Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
iOS 15.7.4 e iPadOS 15.7.4
Rilasciato il 27 marzo 2023
Accessibility
Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)
Impatto: un'app potrebbe accedere alle informazioni sui contatti di un utente
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2023-23541: Csaba Fitzl (@theevilbit) di Offensive Security
Calendar
Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)
Impatto: l'importazione di un invito di calendario dannoso può consentire l'esfiltrazione delle informazioni dell'utente
Descrizione: diversi problemi di convalida sono stati risolti attraverso una migliore sanitizzazione dell'input.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
Camera
Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)
Impatto: un'applicazione sandbox potrebbe essere in grado di determinare quale app utilizza la fotocamera.
Descrizione: il problema è stato risolto attraverso restrizioni aggiuntive sull'osservabilità degli stati delle app.
CVE-2023-23543: Yiğit Can YILMAZ (@yilmazcanyigit)
CommCenter
Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)
Impatto: un'app potrebbe causare l'arresto improvviso del sistema o scrivere sulla memoria del kernel
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2023-27936: Tingting Yin della Tsinghua University
Find My
Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2023-23537: Adam M.
Voce aggiornata il 21 dicembre 2023
FontParser
Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)
Impatto: l'elaborazione di un'immagine dannosa potrebbe causare la divulgazione dei contenuti della memoria dei processi
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-27956: Ye Zhang di Baidu Security
FontParser
Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)
Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2023-32366: Ye Zhang (@VAR10CK) di Baidu Security
Voce aggiunta il 21 dicembre 2023
Identity Services
Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)
Impatto: un'app potrebbe accedere alle informazioni sui contatti di un utente
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2023-27928: Csaba Fitzl (@theevilbit) di Offensive Security
ImageIO
Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)
Impatto: l'elaborazione di un file dannoso può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2023-27946: Mickey Jin (@patch1t)
ImageIO
Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)
Impatto: l'elaborazione di un'immagine dannosa potrebbe causare la divulgazione dei contenuti della memoria dei processi
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-23535: ryuzaki
Kernel
Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)
Impatto: un'app potrebbe rivelare la memoria kernel.
Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.
CVE-2023-28200: Arsenii Kostromin (0x3c3e)
Voce aggiunta il 1 maggio 2023
Kernel
Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)
Impatto: un'app potrebbe rivelare la memoria kernel.
Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.
CVE-2023-27941: Arsenii Kostromin (0x3c3e)
Kernel
Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2023-27969: Adam Doupé di ASU SEFCOM
Kernel
Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con migliori controlli dei limiti.
CVE-2023-23536: Félix Poulin-Bélanger e David Pan Ogea
Voce aggiunta il 1° maggio 2023 e aggiornata il 21 dicembre 2023
Kernel
Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)
Impatto: un'app può essere in grado di causare l'interruzione del servizio.
Descrizione: un problema di overflow dei numeri interi è stato risolto mediante una migliore convalida degli input.
CVE-2023-28185: Pan ZhenPeng di STAR Labs SG Pte. Ltd.
Voce aggiunta il 21 dicembre 2023
libpthread
Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di confusione dei tipi è stato risolto con migliori controlli.
CVE-2023-41075: Zweig di Kunlun Lab
Voce aggiunta il 21 dicembre 2023
Model I/O
Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)
Impatto: l'elaborazione di un file dannoso può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2023-27949: Mickey Jin (@patch1t)
Model I/O
Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)
Impatto: l'elaborazione di un'immagine potrebbe causare la divulgazione dei contenuti della memoria dei processi.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2023-27950: Mickey Jin (@patch1t)
Voce aggiunta il 21 dicembre 2023
NetworkExtension
Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)
Impatto: un utente in una posizione di rete privilegiata potrebbe eseguire lo spoofing di un server VPN la cui unica autenticazione configurata è EAP.
Descrizione: il problema è stato risolto attraverso una migliore autenticazione.
CVE-2023-28182: Zhuowei Zhang
Shortcuts
Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)
Impatto: un comando rapido può essere in grado di utilizzare dati sensibili con determinate azioni senza richiedere l'autorizzazione dell'utente.
Descrizione: il problema è stato risolto attraverso maggiori controlli dei permessi.
CVE-2023-27963: Jubaer Alnazi Jabin di TRS Group Of Companies e Wenchao Li e Xiaolong Bai di Alibaba Group
WebKit
Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)
Impatto: un sito web potrebbe essere in grado di tenere traccia delle informazioni sensibili degli utenti.
Descrizione: il problema è stato risolto rimuovendo le informazioni sull'origine.
WebKit Bugzilla: 250837
CVE-2023-27954: un ricercatore anonimo
WebKit
Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)
Impatto: l'elaborazione di un contenuto web pericoloso potrebbe causare l'esecuzione di codice arbitrario. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente.
Descrizione: un problema di confusione dei tipi è stato risolto attraverso migliori controlli.
WebKit Bugzilla: 251944
CVE-2023-23529: un ricercatore anonimo
WebKit
Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)
Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario
Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.
WebKit Bugzilla: 250429
CVE-2023-28198: hazbinhotel in collaborazione con Zero Day Initiative di Trend Micro
Voce aggiunta il 21 dicembre 2023
WebKit PDF
Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)
Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario
Descrizione: un problema di confusione dei tipi è stato risolto attraverso migliori controlli.
WebKit Bugzilla: 249169
CVE-2023-32358: anonimo in collaborazione con Zero Day Initiative di Trend Micro
Voce aggiunta il 21 dicembre 2023
WebKit Web Inspector
Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)
Impatto: un utente collegato in remoto può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-28201: Dohyun Lee (@l33d0hyun), crixer (@pwning_me) di SSD Labs
Voce aggiunta il 1 maggio 2023
Altri riconoscimenti
Ringraziamo Fabian Ising della FH Münster University of Applied Sciences, Damian Poddebniak della FH Münster University of Applied Sciences, Tobias Kappert della Münster University of Applied Sciences, Christoph Saatjohann della Münster University of Applied Sciences e Sebastian Schinzel della Münster University of Applied Sciences per l'assistenza.
Voce aggiornata il 1 maggio 2023
WebKit Web Inspector
Ringraziamo Dohyun Lee (@l33d0hyun) e crixer (@pwning_me) di SSD Labs per l'assistenza.