Informazioni sui contenuti di sicurezza di iOS 16.1 e iPadOS 16

In questo documento vengono descritti i contenuti di sicurezza di iOS 16.1 e iPadOS 16.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

iOS 16.1 e iPadOS 16

Data di rilascio: 24 ottobre 2022

Apple Neural Engine

Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air (3a generazione e modelli successivi), iPad (5a generazione e modelli successivi), iPad mini (5a generazione e modelli successivi)

Impatto: un'app potrebbe eseguire un codice arbitrario con privilegi kernel

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2022-32932: Mohamed Ghannam (@_simo36)

Voce aggiunta il 27 ottobre 2022

AppleMobileFileIntegrity

Impatto: un'app potrebbe modificare parti protette del file system.

Descrizione: questo problema è stato risolto attraverso la rimozione dei diritti aggiuntivi.

CVE-2022-42825: Mickey Jin (@patch1t)

Apple TV

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.

CVE-2022-32909: Csaba Fitzl (@theevilbit) di Offensive Security

Voce aggiunta il 21 dicembre 2023

Audio

Impatto: l'analisi di un file audio dannoso può causare la divulgazione delle informazioni utente.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2022-42798: anonimo in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiunta il 27 ottobre 2022

AVEVideoEncoder

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: il problema è stato risolto con migliori controlli dei limiti.

CVE-2022-32940: ABC Research s.r.o.

Backup

Impatto: un'app potrebbe accedere ai backup di iOS.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2022-32929: Csaba Fitzl (@theevilbit) di Offensive Security

Voce aggiunta il 27 ottobre 2022

CFNetwork

Impatto: l'elaborazione di un certificato dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: si verifica un problema relativo alla convalida di un certificato nella gestione di WKWebViewgestione dei certificati WKWebView. Il problema è stato risolto attraverso una migliore convalida.

CVE-2022-42813: Jonathan Zhang di Open Computing Facility (ocf.berkeley.edu)

Core Bluetooth

Impatto: un'app potrebbe essere in grado di registrare l'audio con gli AirPods abbinati.

Descrizione: un problema di accesso è stato risolto attraverso ulteriori restrizioni della sandbox sulle app di terze parti.

CVE-2022-32945: Guilherme Rambo di Best Buddy Apps (rambo.codes)

Voce aggiunta il 22 dicembre 2022

Core Bluetooth

Impatto: un'app potrebbe essere in grado di registrare l'audio utilizzando un paio di AirPods connessi.

Descrizione: questo problema è stato risolto attraverso migliori autorizzazioni.

CVE-2022-32946: Guilherme Rambo di Best Buddy Apps (rambo.codes)

FaceTime

Impatto: un utente potrebbe visualizzare i contenuti con restrizioni dalla schermata di blocco

Descrizione: un problema della schermata di blocco è stato risolto con una migliore gestione dello stato.

CVE-2022-32935: Bistrit Dahal

Voce aggiunta il 27 ottobre 2022

GPU Drivers

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2022-32947: Asahi Lina (@LinaAsahi)

Graphics Driver

Impatto: un'app potrebbe eseguire un codice arbitrario con privilegi kernel

Descrizione: il problema è stato risolto con migliori controlli dei limiti.

CVE-2022-32939: Willy R. Vasquez della University of Texas di Austin

Voce aggiunta il 27 ottobre 2022

IOHIDFamily

Impatto: un'app potrebbe causare la chiusura improvvisa di un'app o l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2022-42820: Peter Pan ZhenPeng di STAR Labs

IOKit

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: una race condition è stata risolta attraverso un blocco migliore.

CVE-2022-42806: Tingting Yin della Tsinghua University

Kernel

Impatto: un'app potrebbe causare l'arresto improvviso del sistema o eseguire codice con privilegi kernel

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2022-46712: Tommy Muir (@Muirey03)

Voce aggiunta il 1 maggio 2023

Kernel

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2022-32944: Tim Michaud (@TimGMichaud) di Moveworks.ai

Voce aggiunta il 27 ottobre 2022

Kernel

Impatto: un'app potrebbe eseguire un codice arbitrario con privilegi kernel

Descrizione: una race condition è stata risolta attraverso un blocco migliore.

CVE-2022-42803: Xinru Chi di Pangu Lab, John Aakerblom (@jaakerblom)

Voce aggiunta il 27 ottobre 2022

Kernel

Impatto: un'app con privilegi root potrebbe eseguire codice arbitrario con privilegi kernel

Descrizione: il problema è stato risolto con migliori controlli dei limiti.

CVE-2022-32926: Tim Michaud (@TimGMichaud) di Moveworks.ai

Voce aggiunta il 27 ottobre 2022

Kernel

Impatto: un'app potrebbe eseguire un codice arbitrario con privilegi kernel

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2022-42801: Ian Beer di Google Project Zero

Voce aggiunta il 27 ottobre 2022

Kernel

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2022-32924: Ian Beer di Google Project Zero

Kernel

Impatto: un utente collegato in remoto potrebbe provocare l'esecuzione del codice kernel.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2022-42808: Zweig di Kunlun Lab

Kernel

Impatto: un'applicazione può causare l'esecuzione di codice arbitrario con privilegi kernel. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2022-42827: un ricercatore anonimo

Model I/O

Impatto: l'elaborazione di un file USD dannoso potrebbe causare la divulgazione di contenuti presenti in memoria.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2022-42810: Xingwei Lin (@xwlin_roy) e Yinyi Wu di Ant Security Light-Year Lab

Voce aggiunta il 27 ottobre 2022

NetworkExtension

Impatto: un'app potrebbe bypassare alcune preferenze sulla privacy.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2022-46715: IES Red Team di ByteDance

Voce aggiunta il 1 maggio 2023

ppp

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2022-42828: un ricercatore anonimo

Voce aggiunta il 31 ottobre 2023

ppp

Impatto: un overflow del buffer può causare l'esecuzione di codice arbitrario

Descrizione: il problema è stato risolto con migliori controlli dei limiti.

CVE-2022-32941: un ricercatore anonimo

Voce aggiunta il 27 ottobre 2022

ppp

Impatto: un'app con privilegi root potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2022-42829: un ricercatore anonimo

ppp

Impatto: un'app con privilegi root potrebbe eseguire codice arbitrario con privilegi kernel

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2022-42830: un ricercatore anonimo

ppp

Impatto: un'app con privilegi root potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: una race condition è stata risolta attraverso un blocco migliore.

CVE-2022-42831: un ricercatore anonimo

CVE-2022-42832: un ricercatore anonimo

Safari

Impatto: l'accesso a un sito web pericoloso potrebbe causare la perdita di dati sensibili

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2022-42817: Mir Masood Ali, studente di dottorato, University of Illinois di Chicago; Binoy Chitale, studente di Master of Science, Stony Brook University; Mohammad Ghasemisharif, dottorando, University of Illinois di Chicago; Chris Kanich, professore associato, University of Illinois di Chicago; Nick Nikiforakis, professore associato, Stony Brook University; Jason Polakis, professore associato, University of Illinois di Chicago

Voce aggiunta il 27 ottobre 2022 e aggiornata il 31 ottobre 2023

Sandbox

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: un problema di accesso è stato risolto attraverso ulteriori restrizioni della sandbox.

CVE-2022-42811: Justin Bui (@slyd0g) di Snowflake

Shortcuts

Impatto: un comando rapido può essere in grado di verificare l'esistenza di un percorso arbitrario sul file system.

Descrizione: un problema di analisi nella gestione dei percorsi di directory è stato risolto attraverso una migliore convalida dei percorsi.

CVE-2022-32938: Cristian Dinca della Tudor Vianu National High School of Computer Science della Romania

Weather

Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.

Descrizione: il problema è stato risolto attraverso una migliore protezione dei dati.

CVE-2022-42792: un ricercatore anonimo

Voce aggiunta il 1 maggio 2023

WebKit

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

WebKit Bugzilla: 246669
CVE-2022-42826: Francisco Alonso (@revskills)

Voce aggiunta il 22 dicembre 2022

WebKit

Impatto: l'accesso a un sito web dannoso può causare lo spoofing dell'interfaccia utente.

Descrizione: il problema è stato risolto attraverso una migliore gestione dell'interfaccia utente.

WebKit Bugzilla: 243693
CVE-2022-42799: Jihwan Kim (@gPayl0ad), Dohyun Lee (@l33d0hyun)

WebKit

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.

WebKit Bugzilla: 244622
CVE-2022-42823: Dohyun Lee (@l33d0hyun) di SSD Labs

WebKit

Impatto: l'elaborazione di contenuti web dannosi può divulgare informazioni sensibili dell'utente.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

WebKit Bugzilla: 245058
CVE-2022-42824: Abdulrahman Alqabandi di Microsoft Browser Vulnerability Research, Ryan Shin di IAAI SecLab presso l'Università della Corea, Dohyun Lee (@l33d0hyun) di DNSLab presso l'Università della Corea

WebKit PDF

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

WebKit Bugzilla: 242781
CVE-2022-32922: Yonghwi Jin (@jinmo123) di Theori in collaborazione con Zero Day Initiative di Trend Micro

WebKit

Impatto: l'elaborazione di contenuti web dannosi potrebbe rivelare gli stati interni dell'app.

Descrizione: un problema di correttezza nel JIT è stato risolto attraverso migliori controlli.

WebKit Bugzilla: 242964
CVE-2022-32923: Wonyoung Jung (@nonetype_pwn) di KAIST Hacking Lab

Voce aggiunta il 27 ottobre 2022

Wi-Fi

Impatto: la connessione a una rete Wi-Fi dannosa potrebbe causare l'interruzione del servizio dell'app Impostazioni.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2022-32927: Dr Hideaki Goto della Tohoku University, Giappone

Voce aggiunta il 27 ottobre 2022

zlib

Impatto: un utente può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2022-37434: Evgeny Legerov

CVE-2022-42800: Evgeny Legerov

Voce aggiunta il 27 ottobre 2022

Altri riconoscimenti

iCloud

Ringraziamo Tim Michaud (@TimGMichaud) di Moveworks.ai per l'assistenza.

IOGPUFamily

Ringraziamo Wang Yu di cyberserval per l'assistenza.

Voce aggiunta il 31 ottobre 2023

Image Processing

Ringraziamo Tingting Yin della Tsinghua University per l'assistenza.

Voce aggiunta il 1 maggio 2023

Kernel

Ringraziamo Peter Nguyen di STAR Labs, Tim Michaud (@TimGMichaud) di Moveworks.ai e Tommy Muir (@Muirey03) per l'assistenza.

WebKit

Ringraziamo Maddie Stone di Google Project Zero, Narendra Bhati (@imnarendrabhati) di Suma Soft Pvt. Ltd. e un ricercatore anonimo per l'assistenza.

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: 3 gennaio 2024