Informazioni sui contenuti di sicurezza di iOS 16

Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.

Quando possibile, i documenti sulla sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

Data di rilascio: 12 settembre 2022

Accelerate Framework

Disponibile per: iPhone 8 e modelli successivi

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di un codice arbitrario

Descrizione: un problema di consumo della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2022-42795: ryuzaki

Voce aggiunta il 27 ottobre 2022

AppleAVD

Disponibile per: iPhone 8 e modelli successivi

Impatto: un'app può essere in grado di causare l'interruzione del servizio.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2022-32827: Antonio Zekic (@antoniozekic), Natalie Silvanovich di Google Project Zero e un ricercatore anonimo

Voce aggiunta il 27 ottobre 2022

AppleAVD

Disponibile per: iPhone 8 e modelli successivi

Impatto: un'app potrebbe eseguire un codice arbitrario con privilegi kernel

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2022-32907: Natalie Silvanovich di Google Project Zero, Antonio Zekic (@antoniozekic) e John Aakerblom (@jaakerblom), ABC Research s.r.o, Yinyi Wu, Tommaso Bianco (@cutesmilee__)

Voce aggiunta il 27 ottobre 2022

AppleMobileFileIntegrity

Disponibile per: iPhone 8 e modelli successivi

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: un problema di configurazione è stato risolto attraverso restrizioni aggiuntive.

CVE-2022-32877: Wojciech Reguła (@_r3ggi) di SecuRing

Voce aggiunta il 16 marzo 2023

Apple Neural Engine

Disponibile per: iPhone 8 e modelli successivi

Impatto: un'app potrebbe divulgare lo stato sensibile del kernel

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2022-32858: Mohamed Ghannam (@_simo36)

Voce aggiunta il 27 ottobre 2022

Apple Neural Engine

Disponibile per: iPhone 8 e modelli successivi

Impatto: un'app potrebbe eseguire un codice arbitrario con privilegi kernel

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2022-32898: Mohamed Ghannam (@_simo36)

CVE-2022-32899: Mohamed Ghannam (@_simo36)

CVE-2022-32889: Mohamed Ghannam (@_simo36)

Voce aggiunta il 27 ottobre 2022

Apple TV

Disponibile per: iPhone 8 e modelli successivi

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.

CVE-2022-32909: Csaba Fitzl (@theevilbit) di Offensive Security

Voce aggiunta il 27 ottobre 2022

Contacts

Disponibile per: iPhone 8 e modelli successivi

Impatto: un'app potrebbe bypassare le preferenze sulla privacy

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2022-32854: Holger Fuhrmannek di Deutsche Telekom Security

Crash Reporter

Disponibile per: iPhone 8 e modelli successivi

Impatto: un utente con accesso fisico a un dispositivo iOS può essere in grado di leggere i log diagnostici passati.

Descrizione: il problema è stato risolto attraverso una migliore protezione dei dati.

CVE-2022-32867: Kshitij Kumar e Jai Musunuri di Crowdstrike

Voce aggiunta il 27 ottobre 2022

DriverKit

Disponibile per: iPhone 8 e modelli successivi

Impatto: un'app potrebbe eseguire un codice arbitrario con privilegi kernel

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2022-32865: Linus Henze di Pinauten GmbH (pinauten.de)

Voce aggiunta il 27 ottobre 2022

Exchange

Disponibile per: iPhone 8 e modelli successivi

Impatto: un utente in una posizione privilegiata nella rete potrebbe intercettare le credenziali della posta.

Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.

CVE-2022-32928: Jiří Vinopal (@vinopaljiri) di Check Point Research

Voce aggiunta il 27 ottobre 2022, aggiornata il 16 marzo 2023

FaceTime

Disponibile per: iPhone 8 e modelli successivi

Impatto: un utente può inviare a sua insaputa audio e video in una chiamata FaceTime.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2022-22643: Sonali Luthar dell'Università della Virginia, Michael Liao dell'Università dell'Illinois a Urbana-Champaign, Rohan Pahwa della Rutgers University e Bao Nguyen dell'Università della Florida

Voce aggiunta il 16 marzo 2023

GPU Drivers

Disponibile per: iPhone 8 e modelli successivi

Impatto: un'app potrebbe rivelare la memoria kernel.

Descrizione: più problemi di scrittura non nei limiti sono stati risolti con un migliore controllo dei limiti.

CVE-2022-32793: un ricercatore anonimo

Voce aggiunta il 16 marzo 2023

GPU Drivers

Disponibile per: iPhone 8 e modelli successivi

Impatto: un'applicazione può essere in grado di eseguire un codice arbitrario con privilegi kernel

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2022-26744: un ricercatore anonimo

Voce aggiunta il 27 ottobre 2022

GPU Drivers

Disponibile per: iPhone 8 e modelli successivi

Impatto: un'app potrebbe eseguire un codice arbitrario con privilegi kernel

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2022-32903: un ricercatore anonimo

Voce aggiunta il 27 ottobre 2022

ImageIO

Disponibile per: iPhone 8 e modelli successivi

Impatto: l'elaborazione di un'immagine potrebbe causare l'interruzione del servizio

Descrizione: un problema di interruzione del servizio è stato risolto attraverso una migliore convalida.

CVE-2022-1622

Voce aggiunta il 27 ottobre 2022

Image Processing

Disponibile per: iPhone 8 e modelli successivi

Impatto: un'applicazione sandbox potrebbe essere in grado di determinare quale app utilizza la fotocamera.

Descrizione: il problema è stato risolto attraverso restrizioni aggiuntive sull'osservabilità degli stati delle app.

CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)

Voce aggiunta il 27 ottobre 2022

IOGPUFamily

Disponibile per: iPhone 8 e modelli successivi

Impatto: un'app potrebbe eseguire un codice arbitrario con privilegi kernel

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2022-32887: un ricercatore anonimo

Voce aggiunta il 27 ottobre 2022

Kernel

Disponibile per: iPhone 8 e modelli successivi

Impatto: un'app potrebbe rivelare la memoria kernel

Descrizione: un problema di lettura non nei limiti che causava la divulgazione della memoria del kernel. Il problema è stato risolto attraverso una migliore convalida dell'input.

CVE-2022-32916: Pan ZhenPeng di STAR Labs SG Pte. Ltd.

Voce aggiunta il 9 novembre 2022

Kernel

Disponibile per: iPhone 8 e modelli successivi

Impatto: un'app potrebbe eseguire un codice arbitrario con privilegi kernel

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2022-32914: Zweig di Kunlun Lab

Voce aggiunta il 27 ottobre 2022

Kernel

Disponibile per: iPhone 8 e modelli successivi

Impatto: un'app potrebbe eseguire un codice arbitrario con privilegi kernel

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2022-32866: Linus Henze di Pinauten GmbH (pinauten.de)

CVE-2022-32911: Zweig di Kunlun Lab

Voce aggiornata il 27 ottobre 2022

Kernel

Disponibile per: iPhone 8 e modelli successivi

Impatto: un'app potrebbe rivelare la memoria kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2022-32864: Linus Henze di Pinauten GmbH (pinauten.de)

Kernel

Disponibile per: iPhone 8 e modelli successivi

Impatto: un'applicazione può essere in grado di eseguire codice un arbitrario con privilegi kernel.

Descrizione: il problema è stato risolto con migliori controlli dei limiti.

CVE-2022-32917: un ricercatore anonimo

Maps

Disponibile per: iPhone 8 e modelli successivi

Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.

Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.

CVE-2022-32883: Ron Masas, breakpointhq.com

MediaLibrary

Disponibile per: iPhone 8 e modelli successivi

Impatto: un utente può essere in grado di elevare i privilegi.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2022-32908: un ricercatore anonimo

Notifications

Disponibile per: iPhone 8 e modelli successivi

Impatto: una utente con accesso fisico a un dispositivo può essere in grado di accedere ai contatti dalla schermata di blocco.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2022-32879: Ubeydullah Sümer

Voce aggiunta il 27 ottobre 2022

Photos

Disponibile per: iPhone 8 e modelli successivi

Impatto: un'app potrebbe bypassare le preferenze sulla privacy

Descrizione: il problema è stato risolto attraverso una migliore protezione dei dati.

CVE-2022-32918: Ashwani Rajput di Nagarro Software Pvt. Ltd, Srijan Shivam Mishra di The Hack Report, Jugal Goradia di Aastha Technologies, Evan Ricafort (evanricafort.com) di Invalid Web Security, Shesha Sai C (linkedin.com/in/shesha-sai-c-18585b125), Amod Raghunath Patwardhan di Pune, India

Voce aggiunta il 27 ottobre 2022, aggiornata il 16 marzo 2023

Safari

Disponibile per: iPhone 8 e modelli successivi

Impatto: l'accesso a un sito web dannoso può causare lo spoofing della barra degli indirizzi.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2022-32795: Narendra Bhati di Suma Soft Pvt. Ltd. Pune (India) @imnarendrabhati

Safari Extensions

Disponibile per: iPhone 8 e modelli successivi

Impatto: un sito web può essere in grado di monitorare gli utenti mediante le estensioni web di Safari.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

WebKit Bugzilla: 242278
CVE-2022-32868: Michael

Sandbox

Disponibile per: iPhone 8 e modelli successivi

Impatto: un'app potrebbe modificare parti protette del file system.

Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.

CVE-2022-32881: Csaba Fitzl (@theevilbit) di Offensive Security

Voce aggiunta il 27 ottobre 2022

Security

Disponibile per: iPhone 8 e modelli successivi

Impatto: un'app potrebbe bypassare i controlli di firma del codice.

Descrizione: un problema nella convalida della firma del codice è stato risolto attraverso migliori controlli.

CVE-2022-42793: Linus Henze di Pinauten GmbH (pinauten.de)

Voce aggiunta il 27 ottobre 2022

Shortcuts

Disponibile per: iPhone 8 e modelli successivi

Impatto: una persona con accesso fisico a un dispositivo iOS può essere in grado di accedere alle foto dalla schermata di blocco.

Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.

CVE-2022-32872: Elite Tech Guru

Sidecar

Disponibile per: iPhone 8 e modelli successivi

Impatto: un utente può essere in grado di visualizzare i contenuti con restrizioni dalla schermata di blocco.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2022-42790: Om kothawade di Zaprico Digital

Voce aggiunta il 27 ottobre 2022

Siri

Disponibile per: iPhone 8 e modelli successivi

Impatto: una persona con accesso fisico a un dispositivo può essere in grado di usare Siri per accedere alle informazioni private del calendario

Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.

CVE-2022-32871: Amit Prajapat di Payatu Security Consulting Private Limited

Voce aggiunta il 16 marzo 2023

Siri

Disponibile per: iPhone 8 e modelli successivi

Impatto: un utente con accesso fisico a un dispositivo può essere in grado di usare Siri per ottenere alcune informazioni sulla cronologia delle chiamate.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2022-32870: Andrew Goldberg della McCombs School of Business della University of Texas di Austin (linkedin.com/andrew-goldberg-/)

Voce aggiunta il 27 ottobre 2022

Software Update

Disponibile per: iPhone 8 e modelli successivi

Impatto: un'app potrebbe eseguire un codice arbitrario con privilegi kernel

Descrizione: una race condition è stata risolta attraverso una migliore gestione dello stato.

CVE-2022-42791: Mickey Jin (@patch1t) di Trend Micro

Voce aggiunta il 9 novembre 2022

SQLite

Disponibile per: iPhone 8 e modelli successivi

Impatto: un utente collegato in remoto potrebbe provocare un DoS (Denial Of Service).

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2021-36690

Voce aggiunta il 27 ottobre 2022

Time Zone

Disponibile per: iPhone 8 e modelli successivi

Impatto: i contatti eliminati potrebbero ancora apparire nei risultati di ricerca di Spotlight

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2022-32859

Voce aggiunta il 27 ottobre 2022

Watch app

Disponibile per: iPhone 8 e modelli successivi

Impatto: un utente locale può essere in grado di leggere un identificatore di dispositivi persistente.

Descrizione: questo problema è stato risolto attraverso migliori autorizzazioni.

CVE-2022-32835: Guilherme Rambo di Best Buddy Apps (rambo.codes)

Voce aggiunta il 27 ottobre 2022

Weather

Disponibile per: iPhone 8 e modelli successivi

Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2022-32875: un ricercatore anonimo

Voce aggiunta il 27 ottobre 2022

WebKit

Disponibile per: iPhone 8 e modelli successivi

Impatto: un utente non autorizzato potrebbe accedere alla cronologia di navigazione

Descrizione: si verificava un problema con i percorsi dei file utilizzati per archiviare i dati del sito web. Il problema è stato risolto migliorando l'archiviazione dei dati del sito web.

CVE-2022-32833: Csaba Fitzl (@theevilbit) di Offensive Security, Jeff Johnson

Voce aggiunta il 9 novembre 2022

WebKit

Disponibile per: iPhone 8 e modelli successivi

Impatto: l'elaborazione di un contenuto web pericoloso potrebbe causare l'esecuzione di un codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)

Voce aggiunta il 27 ottobre 2022

WebKit

Disponibile per: iPhone 8 e modelli successivi

Impatto: l'accesso a un sito web che presenta contenuti dannosi potrebbe causare lo spoofing dell'interfaccia utente.

Descrizione: il problema è stato risolto attraverso una migliore gestione dell'interfaccia utente.

WebKit Bugzilla: 243236
CVE-2022-32891: @real_as3617 e un ricercatore anonimo

Voce aggiunta il 27 ottobre 2022

WebKit

Disponibile per: iPhone 8 e modelli successivi

Impatto: l'elaborazione di un contenuto web pericoloso potrebbe causare l'esecuzione di un codice arbitrario.

Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.

WebKit Bugzilla: 241969
CVE-2022-32886: P1umer, afang5472, xmzyshypnc

WebKit

Disponibile per: iPhone 8 e modelli successivi

Impatto: l'elaborazione di un contenuto web pericoloso potrebbe causare l'esecuzione di un codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a) di Theori in collaborazione con Zero Day Initiative di Trend Micro

WebKit Sandboxing

Disponibile per: iPhone 8 e modelli successivi

Impatto: un processo sandbox può essere in grado di eludere le restrizioni della sandbox.

Descrizione: un problema di accesso è stato risolto con miglioramenti alla sandbox.

WebKit Bugzilla: 243181
CVE-2022-32892: @18楼梦想改造家 e @jq0904 del WeBin lab di DBAppSecurity

Voce aggiunta il 27 ottobre 2022

Wi-Fi

Disponibile per: iPhone 8 e modelli successivi

Impatto: un'app potrebbe eseguire un codice arbitrario con privilegi kernel

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2022-46709: Wang Yu di Cyberserval

Voce aggiunta il 16 marzo 2023

Wi-Fi

Disponibile per: iPhone 8 e modelli successivi

Impatto: un'app potrebbe causare l'arresto improvviso del sistema o scrivere sulla memoria del kernel.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2022-32925: Wang Yu di Cyberserval

Voce aggiunta il 27 ottobre 2022

AirDrop

Ringraziamo Alexander Heinrich, Milan Stute e Christian Weinert della Technical University di Darmstadt per l'assistenza.

Voce aggiunta il 27 ottobre 2022

AppleCredentialManager

Ringraziamo @jonathandata1 per l'assistenza.

Voce aggiunta il 27 ottobre 2022

Calendar UI

Ringraziamo Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College Of Technology Bhopal per l'assistenza.

Voce aggiunta il 27 ottobre 2022

CoreGraphics

Ringraziamo Simon de Vegt per l'assistenza.

Voce aggiunta il 9 novembre 2022

FaceTime

Ringraziamo un ricercatore anonimo per l'assistenza.

Voce aggiunta il 27 ottobre 2022

Find My

Ringraziamo un ricercatore anonimo per l'assistenza.

Voce aggiunta il 27 ottobre 2022

Game Center

Ringraziamo Joshua Jones per l'assistenza.

iCloud

Ringraziamo Bülent Aytulun e un ricercatore anonimo per l'assistenza.

Voce aggiunta il 27 ottobre 2022

Identity Services

Ringraziamo Joshua Jones per l'assistenza.

Kernel

Ringraziamo Pan ZhenPeng (@Peterpan0927), Tingting Yin della Tsinghua University, Min Zheng di Ant Group e un ricercatore anonimo per l'assistenza.

Voce aggiunta il 27 ottobre 2022

Mail

Ringraziamo un ricercatore anonimo per l'assistenza.

Voce aggiunta il 27 ottobre 2022

Notes

Ringraziamo Edward Riley di Iron Cloud Limited (ironclouduk.com) per l'assistenza.

Voce aggiunta il 27 ottobre 2022

Photo Booth

Ringraziamo Prashanth Kannan di Dremio per l'assistenza.

Voce aggiunta il 27 ottobre 2022

Safari

Ringraziamo Scott Hatfield di Sub-Zero Group per l'assistenza.

Voce aggiunta il 16 marzo 2023

Sandbox

Ringraziamo Csaba Fitzl (@theevilbit) di Offensive Security per l'assistenza.

Voce aggiunta il 27 ottobre 2022

Shortcuts

Ringraziamo Shay Dror per l'assistenza.

Voce aggiunta il 27 ottobre 2022

SOS

Ringraziamo Xianfeng Lu e Lei Ai di OPPO Amber Security Lab per l'assistenza.

Voce aggiunta il 27 ottobre 2022

UIKit

Ringraziamo Aleczander Ewing, Simon de Vegt e un ricercatore anonimo per l'assistenza.

Voce aggiunta il 27 ottobre 2022

WebKit

Ringraziamo un ricercatore anonimo per l'assistenza.

Voce aggiunta il 27 ottobre 2022

WebRTC

Ringraziamo un ricercatore anonimo per l'assistenza.

Voce aggiunta il 27 ottobre 2022