Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
iOS 16.3 e iPadOS 16.3
Data di rilascio 23 gennaio 2023
AppleMobileFileIntegrity
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un'app potrebbe bypassare le preferenze sulla privacy.
Descrizione: questo problema è stato risolto attraverso migliori controlli in modo da evitare azioni non autorizzate.
CVE-2023-32438: Csaba Fitzl (@theevilbit) di Offensive Security e Mickey Jin (@patch1t)
Voce aggiunta il 5 settembre 2023
AppleMobileFileIntegrity
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: il problema è stato risolto abilitando runtime rafforzato.
CVE-2023-23499: Wojciech Reguła (@_r3ggi) di SecuRing (wojciechregula.blog)
Crash Reporter
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un utente potrebbe riuscire a leggere file arbitrari come root.
Descrizione: una race condition è stata risolta con un'ulteriore convalida.
CVE-2023-23520: Cees Elzinga
Voce aggiunta il 20 febbraio 2023
FontParser
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: l'elaborazione di un file di font può causare l'esecuzione di codice arbitrario. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente contro le versioni di iOS precedenti alla 15.7.1.
Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.
CVE-2023-41990: Apple
Voce aggiunta l'8 settembre 2023
Foundation
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un'app può eseguire codice arbitrario al di fuori della sandbox o con determinati privilegi elevati
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-23530: Austin Emmitt (@alkalinesec), Senior Security Researcher di Trellix Advanced Research Center
Voce aggiunta il 20 febbraio 2023 e aggiornata il 1° maggio 2023
Foundation
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un'app può eseguire codice arbitrario al di fuori della sandbox o con determinati privilegi elevati
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-23531: Austin Emmitt (@alkalinesec), Senior Security Researcher di Trellix Advanced Research Center
Voce aggiunta il 20 febbraio 2023 e aggiornata il 1° maggio 2023
ImageIO
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: l'elaborazione di un'immagine potrebbe causare l'interruzione del servizio
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-23519: Meysam Firouzi @R00tkitSMM di Mbition Mercedes-Benz Innovation Lab, Yiğit Can YILMAZ (@yilmazcanyigit) e jzhu in collaborazione con Zero Day Initiative di Trend Micro
Voce aggiornata il 5 settembre 2023
Kernel
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un'app potrebbe divulgare lo stato sensibile del kernel
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-23500: Pan ZhenPeng (@Peterpan0927) di STAR Labs SG Pte. Ltd. (@starlabs_sg)
Kernel
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un'app può determinare il layout della memoria del kernel
Descrizione: un problema di divulgazione delle informazioni è stato risolto rimuovendo il codice vulnerabile.
CVE-2023-23502: Pan ZhenPeng (@Peterpan0927) di STAR Labs SG Pte. Ltd. (@starlabs_sg)
Kernel
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-23504: Adam Doupé di ASU SEFCOM
Mail Drafts
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: il messaggio originale citato potrebbe essere selezionato dall'email errata quando si inoltra un'email da un account Exchange
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-23498: Jose Lizandro Luevano
Voce aggiornata il 1 maggio 2023
Maps
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un'app potrebbe bypassare le preferenze sulla privacy.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-23503: un ricercatore anonimo
Messages
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un utente può inviare un testo da un'eSIM secondaria nonostante abbia configurato un contatto per utilizzare un'eSIM principale
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-28208: freshman
Voce aggiunta il 5 settembre 2023
Safari
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: l'accesso a un sito web può causare un'interruzione del servizio dell'app
Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.
CVE-2023-23512: Adriatik Raci
Screen Time
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un'app potrebbe accedere alle informazioni sui contatti di un utente
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2023-23505: Wojciech Reguła di SecuRing (wojciechregula.blog) e Csaba Fitzl (@theevilbit) di Offensive Security
Voce aggiornata il 1 maggio 2023
Weather
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un'app potrebbe bypassare le preferenze sulla privacy.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-23511: Wojciech Regula di SecuRing (wojciechregula.blog), un ricercatore anonimo
WebKit
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
WebKit Bugzilla: 248885
CVE-2023-32393: Francisco Alonso (@revskills)
Voce aggiunta il 28 giugno 2023
WebKit
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto con controlli migliori.
WebKit Bugzilla: 245464
CVE-2023-23496: ChengGang Wu, Yan Kang, YuHao Hu, Yue Sun, Jiming Wang, JiKai Ren e Hang Shu dell'Institute of Computing Technology, Chinese Academy of Sciences
WebKit
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
WebKit Bugzilla: 248268
CVE-2023-23518: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) del Team ApplePIE
WebKit Bugzilla: 248268
CVE-2023-23517: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) del Team ApplePIE
WebKit
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un documento HTML potrebbe eseguire il rendering degli iFrame con informazioni sensibili dell'utenza
Descrizione: questo problema è stato risolto attraverso una migliore applicazione della sandbox iframe.
WebKit Bugzilla: 241753
CVE-2022-0108: Luan Herrera (@lbherrera_)
Voce aggiunta il 1 maggio 2023
Altri riconoscimenti
Core Data
Ringraziamo Austin Emmitt (@alkalinesec), Senior Security Researcher presso Trellix Advanced Research Center, per l'assistenza.
Voce aggiunta l'8 settembre 2023
Kernel
Ringraziamo Nick Stenning di Replicate per l'assistenza.
Shortcuts
Ringraziamo Baibhav Anand Jha di ReconWithMe e Cristian Dinca della Tudor Vianu National High School of Computer Science, Romania per l'assistenza.
WebKit
Ringraziamo Eliya Stein di Confiant per l'assistenza.