Informazioni sui contenuti di sicurezza di iOS 14.2 e iPadOS 14.2

In questo documento vengono descritti i contenuti di sicurezza di iOS 14.2 e iPadOS 14.2.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

iOS 14.2 e iPadOS 14.2

Data di rilascio: 5 novembre 2020

Audio

Disponibile per: iPhone 6s e modelli successivi, iPod touch (7a generazione), iPad Air 2 e modelli successivi e iPad mini 4 e modelli successivi

Impatto: l'elaborazione di un file audio dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-27910: JunDong Xie e XingWei Lin di Ant Security Light-Year Lab

Audio

Disponibile per: iPhone 6s e modelli successivi, iPod touch (7a generazione), iPad Air 2 e modelli successivi e iPad mini 4 e modelli successivi

Impatto: l'elaborazione di un file audio dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-27916: JunDong Xie di Ant Security Light-Year Lab

CallKit

Disponibile per: iPhone 6s e modelli successivi, iPod touch (7a generazione), iPad Air 2 e modelli successivi e iPad mini 4 e modelli successivi

Impatto: un utente può rispondere a due chiamate contemporaneamente senza fornire indicazioni di risposta a una seconda chiamata.

Descrizione: si verificava un problema di gestione delle chiamate in arrivo. Il problema è stato risolto attraverso ulteriori verifiche dello stato.

CVE-2020-27925: Nick Tangri

CoreAudio

Disponibile per: iPhone 6s e modelli successivi, iPod touch (7a generazione), iPad Air 2 e modelli successivi e iPad mini 4 e modelli successivi

Impatto: l'elaborazione di un file audio dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-10017: Francis in collaborazione con Zero Day Initiative di Trend Micro, JunDong Xie di Ant Security Light-Year Lab

CoreAudio

Disponibile per: iPhone 6s e modelli successivi, iPod touch 7a generazione, iPad Air 2 e modelli successivi e iPad mini 4 e modelli successivi

Impatto: l'elaborazione di un file audio dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-27908: anonimo in collaborazione con Zero Day Initiative di Trend Micro, JunDong Xie e Xingwei Lin di Ant Security Light-Year Lab

CVE-2020-27909: anonimo in collaborazione con Zero Day Initiative di Trend Micro, JunDong Xie e Xingwei Lin di Ant Security Light-Year Lab

Voce aggiornata il 16 marzo 2021

CoreGraphics

Disponibile per: iPhone 6s e modelli successivi, iPod touch (7a generazione), iPad Air 2 e modelli successivi e iPad mini 4 e modelli successivi

Impatto: l'elaborazione di un PDF pericoloso può causare l'esecuzione di codice arbitrario

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-9897: S.Y. di ZecOps Mobile XDR, un ricercatore anonimo

Voce aggiunta il 25 ottobre 2021

CoreText

Disponibile per: iPhone 6s e modelli successivi, iPod touch 7a generazione, iPad Air 2 e modelli successivi e iPad mini 4 e modelli successivi

Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-27922: Mickey Jin di Trend Micro

Voce aggiunta il 16 marzo 2021

Crash Reporter

Disponibile per: iPhone 6s e modelli successivi, iPod touch (7a generazione), iPad Air 2 e modelli successivi e iPad mini 4 e modelli successivi

Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i  propri privilegi.

Descrizione: si verificava un problema all'interno della logica di convalida dei percorsi per i symlink. Il problema è stato risolto attraverso una migliore sanitizzazione dei percorsi.

CVE-2020-10003: Tim Michaud (@TimGMichaud) di Leviathan

FontParser

Disponibile per: iPhone 6s e modelli successivi, iPod touch (7a generazione), iPad Air 2 e modelli successivi e iPad mini 4 e modelli successivi

Impatto: l'elaborazione di un font dannoso può causare l'esecuzione di codice arbitrario. Apple è a conoscenza di segnalazioni sullo sfruttamento di questo problema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-27930: Google Project Zero

FontParser

Disponibile per: iPhone 6s e modelli successivi, iPod touch (7a generazione), iPad Air 2 e modelli successivi e iPad mini 4 e modelli successivi

Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2020-27927: Xingwei Lin di Ant Security Light-Year Lab

Foundation

Disponibile per: iPhone 6s e modelli successivi, iPod touch (7a generazione), iPad Air 2 e modelli successivi e iPad mini 4 e modelli successivi

Impatto: un utente collegato in locale può essere in grado di leggere file arbitrari.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-10002: James Hutchins

ImageIO

Disponibile per: iPhone 6s e modelli successivi, iPod touch 7a generazione, iPad Air 2 e modelli successivi e iPad mini 4 e modelli successivi

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-27924: Lei Sun

Voce aggiunta il 16 marzo 2021

ImageIO

Disponibile per: iPhone 6s e modelli successivi, iPod touch 7a generazione, iPad Air 2 e modelli successivi e iPad mini 4 e modelli successivi

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-27912: Xingwei Lin di Ant Security Light-Year Lab

CVE-2020-27923: Lei Sun

Voce aggiornata il 16 marzo 2021

IOAcceleratorFamily

Disponibile per: iPhone 6s e modelli successivi, iPod touch (7a generazione), iPad Air 2 e modelli successivi e iPad mini 4 e modelli successivi

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-27905: Mohamed Ghannam (@_simo36)

Kernel

Disponibile per: iPhone 6s e modelli successivi, iPod touch (7a generazione), iPad Air 2 e modelli successivi e iPad mini 4 e modelli successivi

Impatto: un'applicazione dannosa può rivelare la memoria kernel. Apple è a conoscenza di segnalazioni sullo sfruttamento di questo problema.

Descrizione: è stato risolto un problema di inizializzazione della memoria.

CVE-2020-27950: Google Project Zero

Kernel

Disponibile per: iPhone 6s e modelli successivi, iPod touch (7a generazione), iPad Air 2 e modelli successivi e iPad mini 4 e modelli successivi

Impatto: un'applicazione dannosa può essere in grado di determinare il layout della memoria del kernel.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-9974: Tommy Muir (@Muirey03)

Kernel

Disponibile per: iPhone 6s e modelli successivi, iPod touch (7a generazione), iPad Air 2 e modelli successivi e iPad mini 4 e modelli successivi

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-10016: Alex Helie

Kernel

Disponibile per: iPhone 6s e modelli successivi, iPod touch (7a generazione), iPad Air 2 e modelli successivi e iPad mini 4 e modelli successivi

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel. Apple è a conoscenza di segnalazioni sullo sfruttamento di questo problema.

Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-27932: Google Project Zero

Keyboard

Disponibile per: iPhone 6s e modelli successivi, iPod touch (7a generazione), iPad Air 2 e modelli successivi e iPad mini 4 e modelli successivi

Impatto: una persona con accesso fisico a un dispositivo iOS può essere in grado di accedere senza autenticazione alle password memorizzate.

Descrizione: un problema di autenticazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-27902: Connor Ford (@connorford2)

libxml2

Disponibile per: iPhone 6s e modelli successivi, iPod touch 7a generazione, iPad Air 2 e modelli successivi e iPad mini 4 e modelli successivi

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-27917: rilevato da OSS-Fuzz

CVE-2020-27920: rilevato da OSS-Fuzz

Voce aggiornata il 16 marzo 2021

libxml2

Disponibile per: iPhone 6s e modelli successivi, iPod touch (7a generazione), iPad Air 2 e modelli successivi e iPad mini 4 e modelli successivi

Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di overflow dei numeri interi è stato risolto mediante una migliore convalida degli input.

CVE-2020-27911: rilevato da OSS-Fuzz

libxml2

Disponibile per: iPhone 6s e modelli successivi, iPod touch (7a generazione), iPad Air 2 e modelli successivi e iPad mini 4 e modelli successivi

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-27926: rilevato da OSS-Fuzz

Logging

Disponibile per: iPhone 6s e modelli successivi, iPod touch (7a generazione), iPad Air 2 e modelli successivi e iPad mini 4 e modelli successivi

Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi.

Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.

CVE-2020-10010: Tommy Muir (@Muirey03)

Model I/O

Disponibile per: iPhone 6s e modelli successivi, iPod touch (7a generazione), iPad Air 2 e modelli successivi e iPad mini 4 e modelli successivi

Impatto: l'apertura di un file dannoso può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-10004: Aleksandar Nikolic di Cisco Talos

Model I/O

Disponibile per: iPhone 6s e modelli successivi, iPod touch (7a generazione), iPad Air 2 e modelli successivi e iPad mini 4 e modelli successivi

Impatto: l'elaborazione di un file USD dannoso può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-13524: Aleksandar Nikolic di Cisco Talos

Model I/O

Disponibile per: iPhone 6s e modelli successivi, iPod touch (7a generazione), iPad Air 2 e modelli successivi e iPad mini 4 e modelli successivi

Impatto: l'elaborazione di un file USD dannoso può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2020-10011: Aleksandar Nikolic di Cisco Talos

Symptom Framework

Disponibile per: iPhone 6s e modelli successivi, iPod touch (7a generazione), iPad Air 2 e modelli successivi e iPad mini 4 e modelli successivi

Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-27899: 08Tc3wBB in collaborazione con ZecOps

Voce aggiunta il 15 dicembre 2020

WebKit

Disponibile per: iPhone 6s e modelli successivi, iPod touch 7a generazione, iPad Air 2 e modelli successivi e iPad mini 4 e modelli successivi

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-27918: Liu Long di Ant Security Light-Year Lab

Voce aggiornata il 16 marzo 2021

XNU

Disponibile per: iPhone 6s e modelli successivi, iPod touch (7a generazione), iPad Air 2 e modelli successivi e iPad mini 4 e modelli successivi

Impatto: un processo sandbox può essere in grado di eludere le restrizioni della sandbox.

Descrizione: diversi problemi sono stati risolti attraverso una migliore logica.

CVE-2020-27935: Lior Halphon (@LIJI32)

Voce aggiunta il 15 dicembre 2020

Altri riconoscimenti

NetworkExtension

Ringraziamo un ricercatore anonimo per l'assistenza.

Voce aggiunta il 15 dicembre 2020

Safari

Ringraziamo Gabriel Corona per l'assistenza.

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: