrizione: un problema di accesso è stato risolto attraverso ulteriori restrizioni della sandbox.

CVE-2019-8546: ChiYuan Chang

Gestione dell'energia

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)

Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi di sistema.

Descrizione: si verificavano diversi problemi di convalida di input nei codici generati da MIG. Questi problemi sono stati risolti con una migliore convalida.

CVE-2019-8549: Mohamed Ghannam (@_simo36) di SSD Secure Disclosure (ssd-disclosure.com)

Privacy

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)

Impatto: un'app dannosa può essere in grado di monitorare gli utenti tra le installazioni.

Descrizione: si verificava un problema di privacy nella calibrazione del sensore di movimento. Il problema è stato risolto attraverso una migliore elaborazione del sensore di movimento.

CVE-2019-8541: Stan (Jiexin) Zhang e Alastair R. Beresford della University of Cambridge e Ian Sheret di Polymath Insight Limited

ReplayKit

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)

Impatto: un'applicazione dannosa potrebbe accedere al microfono senza fornire indicazioni all'utente.

Descrizione: si verificava un problema con le API nella gestione dei dati del microfono. Il problema è stato risolto attraverso una migliore convalida.

CVE-2019-8566: un ricercatore anonimo

Safari

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)

Impatto: un sito web potrebbe riuscire ad accedere alle informazioni del sensore senza il consenso dell'utente.

Descrizione: esisteva un problema di autorizzazione nella gestione dei dati di movimento e orientamento, che è stato risolto attraverso migliori limitazioni.

CVE-2019-8554: un ricercatore anonimo

Reader di Safari

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)

Impatto: l'abilitazione della funzione Reader di Safari su una pagina web dannosa può comportare lo scripting cross-site universale.

Descrizione: un problema logico è stato risolto attraverso una migliore convalida.

CVE-2019-6204: Ryan Pickren (ryanpickren.com)

CVE-2019-8505: Ryan Pickren (ryanpickren.com)

Siri

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)

Impatto: un'applicazione dannosa può causare l'avvio di una richiesta di dettatura senza l'autorizzazione dell'utente.

Descrizione: si verificava un problema dell'API nella gestione delle richieste di dettatura. Il problema è stato risolto attraverso una migliore convalida.

CVE-2019-8502: Luke Deshotels della North Carolina State University, Jordan Beichler della North Carolina State University, William Enck della North Carolina State University, Costin Carabaş della University POLITEHNICA di Bucarest e Răzvan Deaconescu della University POLITEHNICA di Bucharest

TrueTypeScaler

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)

Impatto: l'elaborazione di un font dannoso può causare la divulgazione della memoria dei processi.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2019-8517: riusksk di VulWar Corp che collabora con Zero Day Initiative di Trend Micro

WebKit

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)

Impatto: l'elaborazione di contenuti web dannosi può causare cross-site scripting universale.

Descrizione: un problema logico è stato risolto attraverso una migliore convalida.

CVE-2019-8551: Ryan Pickren (ryanpickren.com)

WebKit

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8535: Zhiyang Zeng (@Wester) di Tencent Blade Team

WebKit

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.

CVE-2019-6201: dwfault in collaborazione con ADLab di Venustech

CVE-2019-8518: Samuel Groß di Google Project Zero

CVE-2019-8523: Apple

CVE-2019-8524: G. Geshev in collaborazione con Zero Day Initiative di Trend Micro

CVE-2019-8558: Samuel Groß di Google Project Zero

CVE-2019-8559: Apple

CVE-2019-8563: Apple

WebKit

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)

Impatto: un processo in sandbox può essere in grado di eludere le restrizioni della sandbox.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.

CVE-2019-8562: Wen Xu di SSLab presso il Georgia Tech e Hanqing Zhao di Chaitin Security Research Lab

WebKit

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)

Impatto: un sito web potrebbe riuscire ad accedere al microfono senza che venga mostrato l'indicatore di utilizzo del microfono.

Descrizione: un problema di coerenza stato risolto attraverso una migliore gestione dello stato.

CVE-2019-6222: Denis Markov di Resonance Software

WebKit

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)

Impatto: l'elaborazione di contenuti web pericolosi può divulgare informazioni sensibili dell'utente.

Descrizione: si verificava un problema multiorigine nell'API di recupero. Il problema è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8515: James Lee (@Windowsrcer)

WebKit

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8536: Apple

CVE-2019-8544: un ricercatore anonimo

WebKit

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-7285: dwfault in collaborazione con ADLab di Venustech

CVE-2019-8556: Apple

WebKit

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8506: Samuel Groß di Google Project Zero

WebKit

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)

Impatto: un sito web dannoso può consentire l'esecuzione di script nel contesto di un altro sito web.

Descrizione: un problema logico è stato risolto attraverso una migliore convalida.

CVE-2019-8503: Linus Särud di Detectify

WebKit

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)

Impatto: l'elaborazione di contenuti web pericolosi potrebbe causare la divulgazione della memoria dei processi.

Descrizione: un problema di convalida è stato risolto attraverso una migliore logica.

CVE-2019-7292: Zhunki e Zhiyi Zhang di 360 ESG Codesafe Team

Wi-Fi

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)

Impatto: un dispositivo può essere monitorato passivamente attraverso l'indirizzo MAC Wi-Fi.

Descrizione: un problema di privacy dell'utente è stato risolto rimuovendo l'indirizzo MAC di trasmissione.

CVE-2019-8567: David Kreitschmann e Milan Stute di Secure Mobile Networking Lab presso la Technische Universität Darmstadt

XPC

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione)

Impatto: un'applicazione dannosa può sovrascrivere i file arbitrari.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2019-8530: CodeColorist di Ant-Financial LightYear Labs

Altri riconoscimenti

Libri

Ringraziamo Yiğit Can YILMAZ (@yilmazcanyigit) per l'assistenza.

Calendario

Ringraziamo un ricercatore anonimo, Peter Hempsall fi 104days.com e Sascha Mogler di mogler.com per l'assistenza.

Kernel

Ringraziamo Brandon Azad di Google Project Zero per l'assistenza.

QuickLook

Ringraziamo Yiğit Can YILMAZ (@yilmazcanyigit) per l'assistenza.

Safari

Ringraziamo Nikhil Mittal (@c0d3G33k) di Payatu Labs (payatu.com) per l'assistenza.

Tempo di utilizzo

Ringraziamo Brandon Moore (@Brandonsecurity) per l'assistenza.

WebKit

Ringraziamo Andrey Kovalev di Yandex Security Team per l'assistenza.

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Data di pubblicazione: