Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
iOS 13.3 e iPadOS 13.3
Data di rilascio: 10 dicembre 2019
CallKit
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: le chiamate effettuate con Siri potrebbero essere avviate usando il piano cellulare sbagliato sui dispositivi con due piani attivi.
Descrizione: si verificava un problema dell'API nella gestione delle chiamate in uscita avviate con Siri. Il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2019-8856: Fabrice TERRANCLE di TERRANCLE SARL
CFNetwork
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: un utente malintenzionato in una posizione di rete privilegiata potrebbe riuscire a bypassare il protocollo HSTS per un numero limitato di specifici domini di primo livello precedentemente non presenti nell'elenco di precaricamento HSTS.
Descrizione: un problema di configurazione è stato risolto attraverso restrizioni aggiuntive.
CVE-2019-8834: Rob Sayre (@sayrer)
Voce aggiunta il 4 aprile 2020
Proxy CFNetwork
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2019-8848: Zhuo Liang del Vulcan Team di Qihoo 360
FaceTime
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: l'elaborazione di video dannosi su FaceTime può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-8830: Natalie Silvanovich di Google Project Zero
IOSurfaceAccelerator
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di divulgazione delle informazioni è stato risolto rimuovendo il codice vulnerabile.
CVE-2019-8841: Corellium
Kernel
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso la rimozione del codice vulnerabile.
CVE-2019-8833: Ian Beer di Google Project Zero
Kernel
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8828: Cim Stordal di Cognite
CVE-2019-8838: Dr. Silvio Cesare di InfoSect
libexpat
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: l'analisi di un file XML pericoloso può determinare la divulgazione delle informazioni utente.
Descrizione: il problema è stato risolto con l'aggiornamento di expat alla versione 2.2.8.
CVE-2019-15903: Joonun Jang
libpcap
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: diversi problemi presenti in libpcap.
Descrizione: diversi problemi sono stati risolti tramite l'aggiornamento di libpcap alla versione 1.9.1.
CVE-2019-15161
CVE-2019-15162
CVE-2019-15163
CVE-2019-15164
CVE-2019-15165
Voce aggiunta il 4 aprile 2020
Foto
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: i dati audio e video di Live Photo possono essere condivisi tramite collegamenti iCloud anche se Live Photo è disabilitato nelle opzioni disponibili del foglio di condivisione
Descrizione: il problema è stato risolto attraverso una migliore convalida quando viene creato un collegamento di iCloud.
CVE-2019-8857: Tor Bruce
Sicurezza
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8832: Insu Yun di SSLab del Georgia Tech
WebKit
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: l'accesso a un sito web dannoso può rivelare i siti visitati da un utente.
Descrizione: si verificava un problema di divulgazione di informazioni nella gestione dell'API di accesso alle risorse di archiviazione. Questo problema è stato risolto attraverso una migliore logica.
CVE-2019-8898: Michael Kleber di Google
Voce aggiunta l'11 febbraio 2020 e aggiornata il 20 febbraio 2020
WebKit
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.
CVE-2019-8835: anonimo in collaborazione con Zero Day Initiative di Trend Micro, Mike Zhang di Pangu Team
CVE-2019-8844: William Bowling (@wcbowling)
WebKit
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8846: Marcin Towalski di Cisco Talos
Altri riconoscimenti
Account
Ringraziamo Allison Husain della UC Berkeley, Kishan Bagaria (KishanBagaria.com), Tom Snelling della Loughborough University per l'assistenza.
Voce aggiornata il 4 aprile 2020
Core Data
Ringraziamo Natalie Silvanovich di Google Project Zero per l'assistenza.
Impostazioni
Ringraziamo un ricercatore anonimo per l'assistenza.