Informazioni sui contenuti di sicurezza di iOS 17 e iPadOS 17

In questo documento vengono descritti i contenuti di sicurezza di iOS 17 e iPadOS 17.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma problemi relativi alla sicurezza prima di aver completato un'indagine approfondita e preparato le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle nuove versioni alla pagina Versioni di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

iOS 17 e iPadOS 17

Data di rilascio: 18 settembre 2023

Accessibility

Disponibile per: iPhone XS e successivi, iPad Pro da 12,9 pollici 2a generazione e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici 1a generazione e successivi, iPad Air 3a generazione e successivi, iPad 6a generazione e successivi e iPad mini 5a generazione e successivi

Impatto: una persona con accesso fisico a un dispositivo può essere in grado di usare VoiceOver per accedere alle informazioni private del calendario.

Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.

CVE-2023-40529: Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College Of Technology Bhopal

Voce aggiunta il 22 dicembre 2023

Airport

Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.

Descrizione: un problema di permessi è stato risolto migliorando la redazione delle informazioni sensibili.

CVE-2023-40384: Adam M.

App Store

Impatto: un utente malintenzionato collegato in remoto potrebbe essere in grado di uscire dalla sandbox Contenuti web

Descrizione: il problema è stato risolto attraverso una migliore gestione dei protocolli.

CVE-2023-40448: w0wbox

AppleMobileFileIntegrity

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: il problema è stato risolto attraverso maggiori controlli dei permessi.

CVE-2023-42872: Mickey Jin (@patch1t)

Voce aggiunta il 22 dicembre 2023

Apple Neural Engine

Disponibile per dispositivi con Apple Neural Engine: iPhone XS e successivi, iPad Pro da 12,9 pollici 3a generazione e successivi, iPad Pro da 11 pollici 1a generazione e successivi, iPad Air 3a generazione e successivi, iPad 8a generazione e successivi e iPad mini 5a generazione e successivi

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-40432: Mohamed GHANNAM (@_simo36)

CVE-2023-41174: Mohamed GHANNAM (@_simo36)

CVE-2023-40409: Ye Zhang (@VAR10CK) di Baidu Security

CVE-2023-40412: Mohamed GHANNAM (@_simo36)

CVE-2023-42871: Mohamed GHANNAM (@_simo36)

Voce aggiornata il 22 dicembre 2023

Apple Neural Engine

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2023-41071: Mohamed GHANNAM (@_simo36)

Apple Neural Engine

Impatto: un'app potrebbe rivelare la memoria kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-40399: Mohamed GHANNAM (@_simo36)

Apple Neural Engine

Impatto: un'app potrebbe rivelare la memoria kernel.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2023-40410: Tim Michaud (@TimGMichaud) di Moveworks.ai

Ask to Buy

Impatto: un'app potrebbe accedere ai dati protetti degli utenti.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-38612: Chris Ross (Zoom)

Voce aggiunta il 22 dicembre 2023

AuthKit

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.

CVE-2023-32361: Csaba Fitzl (@theevilbit) di Offensive Security

Biometric Authentication

Impatto: un'app potrebbe rivelare la memoria kernel.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2023-41232: Liang Wei di PixiePoint Security

Bluetooth

Impatto: un utente malintenzionato in prossimità fisica può causare una limitazione della scrittura fuori dai limiti.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-35984: zer0k

bootp

Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.

Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.

CVE-2023-41065: Adam M., Noah Roskin-Frazee e Professor Jason Lau (ZeroClicks.ai Lab)

CFNetwork

Impatto: un'app potrebbe non riuscire ad applicare il protocollo App Transport Security.

Descrizione: il problema è stato risolto attraverso una migliore gestione dei protocolli.

CVE-2023-38596: Will Brattain di Trail of Bits

CoreAnimation

Impatto: l'elaborazione di contenuti web potrebbe causare l'interruzione del servizio

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-40420: 이준성(Junsung Lee) di Cross Republic

Core Data

Impatto: un'app potrebbe bypassare le preferenze sulla privacy

Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.

CVE-2023-40528: Kirin (@Pwnrin) di NorthSea

Voce aggiunta il 22 gennaio 2024

Dev Tools

Impatto: un'app potrebbe riuscire ad acquisire privilegi elevati

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2023-32396: Mickey Jin (@patch1t)

Face ID

Disponibile per: iPhone XS e successivi, iPad Pro da 12,9 pollici 2a generazione e successivi e iPad Pro da 11 pollici 1a generazione e successivi

Impatto: un modello 3D costruito per assomigliare all'utente registrato può autenticarsi tramite Face ID.

Descrizione: il problema è stato risolto migliorando i modelli anti-spoofing di Face ID.

CVE-2023-41069: Zhice Yang (ShanghaiTech University)

Voce aggiunta il 22 dicembre 2023

FileProvider

Impatto: un'app potrebbe bypassare le preferenze sulla privacy.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2023-41980: Noah Roskin-Frazee e Professor Jason Lau (ZeroClicks.ai Lab)

Game Center

Impatto: un'app potrebbe accedere ai contatti.

Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.

CVE-2023-40395: Csaba Fitzl (@theevilbit) di Offensive Security

GPU Drivers

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-40431: Certik Skyfall Team

GPU Drivers

Impatto: un'app potrebbe rivelare la memoria kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-40391: Antonio Zekic (@antoniozekic) di Dataflow Security

GPU Drivers

Impatto: l'elaborazione di contenuti web potrebbe causare l'interruzione del servizio

Descrizione: un problema di esaurimento delle risorse è stato risolto attraverso una migliore convalida dell'input.

CVE-2023-40441: Ron Masas di Imperva

iCloud Photo Library

Impatto: un'app potrebbe accedere alla Libreria foto dell'utente.

Descrizione: un problema di configurazione è stato risolto attraverso restrizioni aggiuntive.

CVE-2023-40434: Mikko Kenttälä (@Turmio_) di SensorFu

Kernel

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2023-41995: Certik Skyfall Team e pattern-f (@pattern_F_) di Ant Security Light-Year Lab

CVE-2023-42870: Zweig of Kunlun Lab

CVE-2023-41974: Félix Poulin-Bélanger

Voce aggiornata il 22 dicembre 2023

Kernel

Impatto: un utente malintenzionato che ha già ottenuto l'esecuzione del codice kernel può essere in grado di bypassare le mitigazioni della memoria del kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-41981: Linus Henze di Pinauten GmbH (pinauten.de)

Kernel

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) di STAR Labs SG Pte. Ltd.

Kernel

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: un problema di autorizzazioni è stato risolto attraverso una migliore convalida.

CVE-2023-40429: Michael (Biscuit) Thomas e 张师傅(@京东蓝军)

Kernel

Impatto: un utente collegato in remoto potrebbe provocare l'esecuzione del codice kernel.

Descrizione: un problema di confusione dei tipi è stato risolto attraverso migliori controlli.

CVE-2023-41060: Joseph Ravichandran (@0xjprx) di MIT CSAIL

Voce aggiunta il 22 dicembre 2023

libpcap

Impatto: un utente remoto potrebbe causare la chiusura improvvisa di un'app o l'esecuzione di codice arbitrario

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2023-40400: Sei K.

libxpc

Impatto: un'app potrebbe eliminare file per i quali non dispone dell'autorizzazione.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2023-40454: Zhipeng Huo (@R3dF09) di Tencent Security Xuanwu Lab (xlab.tencent.com)

libxpc

Impatto: un'app potrebbe accedere ai dati protetti degli utenti.

Descrizione: un problema di autorizzazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2023-41073: Zhipeng Huo (@R3dF09) di Tencent Security Xuanwu Lab (xlab.tencent.com)

libxslt

Impatto: l'elaborazione di contenuti web potrebbe divulgare informazioni sensibili.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-40403: Dohyun Lee (@l33d0hyun) di PK Security

Maps

Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.

Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.

CVE-2023-40427: Adam M. e Wojciech Regula di SecuRing (wojciechregula.blog)

MobileStorageMounter

Impatto: un utente può essere in grado di rendere più elevati i privilegi.

Descrizione: un problema di accesso è stato risolto attraverso migliori restrizioni di accesso.

CVE-2023-41068: Mickey Jin (@patch1t)

Music

Impatto: un'app potrebbe modificare parti protette del file system.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-41986: Gergely Kalman (@gergely_kalman)

Passkey

Impatto: un utente malintenzionato potrebbe accedere alle passkey senza autenticazione

Descrizione: il problema è stato risolto attraverso maggiori controlli dei permessi.

CVE-2023-40401: weize she e un ricercatore anonimo

Voce aggiunta il 22 dicembre 2023

Photos Storage

Impatto: un'app potrebbe accedere alle foto modificate salvate in una directory temporanea.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-40456: Kirin (@Pwnrin)

CVE-2023-40520: Kirin (@Pwnrin)

Photos Storage

Impatto: un'app con privilegi root potrebbe accedere a informazioni private.

Descrizione: un problema di divulgazione delle informazioni è stato risolto rimuovendo il codice vulnerabile.

CVE-2023-42934: Wojciech Regula di SecuRing (wojciechregula.blog)

Voce aggiunta il 22 dicembre 2023

Pro Res

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-41063: Certik Skyfall Team

QuartzCore

Impatto: un'app può essere in grado di causare l'interruzione del servizio.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-40422: Tomi Tokics (@tomitokics) di iTomsn0w

Voce aggiunta il 22 dicembre 2023

Safari

Impatto: un'app dannosa può riuscire a identificare quali altre applicazioni ha installato l'utente.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-35990: Adriatik Raci di Sentry Cybersecurity

Safari

Impatto: l'accesso a un sito web che presenta contenuti dannosi potrebbe causare lo spoofing dell'interfaccia utente.

Descrizione: un problema di gestione delle finestre è stato risolto attraverso una migliore gestione dello stato.

CVE-2023-40417: Narendra Bhati (twitter.com/imnarendrabhati) di Suma Soft Pvt. Ltd

Voce aggiornata il 22 dicembre 2023

Sandbox

Impatto: un'app potrebbe sovrascrivere i file arbitrari.

Descrizione: il problema è stato risolto con migliori controlli dei limiti.

CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)

Share Sheet

Impatto: un'app potrebbe accedere ai dati sensibili registrati quando un utente condivide un link.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2023-41070: Kirin (@Pwnrin)

Simulator

Impatto: un'app potrebbe riuscire ad acquisire privilegi elevati

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-40419: Arsenii Kostromin (0x3c3e)

Siri

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.

CVE-2023-40428: Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College Of Technology Bhopal

StorageKit

Impatto: un'app potrebbe leggere file arbitrari.

Descrizione: il problema è stato risolto attraverso una migliore convalida dei link simbolici.

CVE-2023-41968: Mickey Jin (@patch1t) e James Hutchins

TCC

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-40424: Arsenii Kostromin (0x3c3e), Joshua Jewett (@JoshJewett33) e Csaba Fitzl (@theevilbit) di Offensive Security

WebKit

Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario

Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.

WebKit Bugzilla: 249451
CVE-2023-39434: Francisco Alonso (@revskills) e Dohyun Lee (@l33d0hyun) di PK Security

WebKit Bugzilla: 258992
CVE-2023-40414: Francisco Alonso (@revskills)

Voce aggiornata il 22 dicembre 2023

WebKit

Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario

Descrizione: il problema è stato risolto con controlli migliori.

WebKit Bugzilla: 256551
CVE-2023-41074: 이준성(Junsung Lee) di Cross Republic e Jie Ding(@Lime) di HKUS3 Lab

Voce aggiornata il 22 dicembre 2023

WebKit

Impatto: l'elaborazione di contenuti web potrebbe causare l'esecuzione di codice arbitrario

Descrizione: il problema è stato risolto migliorando la gestione della memoria.

WebKit Bugzilla: 239758
CVE-2023-35074: Dong Jun Kim (@smlijun) e Jong Seong Kim (@nevul37) di AbyssLab, e zhunki

Voce aggiornata il 22 gennaio 2024

WebKit

Impatto: la password di un utente può essere letta ad alta voce da VoiceOver

Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.

WebKit Bugzilla: 248717
CVE-2023-32359: Claire Houston

Voce aggiunta il 22 dicembre 2023

WebKit

Impatto: un utente malintenzionato collegato in remoto può essere in grado di visualizzare query DNS divulgate con la funzione Relay privato attivata.

Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.

WebKit Bugzilla: 257303
CVE-2023-40385: anonimo

Voce aggiunta il 22 dicembre 2023

WebKit

Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario

Descrizione: un problema di correttezza è stato risolto attraverso migliori controlli.

WebKit Bugzilla: 258592
CVE-2023-42833: Dong Jun Kim (@smlijun) e Jong Seong Kim (@nevul37) di AbyssLab

Voce aggiunta il 22 dicembre 2023

Wi-Fi

Impatto: un'app potrebbe causare l'arresto improvviso del sistema o scrivere sulla memoria del kernel

Descrizione: un problema di danneggiamento della memoria è stato risolto rimuovendo il codice vulnerabile.

CVE-2023-38610: Wang Yu di Cyberserval

Voce aggiunta il 22 dicembre 2023

Altri riconoscimenti

Accessibility

Ringraziamo Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College Of Technology Bhopal per l'assistenza.

Airport

Ringraziamo Adam M., Noah Roskin-Frazee e Professor Jason Lau (ZeroClicks.ai Lab) per l'assistenza.

Apple Neural Engine

Ringraziamo pattern-f (@pattern_F_) di Ant Security Light-Year Lab per l'assistenza.

Voce aggiunta il 22 dicembre 2023

AppSandbox

Ringraziamo Kirin (@Pwnrin) per l'assistenza.

Audio

Ringraziamo Mickey Jin (@patch1t) per l'assistenza.

Bluetooth

Ringraziamo Jianjun Dai e Guang Gong del 360 Vulnerability Research Institute per l'assistenza.

Books

Ringraziamo Aapo Oksman di Nixu Cybersecurity per l'assistenza.

Control Center

Ringraziamo Chester van den Bogaard per l'assistenza.

CoreMedia Playback

Ringraziamo Mickey Jin (@patch1t) per l'assistenza.

Data Detectors UI

Ringraziamo Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College Of Technology Bhopal per l'assistenza.

Draco

Ringraziamo David Coomber per l'assistenza.

Find My

Ringraziamo Cher Scarlett per l'assistenza.

Home

Ringraziamo Jake Derouin (jakederouin.com) per l'assistenza.

IOUserEthernet

Ringraziamo Certik Skyfall Team per l'assistenza.

Voce aggiunta il 22 dicembre 2023

Kernel

Ringraziamo Bill Marczak di The Citizen Lab della Munk School della University of Toronto e Maddie Stone del Threat Analysis Group di Google e 永超王 per l'assistenza.

Keyboard

Ringraziamo un ricercatore anonimo per l'assistenza.

libxml2

Ringraziamo OSS-Fuzz e Ned Williamson di Google Project Zero per l'assistenza.

libxpc

Ringraziamo un ricercatore anonimo per l'assistenza.

libxslt

Ringraziamo Dohyun Lee (@l33d0hyun) di PK Security, OSS-Fuzz e Ned Williamson di Google Project Zero per l'assistenza.

Menus

Ringraziamo Matthew Denton di Google Chrome Security per l'assistenza.

Voce aggiunta il 22 dicembre 2023

Notes

Ringraziamo Lucas-Raphael Müller per l'assistenza.

Notifications

Ringraziamo Jiaxu Li per l'assistenza.

NSURL

Ringraziamo Zhanpeng Zhao (行之) e 糖豆爸爸(@晴天组织) per l'assistenza.

Password Manager

Ringraziamo Hidetoshi Nakamura per l'assistenza.

Photos

Ringraziamo Anatolii Kozlov, Dawid Pałuska, Kirin (@Pwnrin), Lyndon Cornelius e Paul Lurin per l'assistenza.

Power Services

Ringraziamo Mickey Jin (@patch1t) per l'assistenza.

Quick Look

Ringraziamo 이준성(Junsung Lee) di Cross Republic per l'assistenza.

Voce aggiunta il 22 dicembre 2023

Safari

Ringraziamo Kang Ali di Punggawa Cyber Security e andrew James gonzalez per l'assistenza.

Safari Private Browsing

Ringraziamo Khiem Tran, Narendra Bhati From Suma Soft Pvt. Ltd. e un ricercatore anonimo per l'assistenza.

Shortcuts

Ringraziamo Alfie CG, Christian Basting di Bundesamt für Sicherheit in der Informationstechnik, Cristian Dinca della “Tudor Vianu” National High School of Computer Science, Romania, Giorgos Christodoulidis, Jubaer Alnazi di TRS Group Of Companies, KRISHAN KANT DWIVEDI (@xenonx7) e Matthew Butler per l'assistenza.

Voce aggiornata il 24 aprile 2024

Siri

Ringraziamo Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College Of Technology Bhopal per l'assistenza.

Software Update

Ringraziamo Omar Siman per l'assistenza.

Spotlight

Ringraziamo Abhay Kailasia (@abhay_kailasia) di Lakshmi Narain College Of Technology Bhopal e Dawid Pałuska per l'assistenza.

Standby

Ringraziamo Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College Of Technology Bhopal per l'assistenza.

Status Bar

Ringraziamo N e un ricercatore anonimo per l'assistenza.

StorageKit

Ringraziamo Mickey Jin (@patch1t) per l'assistenza.

Weather

Ringraziamo Wojciech Regula di SecuRing (wojciechregula.blog) per l'assistenza.

Voce aggiunta il 22 dicembre 2023

WebKit

Ringraziamo Khiem Tran, Narendra Bhati From Suma Soft Pvt. Ltd. e un ricercatore anonimo per l'assistenza.

WebRTC

Ringraziamo un ricercatore anonimo per l'assistenza.

Wi-Fi

Ringraziamo Wang Yu di Cyberserval per l'assistenza.

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: 29 aprile 2024