Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma problemi relativi alla sicurezza prima di aver completato un'indagine approfondita e preparato le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle nuove versioni alla pagina Versioni di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
iOS 16.7.8 e iPadOS 16.7.8
Data di rilascio: 13 maggio 2024
Core Data
Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti
Descrizione: un problema è stato risolto con una migliore convalida delle variabili ambientali.
CVE-2024-27805: Kirin (@Pwnrin) e 小来来 (@Smi1eSEC)
Voce aggiunta il 10 giugno 2024
CoreMedia
Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione
Impatto: un'app potrebbe essere in grado di eseguire codice arbitrario con privilegi kernel
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2024-27817: pattern-f (@pattern_F_) di Ant Security Light-Year Lab
Voce aggiunta il 10 giugno 2024
CoreMedia
Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione
Impatto: l'elaborazione di un file può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2024-27831: Amir Bazine e Karsten König di CrowdStrike Counter Adversary Operations
Voce aggiunta il 10 giugno 2024
Foundation
Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2024-27789: Mickey Jin (@patch1t)
IOHIDFamily
Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione
Impatto:un'applicazione senza privilegi poteva registrare le pressioni di tasti in altre applicazioni incluse quelle in cui era abilitata la modalità di input protetta.
Descrizione: il problema è stato risolto attraverso verifiche di autorizzazione aggiuntive.
CVE-2024-27799: un ricercatore anonimo
Voce aggiunta il 10 giugno 2024
Kernel
Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione
Impatto: un utente può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2024-27818: pattern-f (@pattern_F_) di Ant Security Light-Year Lab
Voce aggiunta il 10 giugno 2024
Kernel
Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione
Impatto: un utente malintenzionato che ha già ottenuto l'esecuzione del codice kernel può essere in grado di bypassare le protezioni della memoria del kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2024-27840: un ricercatore anonimo
Voce aggiunta il 10 giugno 2024
Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione
Impatto: un utente malitenzionato che può accedere fisicamente potrebbe divulgare le credenziali per l'account di Mail.
Descrizione: un problema di autenticazione è stato risolto attraverso una migliore gestione dello stato.
CVE-2024-23251: Gil Pedersen
Voce aggiunta il 10 giugno 2024
Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione
Impatto: un'email pericolosa potrebbe avviare chiamate FaceTime senza autorizzazione dell'utente.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2024-23282: Dohyun Lee (@l33d0hyun)
Voce aggiunta il 10 giugno 2024
Messages
Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione
Impatto: l'elaborazione di un messaggio pericoloso potrebbe causare un'interruzione del servizio.
Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.
CVE-2024-27800: Daniel Zajork e Joshua Zajork
Voce aggiunta il 10 giugno 2024
Metal
Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione
Impatto: l'elaborazione di un file dannoso può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) in collaborazione con Zero Day Initiative di Trend Micro
Voce aggiunta il 10 giugno 2024
RTKit
Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione
Impatto: un malintenzionato con funzionalità di lettura e scrittura arbitraria potrebbe riuscire a bypassare le protezioni della memoria del kernel. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
CVE-2024-23296
Shortcuts
Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione
Impatto: un comando rapido può essere in grado di utilizzare dati sensibili con determinate azioni senza richiedere l'autorizzazione dell'utente.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2024-27855: un ricercatore anonimo
Voce aggiunta il 10 giugno 2024
Spotlight
Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti
Descrizione: il problema è stato risolto attraverso una migliore sanitizzazione dell'ambiente.
CVE-2024-27806
Voce aggiunta il 10 giugno 2024
Symptom Framework
Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione
Impatto: un'applicazione potrebbe riuscire ad aggirare la registrazione del resoconto sulla privacy delle app.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2024-27807: Romy R.
Voce aggiunta il 10 giugno 2024
Sync Services
Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione
Impatto: un'app potrebbe bypassare le preferenze sulla privacy
Descrizione: il problema è stato risolto attraverso migliori controlli
CVE-2024-27847: Mickey Jin (@patch1t)
Voce aggiunta il 10 giugno 2024
Voice Control
Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione
Impatto: un utente può essere in grado di rendere più elevati i privilegi.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2024-27796: ajajfxhj
Voce aggiunta il 10 giugno 2024
WebKit
Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione
Impatto: una pagina web dannosa potrebbe essere in grado di creare una rappresentazione univoca dell'utente.
Descrizione: il problema è stato risolto mediante l'aggiunta di ulteriore logica.
WebKit Bugzilla: 262337
CVE-2024-27838: Emilio Cobos di Mozilla
Voce aggiunta il 10 giugno 2024
WebKit
Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di overflow dei numeri interi è stato risolto attraverso una migliore convalida dell'input.
WebKit Bugzilla: 271491
CVE-2024-27833: Manfred Paul (@_manfp) in collaborazione con Zero Day Initiative di Trend Micro
Voce aggiunta il 10 giugno 2024
WebKit
Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione
Impatto: un utente malintenzionato con funzionalità di lettura e scrittura arbitraria potrebbe riuscire a bypassare l'autenticazione del puntatore.
Descrizione: il problema è stato risolto con controlli migliori.
WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) in collaborazione con Zero Day Initiative di Trend Micro
Voce aggiunta il 10 giugno 2024
WebKit Web Inspector
Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione
Impatto: l'elaborazione di contenuti web potrebbe causare l'esecuzione di codice arbitrario
Descrizione: il problema è stato risolto migliorando la gestione della memoria.
WebKit Bugzilla: 270139
CVE-2024-27820: Jeff Johnson di underpassapp.com
Voce aggiunta il 10 giugno 2024