Informazioni sui contenuti di sicurezza di iOS 13.3.1 e iPadOS 13.3.1

In questo documento vengono descritti i contenuti di sicurezza di iOS 13.3.1 e iPadOS 13.3.1.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

iOS 13.3.1 e iPadOS 13.3.1

Data di rilascio: 28 gennaio 2020

Audio

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-3857: Zhuo Liang del Vulcan Team di Qihoo 360

FaceTime

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un utente FaceTime remoto può fare in modo che l'auto-visualizzazione della fotocamera dell'utente locale mostri la fotocamera errata.

Descrizione: si verificava un problema nella gestione dell'auto-visualizzazione dell'utente locale. Questo problema è stato risolto attraverso una migliore logica.

CVE-2020-3869: Elisa Lee

ImageIO

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-3826: Samuel Groß di Google Project Zero

CVE-2020-3870

CVE-2020-3878: Samuel Groß di Google Project Zero

Voce aggiornata il 29 gennaio 2020

IOAcceleratorFamily

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-3837: Brandon Azad di Google Project Zero

IPSec

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: il caricamento di un file di configurazione racoon potrebbe causare l'esecuzione di codice arbitrario.

Descrizione: si verificava un off-by-one error nella gestione dei file di configurazione racoon. Il problema è stato risolto attraverso un migliore controllo dei limiti.

CVE-2020-3840: @littlelailo

Kernel

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.

Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.

CVE-2020-3875: Brandon Azad di Google Project Zero

Kernel

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.

Descrizione: un problema di inizializzazione della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-3872: Haakon Garseg Mørk di Cognite e Cim Stordal di Cognite

Kernel

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un'applicazione dannosa può essere in grado di determinare il layout della memoria del kernel.

Descrizione: un problema di accesso è stato risolto con una migliore gestione della memoria.

CVE-2020-3836: Brandon Azad di Google Project Zero

Kernel

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-3842: Ned Williamson in collaborazione con Google Project Zero

CVE-2020-3858: Xiaolong Bai e Min (Spark) Zheng di Alibaba Inc., Luyi Xing dell'Indiana University Bloomington

Kernel

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: una race condition è stata risolta attraverso un blocco migliore.

CVE-2020-3831: Corellium, Proteas del Nirvan Team di Qihoo 360

Kernel

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-3853: Brandon Azad di Google Project Zero

Kernel

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-3860: Proteas del Nirvan Team di Qihoo 360

libxml2

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: l'elaborazione di un file XML dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un overflow del buffer è stato risolto attraverso una migliore convalida delle dimensioni.

CVE-2020-3846: Ranier Vilela

Voce aggiunta il 29 gennaio 2020

libxpc

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: l'elaborazione di una stringa dannosa può danneggiare la memoria heap.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-3856: Ian Beer di Google Project Zero

libxpc

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2020-3829: Ian Beer di Google Project Zero

Mail

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Descrizione: la disattivazione dell'opzione “Carica contenuto remoto dei messaggi” non veniva applicata a tutte le anteprime dei messaggi email.

Descrizione: questo problema è stato risolto attraverso una migliore propagazione delle impostazioni.

CVE-2020-3873: Alexander Heinrich (@Sn0wfreeze) della Technische Universität Darmstadt, Stuart Chapman

Voce aggiornata il 29 gennaio 2020

Messaggi

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: una persona con accesso fisico a un dispositivo iOS può essere in grado di accedere ai contatti dal blocco schermo.

Descrizione: un problema di interfaccia utente non coerente è stato risolto con una migliore gestione dello stato.

CVE-2020-3859: Andrew Gonzalez, Simone PC

Voce aggiornata il 29 gennaio 2020

Messaggi

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: gli utenti rimossi da una conversazione iMessage potrebbero essere ancora in grado di modificare lo stato

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2020-3844: Ayden Panhuyzen (@aydenpanhuyzen) e Jamie Bishop (@jamiebishop123) di Dynastic, Lance Rodgers della Oxon Hill High School

Voce aggiornata il 29 gennaio 2020

Telefono

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: una persona con accesso fisico a un dispositivo iOS può essere in grado di accedere ai contatti dal blocco schermo.

Descrizione: un problema relativo al blocco schermo consente l'accesso ai contatti su un dispositivo bloccato. Il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-3828: un ricercatore anonimo

Riempimento automatico con Safari

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un utente locale potrebbe inavvertitamente inviare una password non codificata su una rete.

Descrizione: il problema è stato risolto attraverso una migliore gestione dell'interfaccia utente.

CVE-2020-3841: Sebastian Bicchi (@secresDoge) di Sec-Research

Istantanee

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: le istantanee dell'app Messaggi possono visualizzare contenuto aggiuntivo del messaggio.

Descrizione: si verificava un errore nella denominazione delle istantanee. Il problema è stato risolto attraverso una migliore denominazione.

CVE-2020-3874: Nicolas Luckie del Durham College

WebKit

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un sito web dannoso può essere in grado di causare un'interruzione del servizio.

Descrizione: un problema di interruzione del servizio è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-3862: Srikanth Gatta di Google Chrome

Voce aggiunta il 29 gennaio 2020

WebKit

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.

CVE-2020-3825: Przemysław Sporysz di Euvic

CVE-2020-3868: Marcin Towalski di Cisco Talos

Voce aggiunta il 29 gennaio 2020

WebKit

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: l'elaborazione di contenuti web dannosi può causare il cross-site scripting universale.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-3867: un ricercatore anonimo

Voce aggiunta il 29 gennaio 2020

Caricamento delle pagine WebKit

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.

CVE-2020-3865: Ryan Pickren (ryanpickren.com)

Voce aggiunta il 29 gennaio 2020

wifivelocityd

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: il problema è stato risolto attraverso una migliore logica dei permessi.

CVE-2020-3838: Dayton Pidhirney (@_watbulb)

Altri riconoscimenti

IOSurface

Ringraziamo Liang Chen (@chenliang0817) per l'assistenza.

Photos Storage

Ringraziamo Salman Husain della UC Berkeley per l'assistenza.

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: