Informazioni sui contenuti di sicurezza di iOS 12.4

In questo documento vengono descritti i contenuti di sicurezza di iOS 12.4.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle nuove versioni alla pagina Aggiornamenti di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, visita la pagina relativa alla sicurezza dei prodotti Apple.

iOS 12.4

Data di rilascio: 22 luglio 2019

Bluetooth

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione) e modelli successivi

Impatto: un utente malintenzionato in una posizione di rete privilegiata può essere in grado di intercettare il traffico Bluetooth (Key Negotiation of Bluetooth - KNOB).

Descrizione: esisteva un problema di convalida dell'input relativo al Bluetooth. Il problema è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-9506: Daniele Antonioli di SUTD, Singapore, Dr. Nils Ole Tippenhauer di CISPA, Germania, e Prof. Kasper Rasmussen della University of Oxford, Inghilterra

Voce aggiunta il 13 agosto 2019

Core Data

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione) e modelli successivi

Impatto: un utente malintenzionato collegato in remoto può causare una perdita di memoria.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8646: Natalie Silvanovich di Google Project Zero

Core Data

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione) e modelli successivi

Impatto: un utente malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8647: Samuel Groß e Natalie Silvanovich di Google Project Zero

Core Data

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione) e modelli successivi

Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8660: Samuel Groß e Natalie Silvanovich di Google Project Zero

FaceTime

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione) e modelli successivi

Impatto: un utente malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8648: Tao Huang e Tielei Wang di Team Pangu

Trovati nelle app

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione) e modelli successivi

Impatto: un utente malintenzionato collegato in remoto può causare una perdita di memoria.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2019-8663: Natalie Silvanovich di Google Project Zero

Foundation

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione) e modelli successivi

Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8641: Samuel Groß e Natalie Silvanovich di Google Project Zero

Heimdal

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione) e modelli successivi

Impatto: un problema in Samba può consentire a utenti malintenzionati di eseguire azioni non autorizzate intercettando le comunicazioni tra i servizi.

Descrizione: questo problema è stato risolto attraverso migliori controlli in modo da evitare azioni non autorizzate.

CVE-2018-16860: Isaac Boukris e Andrew Bartlett di Samba Team e Catalyst

libxslt

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione) e modelli successivi

Impatto: un utente malintenzionato collegato in remoto può essere in grado di visualizzare dati sensibili.

Descrizione: un overflow dello stack è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-13118: rilevato da OSS-Fuzz

Messaggi

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione) e modelli successivi

Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione.

Descrizione: un problema di interruzione del servizio è stato risolto attraverso una migliore convalida.

CVE-2019-8665: Michael Hernandez di XYZ Marketing

Profili

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione) e modelli successivi

Impatto: un'applicazione dannosa può limitare l'accesso ai siti web.

Descrizione: si verificava un problema di convalida nella verifica delle autorizzazioni, che è stato risolto con una migliore convalida delle autorizzazioni del processo.

CVE-2019-8698: Luke Deshotels, Jordan Beichler e William Enck della North Carolina State University; Costin Carabaș e Răzvan Deaconescu dell'Università Politehnica di Bucarest

QuickLook

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione) e modelli successivi

Impatto: un utente malintenzionato può attivare una vulnerabilità use-after-free in un'applicazione deserializzando un NSDictionary non attendibile.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2019-8662: Natalie Silvanovich e Samuel Groß di Google Project Zero

Siri

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione) e modelli successivi

Impatto: un utente malintenzionato collegato in remoto può causare una perdita di memoria.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8646: Natalie Silvanovich di Google Project Zero

Telefonia

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione) e modelli successivi

Impatto: l'utente che avvia una chiamata potrebbe attivare la risposta da parte del destinatario a una connessione Walkie-Talkie in corso.

Descrizione: si verificava un problema logico durante la risposta alle chiamate. Il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8699: Marius Alexandru Boeru (@mboeru) e un ricercatore anonimo

Voce aggiornata il 25 luglio 2019

UIFoundation

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione) e modelli successivi

Impatto: l'analisi di un documento Microsoft Office dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8657: riusksk di VulWar Corp in collaborazione con Zero Day Initiative di Trend Micro

Wallet

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione) e modelli successivi

Impatto: un utente potrebbe involontariamente effettuare un acquisto in-app mentre si trova sul blocco schermo

Descrizione: il problema è stato risolto attraverso una migliore gestione dell'interfaccia utente.

CVE-2019-8682: Jeff Braswell (JeffBraswell.com)

WebKit

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione) e modelli successivi

Impatto: l'elaborazione di contenuti web dannosi può causare cross-site scripting universale.

Descrizione: si verificava un problema logico nella gestione dei caricamenti dei documenti. Il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8690: Sergei Glazunov di Google Project Zero

WebKit

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione) e modelli successivi

Impatto: l'elaborazione di contenuti web dannosi può causare cross-site scripting universale.

Descrizione: si verificava un problema logico nella gestione dei caricamenti simultanei delle pagine. Il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8649: Sergei Glazunov di Google Project Zero

WebKit

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione) e modelli successivi

Impatto: l'elaborazione di contenuti web dannosi può causare cross-site scripting universale.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8658: akayn in collaborazione con Zero Day Initiative di Trend Micro

WebKit

Disponibile per: iPhone 5s e modelli successivi, iPad Air e modelli successivi, iPod touch (6a generazione) e modelli successivi

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.

CVE-2019-8644: G. Geshev in collaborazione con Zero Day Initiative di Trend Micro

CVE-2019-8666: Zongming Wang (王宗明) e Zhe Jin (金哲) del Chengdu Security Response Center di Qihoo 360 Technology Co. Ltd.

CVE-2019-8669: akayn in collaborazione con Zero Day Initiative di Trend Micro

CVE-2019-8671: Apple

CVE-2019-8672: Samuel Groß di Google Project Zero

CVE-2019-8673: Soyeon Park e Wen Xu di SSLab del Georgia Tech

CVE-2019-8676: Soyeon Park e Wen Xu di SSLab del Georgia Tech

CVE-2019-8677: Jihui Lu di Tencent KeenLab

CVE-2019-8678: Anthony Lai (@darkfloyd1014) di Knownsec, Ken Wong (@wwkenwong) di VXRL, Jeonghoon Shin (@singi21a) di Theori, Johnny Yu (@straight_blast) di VX Browser Exploitation Group, Chris Chan (@dr4g0nfl4me) di VX Browser Exploitation Group, Phil Mok (@shadyhamsters) di VX Browser Exploitation Group, Alan Ho (@alan_h0) di Knownsec, Byron Wai di VX Browser Exploitation e P1umer di ADLab of Venustech

CVE-2019-8679: Jihui Lu di Tencent KeenLab

CVE-2019-8680: Jihui Lu di Tencent KeenLab

CVE-2019-8681: G. Geshev in collaborazione con Zero Day Initiative di Trend Micro

CVE-2019-8683: lokihardt di Google Project Zero

CVE-2019-8684: lokihardt di Google Project Zero

CVE-2019-8685: akayn, Dongzhuo Zhao in collaborazione con ADLab di Venustech, Ken Wong (@wwkenwong) di VXRL, Anthony Lai (@darkfloyd1014) di VXRL ed Eric Lung (@Khlung1) di VXRL

CVE-2019-8686: G. Geshev in collaborazione con Zero Day Initiative di Trend Micro

CVE-2019-8687: Apple

CVE-2019-8688: Insu Yun di SSLab del Georgia Tech

CVE-2019-8689: lokihardt di Google Project Zero

Voce aggiornata il 25 luglio 2019

Altri riconoscimenti

Game Center

Ringraziamo Min (Spark) Zheng and Xiaolong Bai di Alibaba Inc. per l'assistenza.

MobileInstallation

Ringraziamo Dany Lisiansky (@DanyL931) per l'assistenza.

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Data di pubblicazione: