Informazioni sui contenuti di sicurezza di iOS 13.1 e iPadOS 13.1

In questo documento vengono descritti i contenuti di sicurezza di iOS 13.1 e iPadOS 13.1.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

iOS 13.1 e iPadOS 13.1

Data di rilascio: 24 settembre 2019

iOS 13.1 e iPadOS 13.1 includono i contenuti di sicurezza di iOS 13.

AppleFirmwareUpdateKext

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: una vulnerabilità al danneggiamento della memoria è stata risolta mediante un blocco migliore.

CVE-2019-8747: Mohamed Ghannam (@_simo36)

Voce aggiunta il 29 ottobre 2019

Audio

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: l'elaborazione di un file audio dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8706: Yu Zhou di Ant-financial Light-Year Security Lab

Voce aggiunta il 29 ottobre 2019

Audio

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: l'elaborazione di un file audio pericoloso può divulgare la memoria con restrizioni.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8850: anonimo in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiunta il 18 dicembre 2019

Libri

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: l'analisi di un file iBooks dannoso può causare un'interruzione del servizio persistente.

Descrizione: un problema di esaurimento delle risorse è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8774: Gertjan Franken, imec-DistriNet di KU Leuven

Voce aggiunta il 29 ottobre 2019

Kernel

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: una vulnerabilità al danneggiamento della memoria è stata risolta mediante un blocco migliore.

CVE-2019-8740: Mohamed Ghannam (@_simo36)

Voce aggiunta il 29 ottobre 2019

Kernel

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un'app locale può essere in grado di leggere un identificatore account persistente.

Descrizione: un problema di convalida è stato risolto attraverso una migliore logica.

CVE-2019-8809: Apple

Voce aggiunta il 29 ottobre 2019

Kernel

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un'applicazione dannosa può essere in grado di determinare il layout della memoria del kernel.

Descrizione: il problema è stato risolto attraverso una migliore logica dei permessi.

CVE-2019-8780: Siguza

Voce aggiunta l'8 ottobre 2019

libxslt

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: diversi problemi presenti in libxslt.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida degli input.

CVE-2019-8750: rilevato da OSS-Fuzz

Voce aggiunta il 29 ottobre 2019

mDNSResponder

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un utente malintenzionato in prossimità fisica può essere in grado di osservare passivamente i nomi dei dispositivi nelle comunicazioni AWDL.

Descrizione: il problema è stato risolto sostituendo i nomi dei dispositivi con un identificatore casuale.

CVE-2019-8799: David Kreitschmann e Milan Stute di Secure Mobile Networking Lab della Technische Universität Darmstadt

Voce aggiunta il 29 ottobre 2019

Comandi rapidi

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un utente malintenzionato in una posizione di rete privilegiata può essere in grado di intercettare il traffico SSH dall'azione “Esegui script su SSH”

Descrizione: il problema è stato risolto verificando le chiavi host durante la connessione a un server SSH precedentemente noto.

CVE-2019-8901: un ricercatore anonimo

Voce aggiunta l'11 febbraio 2020

UIFoundation

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8831: riusksk di VulWar Corp in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiunta il 18 novembre 2019

VoiceOver

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: una persona con accesso fisico a un dispositivo iOS può essere in grado di accedere ai contatti dal blocco schermo.

Descrizione: il problema è stato risolto limitando le opzioni offerte su un dispositivo bloccato.

CVE-2019-8775: videosdebarraquito

WebKit

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: l'accesso a un sito web dannoso può rivelare la cronologia di navigazione.

Descrizione: si verificava un problema nel disegnare gli elementi delle pagine web. Il problema è stato risolto attraverso una migliore logica.

CVE-2019-8769: Piérre Reimertz (@reimertz)

Voce aggiunta l'8 ottobre 2019

WebKit

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.

CVE-2019-8710: rilevato da OSS-Fuzz

CVE-2019-8743: zhunki del Codesafe Team di Legendsec presso Qi'anxin Group

CVE-2019-8751: Dongzhuo Zhao in collaborazione con ADLab di Venustech

CVE-2019-8752: Dongzhuo Zhao in collaborazione con ADLab di Venustech

CVE-2019-8763: Sergei Glazunov di Google Project Zero

CVE-2019-8765: Samuel Groß di Google Project Zero

CVE-2019-8766: rilevato da OSS-Fuzz

CVE-2019-8773: rilevato da OSS-Fuzz

Voce aggiunta l'8 ottobre 2019 e aggiornata il 29 ottobre 2019

WebKit

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: l'elaborazione di contenuti web dannosi può causare il cross-site scripting universale.

Descrizione: un problema di convalida è stato risolto attraverso una migliore logica.

CVE-2019-8762: Sergei Glazunov di Google Project Zero

Voce aggiunta il 18 novembre 2019

WebKit

Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.

CVE-2020-9932: Dongzhuo Zhao in collaborazione con ADLab di Venustech

Voce aggiunta il 28 luglio 2020

Altri riconoscimenti

boringssl

Ringraziamo Nimrod Aviram della Tel Aviv University, Robert Merget e Juraj Somorovsky della Ruhr University Bochum per l'assistenza.

Voce aggiunta il 29 ottobre 2019

Trova il mio iPhone

Ringraziamo un ricercatore anonimo per l'assistenza.

Servizio di identificazione

Ringraziamo Yiğit Can YILMAZ (@yilmazcanyigit) per l'assistenza.

Voce aggiunta il 29 ottobre 2019

Kernel

Ringraziamo Vlad Tsyrklevich per l'assistenza.

Voce aggiunta il 28 luglio 2020

Note

Ringraziamo un ricercatore anonimo per l'assistenza.

Foto

Ringraziamo Peter Scott di Sydney, in Australia, per l'assistenza.

Voce aggiunta il 18 dicembre 2019

Foglio di condivisione

Ringraziamo Milan Stute del Secure Mobile Networking Lab della Technische Universität Darmstadt per l'assistenza.

Voce aggiunta il 29 ottobre 2019

Barra di stato

Ringraziamo Isaiah Kahler, Mohammed Adham e un ricercatore anonimo per l'assistenza.

Voce aggiunta il 29 ottobre 2019

Telefonia

Ringraziamo Yiğit Can YILMAZ (@yilmazcanyigit) per l'assistenza.

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: