Informazioni sui contenuti di sicurezza di iOS 13

In questo documento vengono descritti i contenuti di sicurezza di iOS 13.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

iOS 13

Data di rilascio: 19 settembre 2019

Bluetooth

Disponibile per: iPhone 6s e modelli successivi

Impatto: le anteprime delle notifiche possono essere visualizzate sugli accessori Bluetooth anche se sono disabilitate.

Descrizione: si verificava un problema logico con la visualizzazione delle anteprime delle notifiche. Il problema è stato risolto attraverso una migliore convalida.

CVE-2019-8711: Arjang di MARK ANTHONY GROUP INC., Cemil Ozkebapci (@cemilozkebapci) di Garanti BBVA, Oguzhan Meral di Deloitte Consulting, Ömer Bozdoğan-Ramazan Atıl Anadolu Lisesi Adana/TÜRKİYE

Cronologia chiamate

Disponibile per: iPhone 6s e modelli successivi

Impatto: le chiamate eliminate rimanevano visibili sul dispositivo.

Descrizione: il problema è stato risolto attraverso una migliore eliminazione dei dati.

CVE-2019-8732: Mohamad El-Zein Berlin

Voce aggiunta il 18 novembre 2019

CFNetwork

Disponibile per: iPhone 6s e modelli successivi

Impatto: l'elaborazione di contenuti web dannosi può causare un attacco di scripting cross-site.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2019-8753: Łukasz Pilorz di Standard Chartered GBS Poland

Voce aggiunta il 29 ottobre 2019

CoreAudio

Disponibile per: iPhone 6s e modelli successivi

Impatto: l'elaborazione di un file video dannoso può causare la divulgazione della memoria dei processi.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.

CVE-2019-8705: riusksk di VulWar Corp in collaborazione con Zero Day Initiative di Trend Micro

CoreAudio

Disponibile per: iPhone 6s e modelli successivi

Impatto: la riproduzione di un file audio dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8592: riusksk di VulWar Corp in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiunta il 6 novembre 2019

CoreCrypto

Disponibile per: iPhone 6s e modelli successivi

Impatto: l'elaborazione di un input di grandi dimensioni può portare a un'interruzione del servizio.

Descrizione: un problema di interruzione del servizio è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8741: Nicky Mouha di NIST

Voce aggiunta il 29 ottobre 2019

CoreMedia

Disponibile per: iPhone 6s e modelli successivi

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8825: rilevato da GWP-ASan in Google Chrome

Voce aggiunta il 29 ottobre 2019

Face ID

Disponibile per: iPhone X e modelli successivi

Impatto: un modello 3D costruito per assomigliare all'utente registrato può autenticarsi tramite Face ID.

Descrizione: il problema è stato risolto migliorando i modelli di apprendimento automatico di Face ID.

CVE-2019-8760: Wish Wu (吴潍浠 @wish_wu) di Ant-financial Light-Year Security Lab

Foundation

Disponibile per: iPhone 6s e modelli successivi

Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8641: Samuel Groß e Natalie Silvanovich di Google Project Zero

CVE-2019-8746: Natalie Silvanovich e Samuel Groß di Google Project Zero

Voce aggiornata il 29 ottobre 2019

IOUSBDeviceFamily

Disponibile per: iPhone 6s e modelli successivi

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8718: Joshua Hill e Sem Voigtländer

Voce aggiunta il 29 ottobre 2019

Kernel

Disponibile per: iPhone 6s e modelli successivi

Impatto: un'app locale può essere in grado di leggere un identificatore account persistente.

Descrizione: un problema di convalida è stato risolto attraverso una migliore logica.

CVE-2019-8809: Apple

Voce aggiunta il 29 ottobre 2019

Kernel

Disponibile per: iPhone 6s e modelli successivi

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)

Voce aggiunta il 29 ottobre 2019

Kernel

Disponibile per: iPhone 6s e modelli successivi

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8712: Mohamed Ghannam (@_simo36)

Voce aggiunta il 29 ottobre 2019

Kernel

Disponibile per: iPhone 6s e modelli successivi

Impatto: un'applicazione dannosa può essere in grado di determinare il layout della memoria del kernel.

Descrizione: si verificava un problema di danneggiamento della memoria nella gestione dei pacchetti IPv6 che è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8744: Zhuo Liang del Vulcan Team di Qihoo 360

Voce aggiunta il 29 ottobre 2019

Kernel

Disponibile per: iPhone 6s e modelli successivi

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8717: Jann Horn di Google Project Zero

Voce aggiunta l'8 ottobre 2019

Tastiere

Disponibile per: iPhone 6s e modelli successivi

Impatto: un utente locale può essere in grado di divulgare informazioni sensibili degli utenti.

Descrizione: un problema di autenticazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8704: 王 邦 宇 (wAnyBug.Com) di SAINTSEC

libxml2

Disponibile per: iPhone 6s e modelli successivi

Impatto: diversi problemi presenti in libxml2.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida degli input.

CVE-2019-8749: rilevato da OSS-Fuzz

CVE-2019-8756: rilevato da OSS-Fuzz

Voce aggiunta l'8 ottobre 2019

Messaggi

Disponibile per: iPhone 6s e modelli successivi

Impatto: una persona con accesso fisico a un dispositivo iOS può essere in grado di accedere ai contatti dal blocco schermo.

Descrizione: il problema è stato risolto limitando le opzioni offerte su un dispositivo bloccato.

CVE-2019-8742: videosdebarraquito

Note

Disponibile per: iPhone 6s e modelli successivi

Impatto: un utente locale può essere in grado di visualizzare le note bloccate di un utente.

Descrizione: i contenuti delle note bloccate talvolta erano mostrati nei risultati di ricerca. Il problema è stato risolto attraverso una migliore pulizia dei dati.

CVE-2019-8730: Jamie Blumberg (@jamie_blumberg) della Virginia Polytechnic Institute and State University

Voce aggiunta l'8 ottobre 2019

PluginKit

Disponibile per: iPhone 6s e modelli successivi

Impatto: un utente locale può essere in grado di verificare l'esistenza di file arbitrari.

Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.

CVE-2019-8708: un ricercatore anonimo

Voce aggiunta il 29 ottobre 2019

PluginKit

Disponibile per: iPhone 6s e modelli successivi

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8715: un ricercatore anonimo

Voce aggiunta il 29 ottobre 2019

Visualizzazione rapida

Disponibile per: iPhone 6s e modelli successivi

Impatto: l'elaborazione di un file dannoso può divulgare informazioni dell'utente.

Descrizione: esisteva un problema di autorizzazioni per cui il permesso di esecuzione non veniva concesso correttamente. che è stato risolto attraverso una migliore convalida dell'autorizzazione.

CVE-2019-8731: Saif Hamed Hamdan Al Hinai di Oman National CERT, Yiğit Can YILMAZ (@yilmazcanyigit)

Safari

Disponibile per: iPhone 6s e modelli successivi

Impatto: l'accesso a un sito web dannoso può causare lo spoofing della barra degli indirizzi.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8727: Divyanshu Shukla (@justm0rph3u5)

Voce aggiornata l'8 ottobre 2019

UIFoundation

Disponibile per: iPhone 6s e modelli successivi

Impatto: l'elaborazione di un file di testo dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.

CVE-2019-8745: riusksk di VulWar Corp in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiunta l'8 ottobre 2019

WebKit

Disponibile per: iPhone 6s e modelli successivi

Impatto: i contenuti web dannosi possono violare la politica di sandbox iframe.

Descrizione: questo problema è stato risolto con una migliore applicazione della sandbox iframe.

CVE-2019-8771: Eliya Stein di Confiant

Voce aggiunta l'8 ottobre 2019

WebKit

Disponibile per: iPhone 6s e modelli successivi

Impatto: l'elaborazione di contenuti web dannosi può causare cross-site scripting universale.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8625: Sergei Glazunov di Google Project Zero

CVE-2019-8719: Sergei Glazunov di Google Project Zero

CVE-2019-8764: Sergei Glazunov di Google Project Zero

Voce aggiunta l'8 ottobre 2019 e aggiornata il 29 ottobre 2019

WebKit

Disponibile per: iPhone 6s e modelli successivi

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.

CVE-2019-8707: un ricercatore anonimo in collaborazione con Zero Day Initiative di Trend Micro, cc in collaborazione con Zero Day Initiative di Trend Micro

CVE-2019-8726: Jihui Lu di Tencent KeenLab

CVE-2019-8728: Junho Jang del team addetto alla sicurezza di LINE e Hanul Choi di ABLY Corporation

CVE-2019-8733: Sergei Glazunov di Google Project Zero

CVE-2019-8734: rilevato da OSS-Fuzz

CVE-2019-8735: G. Geshev in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiunta l'8 ottobre 2019 e aggiornata il 29 ottobre 2019

WebKit

Disponibile per: iPhone 6s e modelli successivi

Impatto: un utente potrebbe non essere in grado di eliminare gli elementi della cronologia di navigazione.

Descrizione: “Cancella dati siti web e cronologia” non cancellava completamente la cronologia. Il problema è stato risolto attraverso una migliore eliminazione dei dati.

CVE-2019-8768: Hugo S. Diaz (coldpointblue)

Voce aggiunta l'8 ottobre 2019

Caricamento delle pagine WebKit

Disponibile per: iPhone 6s e modelli successivi

Impatto: l'elaborazione di contenuti web dannosi può causare cross-site scripting universale.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8674: Sergei Glazunov di Google Project Zero

Voce aggiornata l'8 ottobre 2019

Wi-Fi

Disponibile per: iPhone 6s e modelli successivi

Impatto: un dispositivo può essere monitorato passivamente attraverso l'indirizzo MAC Wi-Fi.

Descrizione: un problema di privacy dell'utente è stato risolto rimuovendo l'indirizzo MAC broadcast.

CVE-2019-8854: Ta-Lun Yen di UCCU Hacker e FuriousMacTeam della United States Naval Academy e la Mitre Cooperation

Voce aggiunta il 4 dicembre 2019

Altri riconoscimenti

AppleRTC

Ringraziamo Vitaly Cheptsov per l'assistenza.

Voce aggiunta il 29 ottobre 2019

Audio

Ringraziamo riusksk di VulWar Corp che collabora con Zero Day Initiative di Trend Micro per l'assistenza.

Voce aggiunta il 29 ottobre 2019

Bluetooth

Ringraziamo Jan Ruge di TU Darmstadt, Secure Mobile Networking Lab, Jiska Classen di TU Darmstadt, Secure Mobile Networking Lab, Francesco Gringoli dell'Università di Brescia, Dennis Heinze di TU Darmstadt, Secure Mobile Networking Lab per l'assistenza.

boringssl

Ringraziamo Thijs Alkemade (@xnyhps) di Computest per l'assistenza.

Voce aggiunta l'8 ottobre 2019

Centro di controllo

Ringraziamo Brandon Sellers per l'assistenza.

HomeKit

Ringraziamo Tian Zhang per l'assistenza.

Voce aggiunta il 29 ottobre 2019

Kernel

Ringraziamo Brandon Azad di Google Project Zero per l'assistenza.

Voce aggiunta il 29 ottobre 2019

Tastiera

Ringraziamo un ricercatore anonimo per l'assistenza.

Mail

Ringraziamo Kenneth Hyndycz per l'assistenza.

mDNSResponder

Ringraziamo Gregor Lang di e.solutions GmbH per l'assistenza.

Voce aggiunta il 29 ottobre 2019

Profili

Ringraziamo Erik Johnson della Vernon Hills High School, James Seeley (@Code4iOS) di Shriver Job Corps, James Seeley (@Code4iOS) di Shriver Job Corps per l'assistenza.

Voce aggiornata il 29 ottobre 2019

SafariViewController

Ringraziamo Yiğit Can YILMAZ (@yilmazcanyigit) per l'assistenza.

VPN

Ringraziamo Royce Gawron di Second Son Consulting, Inc. per l'assistenza.

Voce aggiunta il 29 ottobre 2019

WebKit

Ringraziamo MinJeong Kim dell'Information Security Lab, Chungnam National University, JaeCheol Ryou dell'Information Security Lab, Chungnam National University in Corea del Sud, Yiğit Can YILMAZ (@yilmazcanyigit), Zhihua Yao del DBAPPSecurity Zion Lab, un ricercatore anonimo, cc in collaborazione con Zero Day Initiative di Trend Micro per l'assistenza.

Voce aggiunta l'8 ottobre 2019 e aggiornata il 29 ottobre 2019

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: