Informazioni sui contenuti di sicurezza di iOS 13.2 e iPadOS 13.2

In questo documento vengono descritti i contenuti di sicurezza di iOS 13.2 e iPadOS 13.2.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

iOS 13.2 e iPadOS 13.2

Data di rilascio: 28 ottobre 2019

Account

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)

Impatto: un utente malintenzionato collegato in remoto può causare una perdita di memoria.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8787: Steffen Klee di Secure Mobile Networking Lab della Technische Universität Darmstadt

App Store

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)

Impatto: un utente malintenzionato locale può essere in grado di accedere all'account di un utente precedentemente connesso senza credenziali valide.

Descrizione: un problema di autenticazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)

Domini associati

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)

Impatto: l'elaborazione di URL non corretta può comportare l'esfiltrazione dei dati.

Descrizione: si verificava un problema nell'analisi degli URL. Il problema è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8788: Juha Lindstedt di Pakastin, Mirko Tanania, Rauli Rikama di Zero Keyboard Ltd

Audio

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8785: Ian Beer di Google Project Zero

CVE-2019-8797: 08Tc3wBB in collaborazione con SSD Secure Disclosure

AVEVideoEncoder

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8795: 08Tc3wBB in collaborazione con SSD Secure Disclosure

Libri

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)

Impatto: l'analisi di un file iBooks pericoloso può determinare la divulgazione delle informazioni utente.

Descrizione: si verificava un problema di convalida nella gestione dei link simbolici. Questo problema è stato risolto attraverso una migliore convalida dei link simbolici.

CVE-2019-8789: Gertjan Franken di imec-DistriNet, KU Leuven

Contatti

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)

Impatto: l'elaborazione di un contatto pericoloso può causare lo spoofing dell'interfaccia utente.

Descrizione: un problema di interfaccia utente non coerente è stato risolto con una migliore gestione dello stato.

CVE-2017-7152: Oliver Paukstadt di Thinking Objects GmbH (to.com)

Eventi File System

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8798: ABC Research s.r.o. in collaborazione con Zero Day Initiative di Trend Micro

Driver della scheda grafica

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8784: Vasiliy Vasilyev e Ilya Finogeev di Webinar, LLC

Kernel

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)

Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.

Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.

CVE-2019-8794: 08Tc3wBB in collaborazione con SSD Secure Disclosure

Kernel

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8786: un ricercatore anonimo

Impostazione Assistita

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)

Impatto: un utente malintenzionato in prossimità fisica può essere in grado di forzare la connessione di un utente a una rete Wi-Fi dannosa durante l'impostazione assistita del dispositivo.

Descrizione: è stata risolta un'incoerenza nelle impostazioni della configurazione della rete Wi-Fi.

CVE-2019-8804: Christy Philip Mathew di Zimperium, Inc

Registrazione schermo

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)

Impatto: un utente locale può essere in grado di registrare lo schermo senza visualizzare un indicatore di registrazione dello schermo.

Descrizione: si verificava un problema di coerenza quando si decideva di mostrare l'indicatore di registrazione dello schermo. Il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8793: Ryan Jenkins di Lake Forrest Prep School

WebKit

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)

Impatto: l'elaborazione di contenuti web dannosi può causare cross-site scripting universale.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8813: un ricercatore anonimo

WebKit

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.

CVE-2019-8782: Cheolung Lee di LINE+ Security Team

CVE-2019-8783: Cheolung Lee di LINE+ Graylab Security Team

CVE-2019-8808: rilevato da OSS-Fuzz

CVE-2019-8811: Soyeon Park di SSLab del Georgia Tech

CVE-2019-8812: un ricercatore anonimo

CVE-2019-8814: Cheolung Lee di LINE+ Security Team

CVE-2019-8816: Soyeon Park di SSLab del Georgia Tech

CVE-2019-8819: Cheolung Lee di LINE+ Security Team

CVE-2019-8820: Samuel Groß di Google Project Zero

CVE-2019-8821: Sergei Glazunov di Google Project Zero

CVE-2019-8822: Sergei Glazunov di Google Project Zero

CVE-2019-8823: Sergei Glazunov di Google Project Zero

Modello processo di WebKit

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.

CVE-2019-8815: Apple

Altri riconoscimenti

CFNetwork

Ringraziamo Lily Chen di Google per l'assistenza.

Kernel

Ringraziamo Jann Horn di Google Project Zero per l'assistenza.

WebKit

Ringraziamo Dlive di Xuanwu Lab di Tencent e Zhiyi Zhang di Codesafe Team di Legendsec del Qi'anxin Group per l'assistenza.

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Data di pubblicazione: