Informazioni sui contenuti di sicurezza di iOS 13.3 e iPadOS 13.3

In questo documento vengono descritti i contenuti di sicurezza di iOS 13.3 e iPadOS 13.3.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

iOS 13.3 e iPadOS 13.3

Data di rilascio: 10 dicembre 2019

CallKit

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: le chiamate effettuate con Siri possono essere avviate utilizzando il piano cellulare errato sui dispositivi con due piani attivi.

Descrizione: si verificava un problema dell'API nella gestione delle chiamate in uscita avviate con Siri. Il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8856: Fabrice TERRANCLE di TERRANCLE SARL

Proxy CFNetwork

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2019-8848: Zhuo Liang del Vulcan Team di Qihoo 360

FaceTime

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: l'elaborazione di video dannosi su FaceTime può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8830: Natalie Silvanovich di Google Project Zero

IOSurfaceAccelerator

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di divulgazione delle informazioni è stato risolto rimuovendo il codice vulnerabile.

CVE-2019-8841: Corellium

IOUSBDeviceFamily

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8836: Xiaolong Bai e Min (Spark) Zheng diAlibaba Inc., Luyi Xing dell'Indiana University Bloomington

Kernel

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso la rimozione del codice vulnerabile.

CVE-2019-8833: Ian Beer di Google Project Zero

Kernel

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8828: Cim Stordal di Cognite

CVE-2019-8838: Dr. Silvio Cesare di InfoSect

libexpat

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: l'analisi di un file XML dannoso può determinare la divulgazione delle informazioni utente.

Descrizione: il problema è stato risolto con l'aggiornamento di expat alla versione 2.2.8.

CVE-2019-15903: Joonun Jang

Foto

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: i dati audio e video di Live Photo possono essere condivisi tramite collegamenti iCloud anche se Live Photo è disabilitato nelle opzioni disponibili del foglio di condivisione.

Descrizione: il problema è stato risolto attraverso una migliore convalida quando viene creato un link di iCloud.

CVE-2019-8857: Tor Bruce

Sicurezza

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8832: Insu Yun di SSLab del Georgia Tech

WebKit

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.

CVE-2019-8835: anonimo in collaborazione con Zero Day Initiative di Trend Micro, Mike Zhang di Pangu Team

CVE-2019-8844: William Bowling (@wcbowling)

WebKit

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8846: Marcin Towalski di Cisco Talos

Altri riconoscimenti

Account

Ringraziamo Kishan Bagaria (KishanBagaria.com) e Tom Snelling della Loughborough University per l'assistenza.

Core Data

Ringraziamo Natalie Silvanovich di Google Project Zero per l'assistenza.

Impostazioni

Ringraziamo un ricercatore anonimo per l'assistenza.

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: