Informazioni sui contenuti di sicurezza di iOS 13.5 e iPadOS 13.5

In questo documento vengono descritti i contenuti di sicurezza di iOS 13.5 e iPadOS 13.5.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

iOS 13.5 e iPadOS 13.5

Data di rilascio: 20 maggio 2020

Account

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un malintenzionato collegato in remoto può causare un'interruzione del servizio.

Descrizione: un problema di negazione del servizio è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-9827: Jannik Lorenz di SEEMOO presso TU Darmstadt

AirDrop

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un malintenzionato collegato in remoto può causare un'interruzione del servizio.

Descrizione: un problema di negazione del servizio è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-9826: Dor Hadad di Palo Alto Networks

AppleMobileFileIntegrity

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un'applicazione dannosa potrebbe interagire con i processi di sistema per accedere a informazioni private ed eseguire azioni privilegiate.

Descrizione: un problema di analisi delle autorizzazioni è stato risolto attraverso una migliore analisi.

CVE-2020-9842: Linus Henze (pinauten.de)

Audio

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: l'elaborazione di un file audio dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2020-9815: Yu Zhou (@yuzhou6666) in collaborazione con Zero Day Initiative di Trend Micro

Audio

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: l'elaborazione di un file audio dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-9791: Yu Zhou (@yuzhou6666) in collaborazione con Zero Day Initiative di Trend Micro

Bluetooth

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un utente malintenzionato in una posizione privilegiata sulla rete può essere in grado di intercettare il traffico Bluetooth.

Descrizione: si verificava un problema con l'uso di un PRNG con bassa entropia. Il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-6616: Jörn Tillmanns (@matedealer) e Jiska Classen (@naehrdine) di Secure Mobile Networking Lab

Bluetooth

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un utente malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2020-9838: Dennis Heinze (@ttdennis) di TU Darmstadt, Secure Mobile Networking Lab

CoreText

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: l'elaborazione di un messaggio di testo dannoso può causare l'interruzione del servizio di un'applicazione.

Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.

CVE-2020-9829: Aaron Perris (@aaronp613), due ricercatori anonimi, Carlos S Tech, Sam Menzies di Sam's Lounge, Sufiyan Gouri di Lovely Professional University, India, Suleman Hasan Rathor di Arabic-Classroom.com

FaceTime

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: non è possibile mettere in pausa il video di un utente durante una chiamata FaceTime se l'utente esce dall'app FaceTime mentre viene emesso il tono di chiamata.

Descrizione: esisteva un problema nella pausa dei video FaceTime. Questo problema è stato risolto attraverso una migliore logica.

CVE-2020-9835: Olivier Levesque (@olilevesque)

File system

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un utente malintenzionato collegato in remoto potrebbe modificare il file system.

Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.

CVE-2020-9820: Thijs Alkemade di Computest

FontParser

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: l'apertura di un file PDF dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2020-9816: Peter Nguyen Vu Hoang di STAR Labs in collaborazione con Zero Day Initiative di Trend Micro

ImageIO

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-3878: Samuel Groß di Google Project Zero

ImageIO

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2020-9789: Wenchao Li di VARAS@IIE

CVE-2020-9790: Xingwei Lin di Ant-financial Light-Year Security Lab

IPSec

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un utente malintenzionato remoto può causare una perdita di memoria.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2020-9837: Thijs Alkemade di Computest

Kernel

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-9821: Xinru Chi e Tielei Wang di Pangu Lab

Kernel

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un'applicazione dannosa può essere in grado di determinare il layout di memoria di un'altra applicazione

Descrizione: un problema di divulgazione delle informazioni è stato risolto rimuovendo il codice vulnerabile.

CVE-2020-9797: un ricercatore anonimo

Kernel

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di overflow dei numeri interi è stato risolto mediante una migliore convalida degli input.

CVE-2020-9852: Tao Huang e Tielei Wang di Pangu Lab

Kernel

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-9795: Zhuo Liang di Qihoo 360 Vulcan Team

Kernel

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un'applicazione può essere in grado di causare l'arresto improvviso del sistema o scrivere sulla memoria del kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-9808: Xinru Chi e Tielei Wang di Pangu Lab

Kernel

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un utente locale può essere in grado di leggere la memoria del kernel.

Descrizione: un problema di divulgazione delle informazioni è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-9811: Tielei Wang di Pangu Lab

CVE-2020-9812: derrek (@derrekr6)

Kernel

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: si verificava un problema logico che provocava il danneggiamento della memoria. Il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-9813: Xinru Chi di Pangu Lab

CVE-2020-9814: Xinru Chi e Tielei Wang di Pangu Lab

Kernel

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un'applicazione dannosa può essere in grado di determinare il layout della memoria del kernel.

Descrizione: un problema di divulgazione delle informazioni è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-9809: Benjamin Randazzo (@____benjamin)

libxpc

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un'applicazione dannosa può sovrascrivere file arbitrari.

Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.

CVE-2020-9994: Apple

Voce aggiunta il 21 settembre 2020

Mail

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: l'elaborazione di un messaggio di posta dannoso può causare un danno alla memoria heap

Descrizione: un problema di consumo della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-9819: ZecOps.com

Mail

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: l'elaborazione di un messaggio di posta dannoso può causare in modo improvviso la modifica della memoria o la chiusura dell'applicazione

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2020-9818: ZecOps.com

Messaggi

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: gli utenti rimossi da una conversazione iMessage potrebbero essere ancora in grado di modificare lo stato

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2020-9823: Suryansh Mansharamani, studente della Community Middle School, Plainsboro, New Jersey

Notifiche

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: una persona con accesso fisico a un dispositivo iOS può essere in grado di vedere i contenuti delle notifiche dal blocco schermo.

Descrizione: un problema di autorizzazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-9848: Nima

rsync

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un utente malintenzionato collegato in remoto può essere in grado di sovrascrivere i file esistenti.

Descrizione: si verificava un problema di convalida nella gestione dei link simbolici. Questo problema è stato risolto attraverso una migliore convalida dei link simbolici.

CVE-2014-9512: gaojianfeng

Voce aggiunta il 28 luglio 2020

Sandbox

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un'applicazione dannosa può essere in grado di ignorare le preferenze sulla privacy.

Descrizione: un problema di accesso è stato risolto attraverso ulteriori restrizioni della sandbox.

CVE-2020-9825: Sreejith Krishnan R (@skr0x1C0)

Sicurezza

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.

Descrizione: un problema logico è stato risolto attraverso una migliore convalida.

CVE-2020-9854: Ilias Morad (A2nkF)

Voce aggiunta il 28 luglio 2020

SQLite

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un'applicazione dannosa può causare una negazione del servizio o la divulgazione di contenuti presenti in memoria

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2020-9794

Preferenze di Sistema

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.

Descrizione: una race condition è stata risolta attraverso una migliore gestione dello stato.

CVE-2020-9839: @jinmo123, @setuid0x0_ e @insu_yun_en di @SSLab_Gatech in collaborazione con Zero Day Initiative di Trend Micro

Audio USB

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un dispositivo USB può causare una negazione del servizio

Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.

CVE-2020-9792: Andy Davis di NCC Group

WebKit

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: l'elaborazione di contenuti web dannosi può causare il cross-site scripting universale.

Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.

CVE-2020-9805: un ricercatore anonimo

WebKit

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.

CVE-2020-9802: Samuel Groß di Google Project Zero

WebKit

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un utente malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario.

Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.

CVE-2020-9850: @jinmo123, @setuid0x0_ e @insu_yun_en di @SSLab_Gatech in collaborazione con Zero Day Initiative di Trend Micro

WebKit

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: l'elaborazione di contenuti web dannosi può causare un attacco di scripting cross-site.

Descrizione: un problema di convalida dell'input è stato risolto attraverso una migliore gestione dell'input.

CVE-2020-9843: Ryan Pickren (ryanpickren.com)

WebKit

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.

CVE-2020-9803: Wen Xu di SSLab del Georgia Tech

WebKit

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-9806: Wen Xu di SSLab del Georgia Tech

CVE-2020-9807: Wen Xu di SSLab del Georgia Tech

WebKit

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-9800: Brendan Draper (@6r3nd4n) in collaborazione con Zero Day Initiative di Trend Micro

WebRTC

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: l'elaborazione di contenuti web dannosi può causare la divulgazione della memoria dei processi.

Descrizione: un problema di accesso è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-20503: natashenka di Google Project Zero

Wi-Fi

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un utente malintenzionato remoto può causare l'arresto imprevisto del sistema o danneggiare la memoria del kernel.

Descrizione: un problema di tipo double free è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-9844: Ian Beer di Google Project Zero

Wi-Fi

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-9830: Tielei Wang di Pangu Lab

Voce aggiunta il 10 agosto 2020

Altri riconoscimenti

Bluetooth

Ringraziamo Maximilian von Tschirschnitz (@maxinfosec1) e Ludwig Peuckert dell'Università tecnica di Monaco per l'assistenza.

CoreText

Ringraziamo Jiska Classen (@naehrdine) e Dennis Heinze (@ttdennis) di Secure Mobile Networking Lab per l'assistenza.

Device Analytics

Ringraziamo Mohamed Ghannam (@_simo36) per l'assistenza.

ImageIO

Ringraziamo Lei Sun per l'assistenza.

IOHIDFamily

Ringraziamo Andy Davis di NCC Group per l'assistenza.

IPSec

Ringraziamo Thijs Alkemade di Computest per l'assistenza.

Voce aggiunta il 10 agosto 2020

Kernel

Ringraziamo Brandon Azad di Google Project Zero per l'assistenza.

Safari

Ringraziamo Jeffball di GRIMM e Luke Walker della Manchester Metropolitan University per l'assistenza.

WebKit

Ringraziamo Aidan Dunlap della UT Austin per l'assistenza.

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: