Informazioni sui contenuti di sicurezza di iOS 15.7.6 e iPadOS 15.7.6

In questo documento vengono descritti i contenuti di sicurezza di iOS 15.7.6 e iPadOS 15.7.6.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

iOS 15.7.6 e iPadOS 15.7.6

Data di rilascio; 18 maggio 2023

Accessibility

Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)

Impatto: un'app potrebbe bypassare le preferenze sulla privacy.

Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.

CVE-2023-32388: Kirin (@Pwnrin)

Apple Neural Engine

Disponibile per i dispositivi con Apple Neural Engine: iPhone 8 e modelli successivi, iPad Pro (3a generazione) e modelli successivi, iPad Air (3a generazione) e modelli successivi e iPad mini (5a generazione)

Impatto: un'app potrebbe essere in grado di uscire dalla sandbox

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2023-23532: Mohamed Ghannam (@_simo36)

Apple Neural Engine

Disponibile per i dispositivi con Apple Neural Engine: iPhone 8 e modelli successivi, iPad Pro (3a generazione) e modelli successivi, iPad Air (3a generazione) e modelli successivi e iPad mini (5a generazione)

Impatto: un'app potrebbe riuscire ad acquisire privilegi elevati

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-32425: Mohamed Ghannam (@_simo36)

Voce aggiunta il 21 dicembre 2023

CoreCapture

Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-28181: Tingting Yin della Tsinghua University

ImageIO

Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)

Impatto: l'elaborazione di un'immagine può causare l'esecuzione di un codice arbitrario.

Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.

CVE-2023-32384: Meysam Firouzi @R00tkitsmm in collaborazione con Zero Day Initiative di Trend Micro

IOSurface

Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)

Impatto: un'app potrebbe divulgare lo stato sensibile del kernel

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2023-32410: hou xuewei (@p1ay8y3ar) vmk msu

Kernel

Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)

Impatto: un'applicazione sandbox può essere in grado di osservare le connessioni di rete a livello di sistema.

Descrizione: il problema è stato risolto attraverso maggiori controlli dei permessi.

CVE-2023-27940: James Duffy (mangoSecure)

Kernel

Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)

Impatto: un'app potrebbe ottenere privilegi root

Descrizione: una race condition è stata risolta attraverso una migliore gestione dello stato.

CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) di Synacktiv (@Synacktiv) in collaborazione con Zero Day Initiative di Trend Micro

Kernel

Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2023-32398: Adam Doupé di ASU SEFCOM

Metal

Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)

Impatto: un'app potrebbe bypassare le preferenze sulla privacy.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2023-32407: Gergely Kalman (@gergely_kalman)

NetworkExtension

Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)

Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.

Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.

CVE-2023-32403: Adam M.

Voce aggiornata il 21 dicembre 2023

Photos

Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)

Impatto: “Agitare per annullare” può consentire a una foto eliminata di riapparire senza autenticazione

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-32365: Jiwon Park

Shell

Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)

Impatto: un'app potrebbe modificare parti protette del file system.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2023-32397: Arsenii Kostromin (0x3c3e)

Shortcuts

Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)

Impatto: un comando rapido può essere in grado di utilizzare dati sensibili con determinate azioni senza richiedere l'autorizzazione dell'utente.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-32391: Wenchao Li e Xiaolong Bai di Alibaba Group

Telephony

Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)

Impatto: una persona malintenzionata collegata in remoto può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2023-32412: Ivan Fratric di Google Project Zero

TV App

Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)

Impatto: un'applicazione potrebbe leggere informazioni sensibili sulla posizione.

Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.

CVE-2023-32408: Adam M.

WebKit

Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)

Impatto: l'elaborazione di contenuti web potrebbe divulgare informazioni sensibili. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

WebKit Bugzilla: 254930
CVE-2023-28204: un ricercatore anonimo

WebKit

Disponibile per: iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione)

Impatto: l'elaborazione di un contenuto web pericoloso potrebbe causare l'esecuzione di codice arbitrario. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente.

Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.

WebKit Bugzilla: 254840
CVE-2023-32373: un ricercatore anonimo

 

Altri riconoscimenti

libxml2

Ringraziamo OSS-Fuzz, Ned Williamson di Google Project Zero per l'assistenza.

Reminders

Ringraziamo Kirin (@Pwnrin) per l'assistenza.

Security

Ringraziamo James Duffy (mangoSecure) per l'assistenza.

Wi-Fi

Ringraziamo Adam M. per l'assistenza.

Voce aggiornata il 21 dicembre 2023

 

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: