Informazioni sui contenuti di sicurezza di iOS 17.2 e iPadOS 17.2

In questo documento vengono descritti i contenuti di sicurezza di iOS 17.2 e iPadOS 17.2.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle nuove versioni alla pagina Versioni di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

iOS 17.2 e iPadOS 17.2

Data di rilascio: 11 dicembre 2023

Accessibility

Disponibile per: iPhone XS e successivi, iPad Pro da 12,9 pollici 2a generazione e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici 1a generazione e successivi, iPad Air 3a generazione e successivi, iPad 6a generazione e successivi e iPad mini 5a generazione e successivi

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.

CVE-2023-42937: Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab)

Voce aggiunta il 22 gennaio 2024

Accounts

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.

CVE-2023-42919: Kirin (@Pwnrin)

Assets

Impatto: un'app potrebbe modificare parti protette del file system.

Descrizione: un problema è stato risolto attraverso una migliore gestione dei file temporanei.

CVE-2023-42896: Mickey Jin (@patch1t)

Voce aggiunta il 22 marzo 2024

AVEVideoEncoder

Impatto: un'app potrebbe rivelare la memoria kernel.

Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.

CVE-2023-42884: un ricercatore anonimo

Bluetooth

Impatto: un utente malintenzionato con una posizione privilegiata nella rete potrebbe servirsi dello spoofing della tastiera per digitare tasti.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-45866: Marc Newlin of SkySafe

Voce aggiunta l'11 dicembre 2023

Bluetooth

Impatto: un utente malintenzionato in una posizione privilegiata sulla rete potrebbe causare un'interruzione del servizio usando pacchetti Bluetooth modificati.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-42941: Christopher Reynolds

Voce aggiunta il 10 gennaio 2024

CallKit

Impatto: un utente malintenzionato remoto può essere in grado di provocare un'interruzione del servizio.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2023-42962: Aymane Chabat

Voce aggiunta il 22 marzo 2024

Find My

Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.

Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.

CVE-2023-42922: Wojciech Regula di SecuRing (wojciechregula.blog)

ImageIO

Impatto: l'elaborazione di un'immagine può causare l'esecuzione di un codice arbitrario.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-42898: Zhenjiang Zhao di Pangu Team, Qianxin e Junsung Lee

CVE-2023-42899: Meysam Firouzi @R00tkitSMM e Junsung Lee

Voce aggiornata il 22 marzo 2024

ImageIO

Impatto: l'elaborazione di un'immagine dannosa potrebbe causare la divulgazione dei contenuti della memoria dei processi

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-42888: Michael DePlante (@izobashi) della Zero Day Initiative di Trend Micro

Voce aggiunta il 22 gennaio 2024

IOUSBDeviceFamily

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: una race condition è stata risolta attraverso una migliore gestione dello stato.

CVE-2023-42974: Pan ZhenPeng (@Peterpan0927) di STAR Labs SG Pte. Ltd.

Voce aggiornata il 22 marzo 2024

Kernel

Impatto: un'app potrebbe essere in grado di uscire dalla sandbox

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) di Synacktiv (@Synacktiv)

Libsystem

Impatto: un'app potrebbe accedere ai dati protetti degli utenti.

Descrizione: un problema relativo ai permessi è stato risolto rimuovendo il codice vulnerabile e aggiungendo ulteriori controlli.

CVE-2023-42893

Voce aggiunta il 22 marzo 2024

Safari Private Browsing

Impatto: potrebbero verificarsi accessi senza autenticazione alle schede di navigazione private.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2023-42923: ARJUN S D

Sandbox

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.

CVE-2023-42936

Voce aggiunta il 22 marzo 2024

Siri

Impatto: un utente malintenzionato con accesso fisico potrebbe essere in grado di usare Siri per accedere ai dati sensibili dell'utente

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-42897: Andrew Goldberg della The McCombs School of Business della University of Texas di Austin (linkedin.com/andrew-goldberg-/)

TCC

Impatto: un'app potrebbe essere in grado di uscire dalla sandbox

Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.

CVE-2023-42947: Zhongquan Li (@Guluisacat) di Dawn Security Lab di JingDong

Voce aggiunta il 22 marzo 2024

WebKit

Impatto: l'elaborazione di contenuti web potrebbe causare l'esecuzione di codice arbitrario

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

WebKit Bugzilla: 259830
CVE-2023-42890: Pwn2car

WebKit

Impatto: l'elaborazione di un'immagine potrebbe causare l'interruzione del servizio

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

WebKit Bugzilla: 263349
CVE-2023-42883: Offensive Security Team di Zoom

WebKit

Impatto: l'elaborazione di contenuti web dannosi potrebbe causare l'esecuzione di codice arbitrario.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

WebKit Bugzilla: 263682
CVE-2023-42950: Nan Wang (@eternalsakura13) di 360 Vulnerability Research Institute e rushikesh nandedkar

Voce aggiunta il 22 marzo 2024

WebKit

Impatto: l'elaborazione di contenuti web potrebbe causare l'interruzione del servizio.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

WebKit Bugzilla: 263989
CVE-2023-42956: SungKwon Lee (Demon.Team)

Voce aggiunta il 22 marzo 2024

Altri riconoscimenti

Safari Private Browsing

Ringraziamo Joshua Lund della Signal Technology Foundation e Iakovos Gurulian per l'assistenza.

Voce aggiornata il 22 marzo 2024

Setup Assistant

Ringraziamo Aaron Gregory della Acoustic.com e Eastern Illinois University – Graduate School of Technology per l'assistenza.

WebKit

Ringraziamo 椰椰 per l'assistenza.

WebSheet

Ringraziamo Paolo Ruggero di e-phors S.p.A. (UNA Società di FINCANTIERI S.p.A. ) per l'assistenza.

Voce aggiunta il 22 marzo 2024

Wi-Fi

Ringraziamo Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab) per l'assistenza.

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: 2 aprile 2024