Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
iOS 15.5 e iPadOS 15.5
Data di rilascio: 16 maggio 2022
AppleAVD
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2022-26702: un ricercatore anonimo, Antonio Zekic (@antoniozekic) e John Aakerblom (@jaakerblom)
Voce aggiornata il 16 marzo 2023
AppleGraphicsControl
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2022-26751: Michael DePlante (@izobashi) di Trend Micro Zero Day Initiative
AVEVideoEncoder
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2022-26736: un ricercatore anonimo
CVE-2022-26737: un ricercatore anonimo
CVE-2022-26738: un ricercatore anonimo
CVE-2022-26739: un ricercatore anonimo
CVE-2022-26740: un ricercatore anonimo
DriverKit
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di accesso non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2022-26763: Linus Henze di Pinauten GmbH (pinauten.de)
FaceTime
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un'app con privilegi root potrebbe accedere a informazioni private.
Descrizione: il problema è stato risolto abilitando runtime rafforzato.
CVE-2022-32781: Wojciech Reguła (@_r3ggi) di SecuRing
Voce aggiunta il 6 luglio 2022
GPU Drivers
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-26744: un ricercatore anonimo
ImageIO
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di overflow dei numeri interi è stato risolto attraverso una migliore convalida dell'input.
CVE-2022-26711: actae0n di Blacksun Hackers Club in collaborazione con Trend Micro Zero Day Initiative
IOKit
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: una race condition è stata risolta attraverso un blocco migliore.
CVE-2022-26701: chenyuwang (@mzzzz__) di Tencent Security Xuanwu Lab
IOSurfaceAccelerator
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-26771: un ricercatore anonimo
Kernel
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) di STAR Labs (@starlabs_sg)
Kernel
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2022-26757: Ned Williamson di Google Project Zero
Kernel
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un utente malintenzionato che ha già ottenuto l'esecuzione del codice kernel può essere in grado di bypassare le mitigazioni della memoria del kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
CVE-2022-26764: Linus Henze di Pinauten GmbH (pinauten.de)
Kernel
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un utente malintenzionato con funzionalità di lettura e scrittura arbitraria potrebbe riuscire a bypassare l'autenticazione del puntatore.
Descrizione: una race condition è stata risolta attraverso una migliore gestione dello stato.
CVE-2022-26765: Linus Henze di Pinauten GmbH (pinauten.de)
LaunchServices
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un processo sandbox può essere in grado di eludere le restrizioni della sandbox.
Descrizione: un problema di accesso è stato risolto attraverso restrizioni della sandbox aggiuntive su applicazioni di terze parti.
CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or di Microsoft
Voce aggiornata il 6 luglio 2022
libresolv
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un utente malintenzionato può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di overflow dei numeri interi è stato risolto attraverso una migliore convalida dell'input.
CVE-2022-26775: Max Shavrick (@_mxms) del Google Security Team
Voce aggiunta il 21 giugno 2022
libresolv
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un utente malintenzionato può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2022-26708: Max Shavrick (@_mxms) del Google Security Team
Voce aggiunta il 21 giugno 2022
libresolv
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un utente collegato in remoto potrebbe causare l'interruzione del servizio.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2022-32790: Max Shavrick (@_mxms) del Google Security Team
Voce aggiunta il 21 giugno 2022
libresolv
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un utente malintenzionato può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2022-26776: Max Shavrick (@_mxms) del Google Security Team, Zubair Ashraf di Crowdstrike
Voce aggiunta il 21 giugno 2022
libxml2
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2022-23308
Notes
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: l'elaborazione di un input di grandi dimensioni può causare una negazione del servizio.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2022-22673: Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology Bhopal
Safari Private Browsing
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un sito web dannoso può essere in grado di monitorare gli utenti nella modalità di navigazione privata di Safari.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-26731: un ricercatore anonimo
Security
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un'app dannosa può essere in grado di bypassare la convalida della firma.
Descrizione: un problema di analisi dei certificati è stato risolto con migliori controlli.
CVE-2022-26766: Linus Henze di Pinauten GmbH (pinauten.de)
Shortcuts
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: una persona con accesso fisico a un dispositivo iOS può essere in grado di accedere alle foto dalla schermata di blocco.
Descrizione: un problema di autorizzazione è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-26703: Salman Syed (@slmnsd551)
Spotlight
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un'app potrebbe riuscire ad acquisire privilegi elevati
Descrizione: si verificava un problema di convalida nella gestione dei link simbolici. Questo problema è stato risolto attraverso una migliore convalida dei link simbolici.
CVE-2022-26704: Gergely Kalman (@gergely_kalman) e Joshua Mason di Mandiant
Voce aggiunta il 21 dicembre 2023
TCC
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un'app può essere in grado di bypassare le preferenze sulla privacy.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2022-26726: Antonio Cheong Yu Xuan di YCISCQ
Voce aggiunta il 16 marzo 2023
WebKit
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
WebKit Bugzilla: 238178
CVE-2022-26700: ryuzaki
WebKit
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
WebKit Bugzilla: 236950
CVE-2022-26709: Chijin Zhou di ShuiMuYuLin Ltd e Tsinghua wingtecher lab
WebKit Bugzilla: 237475
CVE-2022-26710: Chijin Zhou di ShuiMuYuLin Ltd e Tsinghua wingtecher lab
WebKit Bugzilla: 238171
CVE-2022-26717: Jeonghoon Shin di Theori
WebKit
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
WebKit Bugzilla: 238183
CVE-2022-26716: SorryMybad (@S0rryMybad) di Kunlun Lab
WebKit Bugzilla: 238699
CVE-2022-26719: Dongzhuo Zhao in collaborazione con ADLab di Venustech
WebRTC
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: l'auto-anteprima del video in una chiamata con WebRTC può essere interrotta se l'utente risponde a una chiamata telefonica.
Descrizione: un problema logico nella gestione dei supporti simultanei è stato risolto attraverso una migliore gestione dello stato.
WebKit Bugzilla: 237524
CVE-2022-22677: un ricercatore anonimo
Wi-Fi
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un'applicazione dannosa può causare la divulgazione della memoria con restrizioni.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
CVE-2022-26745: Scarlet Raine
Voce aggiornata il 6 luglio 2022
Wi-Fi
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un'applicazione dannosa può essere in grado di elevare i privilegi.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-26760: 08Tc3wBB di ZecOps Mobile EDR Team
Wi-Fi
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un malintenzionato collegato in remoto può causare una negazione del servizio.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2015-4142: Kostya Kortchinsky del Google Security Team
Wi-Fi
Disponibile per: iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 4 e modelli successivi e iPod touch (7a generazione)
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2022-26762: Wang Yu di Cyberserval
Altri riconoscimenti
AppleMobileFileIntegrity
Ringraziamo Wojciech Reguła (@_r3ggi) di SecuRing per l'assistenza.
FaceTime
Ringraziamo Wojciech Reguła (@_r3ggi) di SecuRing per l'assistenza.
FileVault
Ringraziamo Benjamin Adolphi di Promon Germany GmbH per l'assistenza.
Voce aggiunta il 16 marzo 2023
WebKit
Ringraziamo James Lee e un ricercatore anonimo per l'assistenza.
Voce aggiornata il 25 maggio 2022
Wi-Fi
Ringraziamo 08Tc3wBB del ZecOps Mobile EDR Team per l'assistenza.