Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

iOS 13.3.1 e iPadOS 13.3.1
Data di rilascio: 28 gennaio 2020
Audio
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2020-3857: Zhuo Liang del Vulcan Team di Qihoo 360
FaceTime
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: un utente FaceTime remoto può fare in modo che l'auto-visualizzazione della fotocamera dell'utente locale mostri la fotocamera errata.
Descrizione: si verificava un problema nella gestione dell'auto-visualizzazione dell'utente locale. Questo problema è stato risolto attraverso una migliore logica.
CVE-2020-3869: Elisa Lee
ImageIO
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-3826: Samuel Groß di Google Project Zero
CVE-2020-3870
CVE-2020-3878: Samuel Groß di Google Project Zero
Voce aggiornata il 29 gennaio 2020
IOAcceleratorFamily
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2020-3837: Brandon Azad di Google Project Zero
IPSec
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: il caricamento di un file di configurazione racoon potrebbe causare l'esecuzione di codice arbitrario.
Descrizione: si verificava un off-by-one error nella gestione dei file di configurazione racoon. Il problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-2020-3840: @littlelailo
Kernel
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.
Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.
CVE-2020-3875: Brandon Azad di Google Project Zero
Kernel
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.
Descrizione: un problema di inizializzazione della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2020-3872: Haakon Garseg Mørk di Cognite e Cim Stordal di Cognite
Kernel
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: un'applicazione dannosa può essere in grado di determinare il layout della memoria del kernel.
Descrizione: un problema di accesso è stato risolto con una migliore gestione della memoria.
CVE-2020-3836: Brandon Azad di Google Project Zero
Kernel
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2020-3842: Ned Williamson in collaborazione con Google Project Zero
CVE-2020-3858: Xiaolong Bai e Min (Spark) Zheng di Alibaba Inc., Luyi Xing dell'Indiana University Bloomington
Kernel
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: una race condition è stata risolta attraverso un blocco migliore.
CVE-2020-3831: Corellium, Proteas del Nirvan Team di Qihoo 360
Kernel
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.
CVE-2020-3853: Brandon Azad di Google Project Zero
Kernel
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-3860: Proteas del Nirvan Team di Qihoo 360
libxml2
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: l'elaborazione di un file XML dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un overflow del buffer è stato risolto attraverso una migliore convalida delle dimensioni.
CVE-2020-3846: Ranier Vilela
Voce aggiunta il 29 gennaio 2020
libxpc
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: l'elaborazione di una stringa dannosa può danneggiare la memoria heap.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-3856: Ian Beer di Google Project Zero
libxpc
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2020-3829: Ian Beer di Google Project Zero
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Descrizione: la disattivazione dell'opzione “Carica contenuto remoto dei messaggi” non veniva applicata a tutte le anteprime dei messaggi email.
Descrizione: questo problema è stato risolto attraverso una migliore propagazione delle impostazioni.
CVE-2020-3873: Alexander Heinrich (@Sn0wfreeze) della Technische Universität Darmstadt, Stuart Chapman
Voce aggiornata il 29 gennaio 2020
Messaggi
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: una persona con accesso fisico a un dispositivo iOS può essere in grado di accedere ai contatti dal blocco schermo.
Descrizione: un problema di interfaccia utente non coerente è stato risolto con una migliore gestione dello stato.
CVE-2020-3859: Andrew Gonzalez, Simone PC
Voce aggiornata il 29 gennaio 2020
Messaggi
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: gli utenti rimossi da una conversazione iMessage potrebbero essere ancora in grado di modificare lo stato
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2020-3844: Ayden Panhuyzen (@aydenpanhuyzen) e Jamie Bishop (@jamiebishop123) di Dynastic, Lance Rodgers della Oxon Hill High School
Voce aggiornata il 29 gennaio 2020
Telefono
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: una persona con accesso fisico a un dispositivo iOS può essere in grado di accedere ai contatti dal blocco schermo.
Descrizione: un problema relativo al blocco schermo consente l'accesso ai contatti su un dispositivo bloccato. Il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2020-3828: un ricercatore anonimo
Riempimento automatico con Safari
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: un utente locale potrebbe inavvertitamente inviare una password non codificata su una rete.
Descrizione: il problema è stato risolto attraverso una migliore gestione dell'interfaccia utente.
CVE-2020-3841: Sebastian Bicchi (@secresDoge) di Sec-Research
Istantanee
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: le istantanee dell'app Messaggi possono visualizzare contenuto aggiuntivo del messaggio.
Descrizione: si verificava un errore nella denominazione delle istantanee. Il problema è stato risolto attraverso una migliore denominazione.
CVE-2020-3874: Nicolas Luckie del Durham College
WebKit
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: un sito web dannoso può essere in grado di causare un'interruzione del servizio.
Descrizione: un problema di interruzione del servizio è stato risolto attraverso una migliore gestione della memoria.
CVE-2020-3862: Srikanth Gatta di Google Chrome
Voce aggiunta il 29 gennaio 2020
WebKit
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.
CVE-2020-3825: Przemysław Sporysz di Euvic
CVE-2020-3868: Marcin Towalski di Cisco Talos
Voce aggiunta il 29 gennaio 2020
WebKit
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: l'elaborazione di contenuti web dannosi può causare il cross-site scripting universale.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2020-3867: un ricercatore anonimo
Voce aggiunta il 29 gennaio 2020
Caricamento delle pagine WebKit
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.
CVE-2020-3865: Ryan Pickren (ryanpickren.com)
Voce aggiunta il 29 gennaio 2020
wifivelocityd
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: il problema è stato risolto attraverso una migliore logica dei permessi.
CVE-2020-3838: Dayton Pidhirney (@_watbulb)

Altri riconoscimenti
IOSurface
Ringraziamo Liang Chen (@chenliang0817) per l'assistenza.
Photos Storage
Ringraziamo Salman Husain della UC Berkeley per l'assistenza.