Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle nuove versioni alla pagina Versioni di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
iOS 16.7.3 e iPadOS 16.7.3
Data di rilascio: 11 dicembre 2023
Accounts
Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2023-42919: Kirin (@Pwnrin)
Assets
Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: un problema è stato risolto attraverso una migliore gestione dei file temporanei.
CVE-2023-42896: Mickey Jin (@patch1t)
Voce aggiunta il 22 marzo 2024
AVEVideoEncoder
Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione
Impatto: un'app potrebbe rivelare la memoria kernel.
Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.
CVE-2023-42884: un ricercatore anonimo
CallKit
Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione
Impatto: un utente malintenzionato remoto può essere in grado di provocare un'interruzione del servizio.
Descrizione: il problema è stato risolto attraverso migliori controlli
CVE-2023-42962: Aymane Chabat
Voce aggiunta il 22 marzo 2024
Find My
Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.
CVE-2023-42922: Wojciech Regula di SecuRing (wojciechregula.blog)
ImageIO
Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione
Impatto: l'elaborazione di un'immagine può causare l'esecuzione di un codice arbitrario.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-42899: Meysam Firouzi @R00tkitSMM e Junsung Lee
IOUSBDeviceFamily
Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: una race condition è stata risolta attraverso una migliore gestione dello stato.
CVE-2023-42974: Pan ZhenPeng (@Peterpan0927) di STAR Labs SG Pte. Ltd.
Voce aggiunta il 22 marzo 2024
Kernel
Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione
Impatto: un'app potrebbe essere in grado di uscire dalla sandbox
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) di Synacktiv (@Synacktiv)
Libsystem
Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione
Impatto: un'app potrebbe accedere ai dati protetti degli utenti.
Descrizione: un problema relativo ai permessi è stato risolto rimuovendo il codice vulnerabile e aggiungendo ulteriori controlli.
CVE-2023-42893
Voce aggiunta il 22 marzo 2024
WebKit
Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione
Impatto: l'elaborazione di un'immagine potrebbe causare l'interruzione del servizio
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
WebKit Bugzilla: 263349
CVE-2023-42883: Offensive Security Team di Zoom
WebKit
Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione
Impatto: l'elaborazione di un contenuto web può causare l'esecuzione di codice arbitrario. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato contro le versioni di iOS rilasciate prima di iOS 16.7.1.
Descrizione: una vulnerabilità al danneggiamento della memoria è stata risolta attraverso un blocco migliore.
WebKit Bugzilla: 265067
CVE-2023-42917: Clément Lecigne del Threat Analysis Group di Google
WebKit
Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione
Impatto: l'elaborazione di contenuti web potrebbe divulgare informazioni sensibili. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato contro le versioni di iOS precedenti la 16.7.1.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
WebKit Bugzilla: 265041
CVE-2023-42916: Clément Lecigne del Threat Analysis Group di Google