Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle nuove versioni alla pagina Versioni di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
iOS 16.7 e iPadOS 16.7
Data di rilascio: giovedì 21 settembre 2023
App Store
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un utente malintenzionato collegato in remoto potrebbe essere in grado di uscire dalla sandbox Contenuti web
Descrizione: il problema è stato risolto attraverso una migliore gestione dei protocolli.
CVE-2023-40448: w0wbox
Voce aggiunta il 26 settembre 2023
Ask to Buy
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un'app potrebbe accedere ai dati protetti degli utenti.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-38612: Chris Ross (Zoom)
Voce aggiunta il 22 dicembre 2023
Biometric Authentication
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un'app potrebbe rivelare la memoria kernel.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2023-41232: Liang Wei di PixiePoint Security
Voce aggiunta il 26 settembre 2023
CoreAnimation
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: l'elaborazione di contenuti web potrebbe causare l'interruzione del servizio
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-40420: 이준성(Junsung Lee) di Cross Republic
Voce aggiunta il 26 settembre 2023
Core Image
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un'app potrebbe accedere alle foto modificate salvate in una directory temporanea.
Descrizione: un problema è stato risolto attraverso una migliore gestione dei file temporanei.
CVE-2023-40438: Wojciech Regula di SecuRing (wojciechregula.blog)
Voce aggiunta il 22 dicembre 2023
Game Center
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un'app potrebbe accedere ai contatti.
Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.
CVE-2023-40395: Csaba Fitzl (@theevilbit) di Offensive Security
Voce aggiunta il 26 settembre 2023
Kernel
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) di STAR Labs SG Pte. Ltd.
Voce aggiunta il 26 settembre 2023
Kernel
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un utente malintenzionato che ha già ottenuto l'esecuzione del codice kernel può essere in grado di bypassare le mitigazioni della memoria del kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-41981: Linus Henze di Pinauten GmbH (pinauten.de)
Voce aggiunta il 26 settembre 2023
Kernel
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente contro le versioni di iOS rilasciate prima di iOS 16.7.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-41992: Bill Marczak di The Citizen Lab della Munk School della The University of Toronto e Maddie Stone del Threat Analysis Group di Google
libxpc
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un'app potrebbe accedere ai dati protetti degli utenti.
Descrizione: un problema di autorizzazione è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-41073: Zhipeng Huo (@R3dF09) di Tencent Security Xuanwu Lab (xlab.tencent.com)
Voce aggiunta il 26 settembre 2023
libxpc
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un'app potrebbe eliminare file per i quali non dispone dell'autorizzazione.
Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.
CVE-2023-40454: Zhipeng Huo (@R3dF09) di Tencent Security Xuanwu Lab (xlab.tencent.com)
Voce aggiunta il 26 settembre 2023
libxslt
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: l'elaborazione di contenuti web potrebbe divulgare informazioni sensibili.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-40403: Dohyun Lee (@l33d0hyun) di PK Security
Voce aggiunta il 26 settembre 2023
MobileStorageMounter
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un utente può essere in grado di rendere più elevati i privilegi.
Descrizione: un problema di accesso è stato risolto attraverso migliori restrizioni di accesso.
CVE-2023-41068: Mickey Jin (@patch1t)
Voce aggiunta il 26 settembre 2023
Passkeys
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un utente malintenzionato potrebbe accedere alle passkey senza autenticazione
Descrizione: il problema è stato risolto attraverso maggiori controlli dei permessi.
CVE-2023-40401: un ricercatore anonimo e weize she
Voce aggiunta il 22 dicembre 2023
Pro Res
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-41063: Certik Skyfall Team
Voce aggiunta il 26 settembre 2023
Safari
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un'app dannosa può riuscire a identificare quali altre applicazioni ha installato l'utente.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-35990: Adriatik Raci di Sentry Cybersecurity
Voce aggiunta il 26 settembre 2023
Security
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un'applicazione dannosa può essere in grado di bypassare la convalida della firma. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente contro le versioni di iOS rilasciate prima di iOS 16.7.
Descrizione: è stato risolto un problema di convalida dei certificati.
CVE-2023-41991: Bill Marczak di The Citizen Lab della Munk School della The University of Toronto e Maddie Stone del Threat Analysis Group di Google
Share Sheet
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: un'app potrebbe accedere ai dati sensibili registrati quando un utente condivide un link.
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2023-41070: Kirin (@Pwnrin)
Voce aggiunta il 26 settembre 2023
WebKit
Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi
Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente contro le versioni di iOS precedenti alla 16.7.
Descrizione: il problema è stato risolto con controlli migliori.
WebKit Bugzilla: 261544
CVE-2023-41993: Bill Marczak di The Citizen Lab della Munk School della University of Toronto e Maddie Stone del Threat Analysis Group di Google
Altri riconoscimenti
Apple Neural Engine
Ringraziamo pattern-f (@pattern_F_) di Ant Security Light-Year Lab per l'assistenza.
Voce aggiunta il 22 dicembre 2023
AppSandbox
Ringraziamo Kirin (@Pwnrin) per l'assistenza.
Voce aggiunta il 26 settembre 2023
libxml2
Ringraziamo OSS-Fuzz, Ned Williamson di Google Project Zero per l'assistenza.
Voce aggiunta il 26 settembre 2023
Kernel
Ringraziamo Bill Marczak di The Citizen Lab della Munk School della The University of Toronto e Maddie Stone del Threat Analysis Group di Google per l'assistenza.
WebKit
Ringraziamo Khiem Tran, Narendra Bhati From Suma Soft Pvt. Ltd, Pune (India) per l'assistenza.
Voce aggiunta il 26 settembre 2023
WebRTC
Ringraziamo un ricercatore anonimo per l'assistenza.
Voce aggiunta il 26 settembre 2023