Informazioni sui contenuti di sicurezza di iOS 16.7 e iPadOS 16.7

In questo documento vengono descritti i contenuti di sicurezza di iOS 16.7 e iPadOS 16.7.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle nuove versioni alla pagina Versioni di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

iOS 16.7 e iPadOS 16.7

Data di rilascio: giovedì 21 settembre 2023

App Store

Disponibile per: iPhone 8 e modelli successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e modelli successivi, iPad 5a generazione e modelli successivi, iPad mini 5a generazione e modelli successivi

Impatto: un utente malintenzionato collegato in remoto potrebbe essere in grado di uscire dalla sandbox Contenuti web

Descrizione: il problema è stato risolto attraverso una migliore gestione dei protocolli.

CVE-2023-40448: w0wbox

Voce aggiunta il 26 settembre 2023

Ask to Buy

Impatto: un'app potrebbe accedere ai dati protetti degli utenti.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-38612: Chris Ross (Zoom)

Voce aggiunta il 22 dicembre 2023

Biometric Authentication

Impatto: un'app potrebbe rivelare la memoria kernel.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2023-41232: Liang Wei di PixiePoint Security

Voce aggiunta il 26 settembre 2023

CoreAnimation

Impatto: l'elaborazione di contenuti web potrebbe causare l'interruzione del servizio

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-40420: 이준성(Junsung Lee) di Cross Republic

Voce aggiunta il 26 settembre 2023

Core Image

Impatto: un'app potrebbe accedere alle foto modificate salvate in una directory temporanea.

Descrizione: un problema è stato risolto attraverso una migliore gestione dei file temporanei.

CVE-2023-40438: Wojciech Regula di SecuRing (wojciechregula.blog)

Voce aggiunta il 22 dicembre 2023

Game Center

Impatto: un'app potrebbe accedere ai contatti.

Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.

CVE-2023-40395: Csaba Fitzl (@theevilbit) di Offensive Security

Voce aggiunta il 26 settembre 2023

Kernel

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) di STAR Labs SG Pte. Ltd.

Voce aggiunta il 26 settembre 2023

Kernel

Impatto: un utente malintenzionato che ha già ottenuto l'esecuzione del codice kernel può essere in grado di bypassare le mitigazioni della memoria del kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-41981: Linus Henze di Pinauten GmbH (pinauten.de)

Voce aggiunta il 26 settembre 2023

Kernel

Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente contro le versioni di iOS rilasciate prima di iOS 16.7.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-41992: Bill Marczak di The Citizen Lab della Munk School della The University of Toronto e Maddie Stone del Threat Analysis Group di Google

libxpc

Impatto: un'app potrebbe accedere ai dati protetti degli utenti.

Descrizione: un problema di autorizzazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2023-41073: Zhipeng Huo (@R3dF09) di Tencent Security Xuanwu Lab (xlab.tencent.com)

Voce aggiunta il 26 settembre 2023

libxpc

Impatto: un'app potrebbe eliminare file per i quali non dispone dell'autorizzazione.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2023-40454: Zhipeng Huo (@R3dF09) di Tencent Security Xuanwu Lab (xlab.tencent.com)

Voce aggiunta il 26 settembre 2023

libxslt

Impatto: l'elaborazione di contenuti web potrebbe divulgare informazioni sensibili.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-40403: Dohyun Lee (@l33d0hyun) di PK Security

Voce aggiunta il 26 settembre 2023

MobileStorageMounter

Impatto: un utente può essere in grado di rendere più elevati i privilegi.

Descrizione: un problema di accesso è stato risolto attraverso migliori restrizioni di accesso.

CVE-2023-41068: Mickey Jin (@patch1t)

Voce aggiunta il 26 settembre 2023

Passkeys

Impatto: un utente malintenzionato potrebbe accedere alle passkey senza autenticazione

Descrizione: il problema è stato risolto attraverso maggiori controlli dei permessi.

CVE-2023-40401: un ricercatore anonimo e weize she

Voce aggiunta il 22 dicembre 2023

Pro Res

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-41063: Certik Skyfall Team

Voce aggiunta il 26 settembre 2023

Safari

Impatto: un'app dannosa può riuscire a identificare quali altre applicazioni ha installato l'utente.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-35990: Adriatik Raci di Sentry Cybersecurity

Voce aggiunta il 26 settembre 2023

Security

Impatto: un'applicazione dannosa può essere in grado di bypassare la convalida della firma. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente contro le versioni di iOS rilasciate prima di iOS 16.7.

Descrizione: è stato risolto un problema di convalida dei certificati.

CVE-2023-41991: Bill Marczak di The Citizen Lab della Munk School della The University of Toronto e Maddie Stone del Threat Analysis Group di Google

Share Sheet

Impatto: un'app potrebbe accedere ai dati sensibili registrati quando un utente condivide un link.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2023-41070: Kirin (@Pwnrin)

Voce aggiunta il 26 settembre 2023

WebKit

Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente contro le versioni di iOS precedenti alla 16.7.

Descrizione: il problema è stato risolto con controlli migliori.

WebKit Bugzilla: 261544
CVE-2023-41993: Bill Marczak di The Citizen Lab della Munk School della University of Toronto e Maddie Stone del Threat Analysis Group di Google

Altri riconoscimenti

Apple Neural Engine

Ringraziamo pattern-f (@pattern_F_) di Ant Security Light-Year Lab per l'assistenza.

Voce aggiunta il 22 dicembre 2023

AppSandbox

Ringraziamo Kirin (@Pwnrin) per l'assistenza.

Voce aggiunta il 26 settembre 2023

libxml2

Ringraziamo OSS-Fuzz, Ned Williamson di Google Project Zero per l'assistenza.

Voce aggiunta il 26 settembre 2023

Kernel

Ringraziamo Bill Marczak di The Citizen Lab della Munk School della The University of Toronto e Maddie Stone del Threat Analysis Group di Google per l'assistenza.

WebKit

Ringraziamo Khiem Tran, Narendra Bhati From Suma Soft Pvt. Ltd, Pune (India) per l'assistenza.

Voce aggiunta il 26 settembre 2023

WebRTC

Ringraziamo un ricercatore anonimo per l'assistenza.

Voce aggiunta il 26 settembre 2023

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: 4 gennaio 2024