Informazioni sui contenuti di sicurezza di iOS 13.2 e iPadOS 13.2

In questo documento vengono descritti i contenuti di sicurezza di iOS 13.2 e iPadOS 13.2.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

iOS 13.2 e iPadOS 13.2

Data di rilascio: 28 ottobre 2019

Account

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un utente malintenzionato collegato in remoto può causare una perdita di memoria.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8787: Steffen Klee di Secure Mobile Networking Lab della Technische Universität Darmstadt

App Store

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un utente malintenzionato locale può essere in grado di accedere all'account di un utente connesso in precedenza senza credenziali valide.

Descrizione: un problema di autenticazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)

Domini associati

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: l'elaborazione non corretta degli URL potrebbe comportare l'esfiltrazione dei dati.

Descrizione: si verificava un problema durante l'analisi degli URL. Il problema è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8788: Juha Lindstedt di Pakastin, Mirko Tanania, Rauli Rikama di Zero Keyboard Ltd

Audio

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8785: Ian Beer di Google Project Zero

CVE-2019-8797: 08Tc3wBB in collaborazione con SSD Secure Disclosure

AVEVideoEncoder

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8795: 08Tc3wBB in collaborazione con SSD Secure Disclosure

Libri

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: l'analisi di un file iBooks pericoloso può determinare la divulgazione delle informazioni utente

Descrizione: si verificava un problema di convalida nella gestione dei link simbolici. Questo problema è stato risolto attraverso una migliore convalida dei link simbolici.

CVE-2019-8789: Gertjan Franken di imec-DistriNet, KU Leuven

Contatti

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: l'elaborazione di un contatto dannoso può causare lo spoofing dell'interfaccia utente.

Descrizione: un problema di interfaccia utente non coerente è stato risolto con una migliore gestione dello stato.

CVE-2017-7152: Oliver Paukstadt di Thinking Objects GmbH (to.com)

Eventi File System

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8798: ABC Research s.r.o. in collaborazione con Zero Day Initiative di Trend Micro

Driver della scheda grafica

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8784: Vasiliy Vasilyev e Ilya Finogeev di Webinar, LLC

Kernel

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.

Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.

CVE-2019-8794: 08Tc3wBB in collaborazione con SSD Secure Disclosure

Kernel

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8786: Wen Xu di Georgia Tech, stagista presso Microsoft Offensive Security Research

Voce aggiornata il 18 novembre 2019

Kernel

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: una vulnerabilità al danneggiamento della memoria è stata risolta mediante un blocco migliore.

CVE-2019-8829: Jann Horn di Google Project Zero

Voce aggiunta l'8 novembre 2019

Impostazione Assistita

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un utente malintenzionato in prossimità fisica può riuscire a forzare la connessione di un utente a una rete Wi-Fi dannosa durante l'impostazione del dispositivo.

Descrizione: è stata risolta un'incoerenza nelle impostazioni della configurazione della rete Wi-Fi.

CVE-2019-8804: Christy Philip Mathew di Zimperium, Inc

Registrazione schermo

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un utente locale può riuscire a registrare i contenuti dello schermo senza che sia visualizzato un indicatore di registrazione dello schermo.

Descrizione: si verificava un problema di coerenza nella scelta dei casi in cui mostrare l'indicatore di registrazione dello schermo. Il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8793: Ryan Jenkins di Lake Forrest Prep School

WebKit

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: l'elaborazione di contenuti web dannosi può causare il cross-site scripting universale.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8813: un ricercatore anonimo

WebKit

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.

CVE-2019-8782: Cheolung Lee di LINE+ Security Team

CVE-2019-8783: Cheolung Lee di LINE+ Graylab Security Team

CVE-2019-8808: rilevato da OSS-Fuzz

CVE-2019-8811: Soyeon Park di SSLab presso Georgia Tech

CVE-2019-8812: JunDong Xie di Ant-financial Light-Year Security Lab

CVE-2019-8814: Cheolung Lee di LINE+ Security Team

CVE-2019-8816: Soyeon Park di SSLab presso Georgia Tech

CVE-2019-8819: Cheolung Lee di LINE+ Security Team

CVE-2019-8820: Samuel Groß di Google Project Zero

CVE-2019-8821: Sergei Glazunov di Google Project Zero

CVE-2019-8822: Sergei Glazunov di Google Project Zero

CVE-2019-8823: Sergei Glazunov di Google Project Zero

Voce aggiornata il 18 novembre 2019

WebKit

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: l'accesso a un sito web pericoloso può rivelare i siti visitati da un utente.

Descrizione: l'intestazione di riferimento HTTP potrebbe essere utilizzata per divulgare la cronologia di navigazione. Il problema è stato risolto eseguendo il downgrade di tutti i riferimenti di terze parti alla propria origine.

CVE-2019-8827: Artur Janc, Krzysztof Kotowicz, Lukas Weichselbaum e Roberto Clapis di Google Security Team

Voce aggiunta il 6 febbraio 2020

Modello di processo WebKit

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.

CVE-2019-8815: Apple

Wi-Fi

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un utente malintenzionato nel raggio di copertura del Wi-Fi potrebbe riuscire a visualizzare una piccola quantità di traffico di rete.

Descrizione: si verificava un problema logico nella gestione delle transizioni di stato. Il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-15126: Milos Cermak presso ESET

Voce aggiunta il 3 febbraio 2020

Altri riconoscimenti

CFNetwork

Ringraziamo Lily Chen di Google per l'assistenza.

Kernel

Ringraziamo Daniel Roethlisberger di Swisscom CSIRT e Jann Horn di Google Project Zero per l'assistenza.

Voce aggiornata l'8 novembre 2019

WebKit

Ringraziamo Dlive dello Xuanwu Lab di Tencent e Zhiyi Zhang del Codesafe Team di Legendsec presso Qi'anxin Group per l'assistenza.

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: