Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.
Quando possibile, i documenti sulla sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
iOS 16
Data di rilascio: 12 settembre 2022
Accelerate Framework
Disponibile per: iPhone 8 e modelli successivi
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di un codice arbitrario
Descrizione: un problema di consumo della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2022-42795: ryuzaki
Voce aggiunta il 27 ottobre 2022
AppleAVD
Disponibile per: iPhone 8 e modelli successivi
Impatto: un'app può essere in grado di causare l'interruzione del servizio.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-32827: Antonio Zekic (@antoniozekic), Natalie Silvanovich di Google Project Zero e un ricercatore anonimo
Voce aggiunta il 27 ottobre 2022
AppleAVD
Disponibile per: iPhone 8 e modelli successivi
Impatto: un'app potrebbe eseguire un codice arbitrario con privilegi kernel
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2022-32907: Natalie Silvanovich di Google Project Zero, Antonio Zekic (@antoniozekic) e John Aakerblom (@jaakerblom), ABC Research s.r.o, Yinyi Wu, Tommaso Bianco (@cutesmilee__)
Voce aggiunta il 27 ottobre 2022
AppleMobileFileIntegrity
Disponibile per: iPhone 8 e modelli successivi
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: un problema di configurazione è stato risolto attraverso restrizioni aggiuntive.
CVE-2022-32877: Wojciech Reguła (@_r3ggi) di SecuRing
Voce aggiunta il 16 marzo 2023
Apple Neural Engine
Disponibile per: iPhone 8 e modelli successivi
Impatto: un'app potrebbe divulgare lo stato sensibile del kernel
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2022-32858: Mohamed Ghannam (@_simo36)
Voce aggiunta il 27 ottobre 2022
Apple Neural Engine
Disponibile per: iPhone 8 e modelli successivi
Impatto: un'app potrebbe eseguire un codice arbitrario con privilegi kernel
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2022-32898: Mohamed Ghannam (@_simo36)
CVE-2022-32899: Mohamed Ghannam (@_simo36)
CVE-2022-32889: Mohamed Ghannam (@_simo36)
Voce aggiunta il 27 ottobre 2022
Apple TV
Disponibile per: iPhone 8 e modelli successivi
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.
CVE-2022-32909: Csaba Fitzl (@theevilbit) di Offensive Security
Voce aggiunta il 27 ottobre 2022
Contacts
Disponibile per: iPhone 8 e modelli successivi
Impatto: un'app potrebbe bypassare le preferenze sulla privacy
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2022-32854: Holger Fuhrmannek di Deutsche Telekom Security
Crash Reporter
Disponibile per: iPhone 8 e modelli successivi
Impatto: un utente con accesso fisico a un dispositivo iOS può essere in grado di leggere i log diagnostici passati.
Descrizione: il problema è stato risolto attraverso una migliore protezione dei dati.
CVE-2022-32867: Kshitij Kumar e Jai Musunuri di Crowdstrike
Voce aggiunta il 27 ottobre 2022
DriverKit
Disponibile per: iPhone 8 e modelli successivi
Impatto: un'app potrebbe eseguire un codice arbitrario con privilegi kernel
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2022-32865: Linus Henze di Pinauten GmbH (pinauten.de)
Voce aggiunta il 27 ottobre 2022
Exchange
Disponibile per: iPhone 8 e modelli successivi
Impatto: un utente in una posizione privilegiata nella rete potrebbe intercettare le credenziali della posta.
Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.
CVE-2022-32928: Jiří Vinopal (@vinopaljiri) di Check Point Research
Voce aggiunta il 27 ottobre 2022, aggiornata il 16 marzo 2023
FaceTime
Disponibile per: iPhone 8 e modelli successivi
Impatto: un utente può inviare a sua insaputa audio e video in una chiamata FaceTime.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2022-22643: Sonali Luthar dell'Università della Virginia, Michael Liao dell'Università dell'Illinois a Urbana-Champaign, Rohan Pahwa della Rutgers University e Bao Nguyen dell'Università della Florida
Voce aggiunta il 16 marzo 2023
GPU Drivers
Disponibile per: iPhone 8 e modelli successivi
Impatto: un'app potrebbe rivelare la memoria kernel.
Descrizione: più problemi di scrittura non nei limiti sono stati risolti con un migliore controllo dei limiti.
CVE-2022-32793: un ricercatore anonimo
Voce aggiunta il 16 marzo 2023
GPU Drivers
Disponibile per: iPhone 8 e modelli successivi
Impatto: un'applicazione può essere in grado di eseguire un codice arbitrario con privilegi kernel
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-26744: un ricercatore anonimo
Voce aggiunta il 27 ottobre 2022
GPU Drivers
Disponibile per: iPhone 8 e modelli successivi
Impatto: un'app potrebbe eseguire un codice arbitrario con privilegi kernel
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2022-32903: un ricercatore anonimo
Voce aggiunta il 27 ottobre 2022
ImageIO
Disponibile per: iPhone 8 e modelli successivi
Impatto: l'elaborazione di un'immagine potrebbe causare l'interruzione del servizio
Descrizione: un problema di interruzione del servizio è stato risolto attraverso una migliore convalida.
CVE-2022-1622
Voce aggiunta il 27 ottobre 2022
Image Processing
Disponibile per: iPhone 8 e modelli successivi
Impatto: un'applicazione sandbox potrebbe essere in grado di determinare quale app utilizza la fotocamera.
Descrizione: il problema è stato risolto attraverso restrizioni aggiuntive sull'osservabilità degli stati delle app.
CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)
Voce aggiunta il 27 ottobre 2022
IOGPUFamily
Disponibile per: iPhone 8 e modelli successivi
Impatto: un'app potrebbe eseguire un codice arbitrario con privilegi kernel
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2022-32887: un ricercatore anonimo
Voce aggiunta il 27 ottobre 2022
Kernel
Disponibile per: iPhone 8 e modelli successivi
Impatto: un'app potrebbe rivelare la memoria kernel
Descrizione: un problema di lettura non nei limiti che causava la divulgazione della memoria del kernel. Il problema è stato risolto attraverso una migliore convalida dell'input.
CVE-2022-32916: Pan ZhenPeng di STAR Labs SG Pte. Ltd.
Voce aggiunta il 9 novembre 2022
Kernel
Disponibile per: iPhone 8 e modelli successivi
Impatto: un'app potrebbe eseguire un codice arbitrario con privilegi kernel
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2022-32914: Zweig di Kunlun Lab
Voce aggiunta il 27 ottobre 2022
Kernel
Disponibile per: iPhone 8 e modelli successivi
Impatto: un'app potrebbe eseguire un codice arbitrario con privilegi kernel
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2022-32866: Linus Henze di Pinauten GmbH (pinauten.de)
CVE-2022-32911: Zweig di Kunlun Lab
Voce aggiornata il 27 ottobre 2022
Kernel
Disponibile per: iPhone 8 e modelli successivi
Impatto: un'app potrebbe rivelare la memoria kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2022-32864: Linus Henze di Pinauten GmbH (pinauten.de)
Kernel
Disponibile per: iPhone 8 e modelli successivi
Impatto: un'applicazione può essere in grado di eseguire codice un arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con migliori controlli dei limiti.
CVE-2022-32917: un ricercatore anonimo
Maps
Disponibile per: iPhone 8 e modelli successivi
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.
CVE-2022-32883: Ron Masas, breakpointhq.com
MediaLibrary
Disponibile per: iPhone 8 e modelli successivi
Impatto: un utente può essere in grado di elevare i privilegi.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2022-32908: un ricercatore anonimo
Notifications
Disponibile per: iPhone 8 e modelli successivi
Impatto: una utente con accesso fisico a un dispositivo può essere in grado di accedere ai contatti dalla schermata di blocco.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-32879: Ubeydullah Sümer
Voce aggiunta il 27 ottobre 2022
Photos
Disponibile per: iPhone 8 e modelli successivi
Impatto: un'app potrebbe bypassare le preferenze sulla privacy
Descrizione: il problema è stato risolto attraverso una migliore protezione dei dati.
CVE-2022-32918: Ashwani Rajput di Nagarro Software Pvt. Ltd, Srijan Shivam Mishra di The Hack Report, Jugal Goradia di Aastha Technologies, Evan Ricafort (evanricafort.com) di Invalid Web Security, Shesha Sai C (linkedin.com/in/shesha-sai-c-18585b125), Amod Raghunath Patwardhan di Pune, India
Voce aggiunta il 27 ottobre 2022, aggiornata il 16 marzo 2023
Safari
Disponibile per: iPhone 8 e modelli successivi
Impatto: l'accesso a un sito web dannoso può causare lo spoofing della barra degli indirizzi.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2022-32795: Narendra Bhati di Suma Soft Pvt. Ltd. Pune (India) @imnarendrabhati
Safari Extensions
Disponibile per: iPhone 8 e modelli successivi
Impatto: un sito web può essere in grado di monitorare gli utenti mediante le estensioni web di Safari.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
WebKit Bugzilla: 242278
CVE-2022-32868: Michael
Sandbox
Disponibile per: iPhone 8 e modelli successivi
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.
CVE-2022-32881: Csaba Fitzl (@theevilbit) di Offensive Security
Voce aggiunta il 27 ottobre 2022
Security
Disponibile per: iPhone 8 e modelli successivi
Impatto: un'app potrebbe bypassare i controlli di firma del codice.
Descrizione: un problema nella convalida della firma del codice è stato risolto attraverso migliori controlli.
CVE-2022-42793: Linus Henze di Pinauten GmbH (pinauten.de)
Voce aggiunta il 27 ottobre 2022
Shortcuts
Disponibile per: iPhone 8 e modelli successivi
Impatto: una persona con accesso fisico a un dispositivo iOS può essere in grado di accedere alle foto dalla schermata di blocco.
Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.
CVE-2022-32872: Elite Tech Guru
Sidecar
Disponibile per: iPhone 8 e modelli successivi
Impatto: un utente può essere in grado di visualizzare i contenuti con restrizioni dalla schermata di blocco.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-42790: Om kothawade di Zaprico Digital
Voce aggiunta il 27 ottobre 2022
Siri
Disponibile per: iPhone 8 e modelli successivi
Impatto: una persona con accesso fisico a un dispositivo può essere in grado di usare Siri per accedere alle informazioni private del calendario
Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.
CVE-2022-32871: Amit Prajapat di Payatu Security Consulting Private Limited
Voce aggiunta il 16 marzo 2023
Siri
Disponibile per: iPhone 8 e modelli successivi
Impatto: un utente con accesso fisico a un dispositivo può essere in grado di usare Siri per ottenere alcune informazioni sulla cronologia delle chiamate.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-32870: Andrew Goldberg della McCombs School of Business della University of Texas di Austin (linkedin.com/andrew-goldberg-/)
Voce aggiunta il 27 ottobre 2022
Software Update
Disponibile per: iPhone 8 e modelli successivi
Impatto: un'app potrebbe eseguire un codice arbitrario con privilegi kernel
Descrizione: una race condition è stata risolta attraverso una migliore gestione dello stato.
CVE-2022-42791: Mickey Jin (@patch1t) di Trend Micro
Voce aggiunta il 9 novembre 2022
SQLite
Disponibile per: iPhone 8 e modelli successivi
Impatto: un utente collegato in remoto potrebbe provocare un DoS (Denial Of Service).
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-36690
Voce aggiunta il 27 ottobre 2022
Time Zone
Disponibile per: iPhone 8 e modelli successivi
Impatto: i contatti eliminati potrebbero ancora apparire nei risultati di ricerca di Spotlight
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-32859
Voce aggiunta il 27 ottobre 2022
Watch app
Disponibile per: iPhone 8 e modelli successivi
Impatto: un utente locale può essere in grado di leggere un identificatore di dispositivi persistente.
Descrizione: questo problema è stato risolto attraverso migliori autorizzazioni.
CVE-2022-32835: Guilherme Rambo di Best Buddy Apps (rambo.codes)
Voce aggiunta il 27 ottobre 2022
Weather
Disponibile per: iPhone 8 e modelli successivi
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-32875: un ricercatore anonimo
Voce aggiunta il 27 ottobre 2022
WebKit
Disponibile per: iPhone 8 e modelli successivi
Impatto: un utente non autorizzato potrebbe accedere alla cronologia di navigazione
Descrizione: si verificava un problema con i percorsi dei file utilizzati per archiviare i dati del sito web. Il problema è stato risolto migliorando l'archiviazione dei dati del sito web.
CVE-2022-32833: Csaba Fitzl (@theevilbit) di Offensive Security, Jeff Johnson
Voce aggiunta il 9 novembre 2022
WebKit
Disponibile per: iPhone 8 e modelli successivi
Impatto: l'elaborazione di un contenuto web pericoloso potrebbe causare l'esecuzione di un codice arbitrario.
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)
Voce aggiunta il 27 ottobre 2022
WebKit
Disponibile per: iPhone 8 e modelli successivi
Impatto: l'accesso a un sito web che presenta contenuti dannosi potrebbe causare lo spoofing dell'interfaccia utente.
Descrizione: il problema è stato risolto attraverso una migliore gestione dell'interfaccia utente.
WebKit Bugzilla: 243236
CVE-2022-32891: @real_as3617 e un ricercatore anonimo
Voce aggiunta il 27 ottobre 2022
WebKit
Disponibile per: iPhone 8 e modelli successivi
Impatto: l'elaborazione di un contenuto web pericoloso potrebbe causare l'esecuzione di un codice arbitrario.
Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.
WebKit Bugzilla: 241969
CVE-2022-32886: P1umer, afang5472, xmzyshypnc
WebKit
Disponibile per: iPhone 8 e modelli successivi
Impatto: l'elaborazione di un contenuto web pericoloso potrebbe causare l'esecuzione di un codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a) di Theori in collaborazione con Zero Day Initiative di Trend Micro
WebKit Sandboxing
Disponibile per: iPhone 8 e modelli successivi
Impatto: un processo sandbox può essere in grado di eludere le restrizioni della sandbox.
Descrizione: un problema di accesso è stato risolto con miglioramenti alla sandbox.
WebKit Bugzilla: 243181
CVE-2022-32892: @18楼梦想改造家 e @jq0904 del WeBin lab di DBAppSecurity
Voce aggiunta il 27 ottobre 2022
Wi-Fi
Disponibile per: iPhone 8 e modelli successivi
Impatto: un'app potrebbe eseguire un codice arbitrario con privilegi kernel
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-46709: Wang Yu di Cyberserval
Voce aggiunta il 16 marzo 2023
Wi-Fi
Disponibile per: iPhone 8 e modelli successivi
Impatto: un'app potrebbe causare l'arresto improvviso del sistema o scrivere sulla memoria del kernel.
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2022-32925: Wang Yu di Cyberserval
Voce aggiunta il 27 ottobre 2022
Altri riconoscimenti
AirDrop
Ringraziamo Alexander Heinrich, Milan Stute e Christian Weinert della Technical University di Darmstadt per l'assistenza.
Voce aggiunta il 27 ottobre 2022
AppleCredentialManager
Ringraziamo @jonathandata1 per l'assistenza.
Voce aggiunta il 27 ottobre 2022
Calendar UI
Ringraziamo Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College Of Technology Bhopal per l'assistenza.
Voce aggiunta il 27 ottobre 2022
CoreGraphics
Ringraziamo Simon de Vegt per l'assistenza.
Voce aggiunta il 9 novembre 2022
FaceTime
Ringraziamo un ricercatore anonimo per l'assistenza.
Voce aggiunta il 27 ottobre 2022
Find My
Ringraziamo un ricercatore anonimo per l'assistenza.
Voce aggiunta il 27 ottobre 2022
Game Center
Ringraziamo Joshua Jones per l'assistenza.
iCloud
Ringraziamo Bülent Aytulun e un ricercatore anonimo per l'assistenza.
Voce aggiunta il 27 ottobre 2022
Identity Services
Ringraziamo Joshua Jones per l'assistenza.
Kernel
Ringraziamo Pan ZhenPeng (@Peterpan0927), Tingting Yin della Tsinghua University, Min Zheng di Ant Group e un ricercatore anonimo per l'assistenza.
Voce aggiunta il 27 ottobre 2022
Ringraziamo un ricercatore anonimo per l'assistenza.
Voce aggiunta il 27 ottobre 2022
Notes
Ringraziamo Edward Riley di Iron Cloud Limited (ironclouduk.com) per l'assistenza.
Voce aggiunta il 27 ottobre 2022
Photo Booth
Ringraziamo Prashanth Kannan di Dremio per l'assistenza.
Voce aggiunta il 27 ottobre 2022
Safari
Ringraziamo Scott Hatfield di Sub-Zero Group per l'assistenza.
Voce aggiunta il 16 marzo 2023
Sandbox
Ringraziamo Csaba Fitzl (@theevilbit) di Offensive Security per l'assistenza.
Voce aggiunta il 27 ottobre 2022
Shortcuts
Ringraziamo Shay Dror per l'assistenza.
Voce aggiunta il 27 ottobre 2022
SOS
Ringraziamo Xianfeng Lu e Lei Ai di OPPO Amber Security Lab per l'assistenza.
Voce aggiunta il 27 ottobre 2022
UIKit
Ringraziamo Aleczander Ewing, Simon de Vegt e un ricercatore anonimo per l'assistenza.
Voce aggiunta il 27 ottobre 2022
WebKit
Ringraziamo un ricercatore anonimo per l'assistenza.
Voce aggiunta il 27 ottobre 2022
WebRTC
Ringraziamo un ricercatore anonimo per l'assistenza.
Voce aggiunta il 27 ottobre 2022