Informazioni sui contenuti di sicurezza di iOS 13.1 e iPadOS 13.1
In questo documento vengono descritti i contenuti di sicurezza di iOS 13.1 e iPadOS 13.1.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
iOS 13.1 e iPadOS 13.1
iOS 13.1 e iPadOS 13.1 includono i contenuti di sicurezza di iOS 13.
AppleFirmwareUpdateKext
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: una vulnerabilità al danneggiamento della memoria è stata risolta mediante un blocco migliore.
CVE-2019-8747: Mohamed Ghannam (@_simo36)
Audio
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: l'elaborazione di un file audio dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2019-8706: Yu Zhou di Ant-financial Light-Year Security Lab
Audio
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: l'elaborazione di un file audio pericoloso può divulgare la memoria con restrizioni.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-8850: anonimo in collaborazione con Zero Day Initiative di Trend Micro
Libri
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: l'analisi di un file iBooks dannoso può causare un'interruzione del servizio persistente.
Descrizione: un problema di esaurimento delle risorse è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-8774: Gertjan Franken, imec-DistriNet di KU Leuven
Kernel
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: una vulnerabilità al danneggiamento della memoria è stata risolta mediante un blocco migliore.
CVE-2019-8740: Mohamed Ghannam (@_simo36)
Kernel
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: un'app locale può essere in grado di leggere un identificatore account persistente.
Descrizione: un problema di convalida è stato risolto attraverso una migliore logica.
CVE-2019-8809: Apple
Kernel
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: un'applicazione dannosa può essere in grado di determinare il layout della memoria del kernel.
Descrizione: il problema è stato risolto attraverso una migliore logica dei permessi.
CVE-2019-8780: Siguza
libxslt
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: diversi problemi presenti in libxslt.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida degli input.
CVE-2019-8750: rilevato da OSS-Fuzz
mDNSResponder
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: un utente malintenzionato in prossimità fisica può essere in grado di osservare passivamente i nomi dei dispositivi nelle comunicazioni AWDL.
Descrizione: il problema è stato risolto sostituendo i nomi dei dispositivi con un identificatore casuale.
CVE-2019-8799: David Kreitschmann e Milan Stute di Secure Mobile Networking Lab della Technische Universität Darmstadt
Comandi rapidi
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: un utente malintenzionato in una posizione di rete privilegiata può essere in grado di intercettare il traffico SSH dall'azione “Esegui script su SSH”
Descrizione: il problema è stato risolto verificando le chiavi host durante la connessione a un server SSH precedentemente noto.
CVE-2019-8901: un ricercatore anonimo
UIFoundation
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8831: riusksk di VulWar Corp in collaborazione con Zero Day Initiative di Trend Micro
VoiceOver
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: una persona con accesso fisico a un dispositivo iOS può essere in grado di accedere ai contatti dal blocco schermo.
Descrizione: il problema è stato risolto limitando le opzioni offerte su un dispositivo bloccato.
CVE-2019-8775: videosdebarraquito
WebKit
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: l'accesso a un sito web dannoso può rivelare la cronologia di navigazione.
Descrizione: si verificava un problema nel disegnare gli elementi delle pagine web. Il problema è stato risolto attraverso una migliore logica.
CVE-2019-8769: Piérre Reimertz (@reimertz)
WebKit
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.
CVE-2019-8710: rilevato da OSS-Fuzz
CVE-2019-8743: zhunki del Codesafe Team di Legendsec presso Qi'anxin Group
CVE-2019-8751: Dongzhuo Zhao in collaborazione con ADLab di Venustech
CVE-2019-8752: Dongzhuo Zhao in collaborazione con ADLab di Venustech
CVE-2019-8763: Sergei Glazunov di Google Project Zero
CVE-2019-8765: Samuel Groß di Google Project Zero
CVE-2019-8766: rilevato da OSS-Fuzz
CVE-2019-8773: rilevato da OSS-Fuzz
WebKit
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: l'elaborazione di contenuti web dannosi può causare il cross-site scripting universale.
Descrizione: un problema di convalida è stato risolto attraverso una migliore logica.
CVE-2019-8762: Sergei Glazunov di Google Project Zero
WebKit
Disponibile per: iPhone 6s e modelli successivi, iPad Air 2 e modelli successivi, iPad mini 4 e modelli successivi, iPod touch (7a generazione)
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
CVE-2020-9932: Dongzhuo Zhao in collaborazione con ADLab di Venustech
Altri riconoscimenti
boringssl
Ringraziamo Nimrod Aviram della Tel Aviv University, Robert Merget e Juraj Somorovsky della Ruhr University Bochum per l'assistenza.
Trova il mio iPhone
Ringraziamo un ricercatore anonimo per l'assistenza.
Servizio di identificazione
Ringraziamo Yiğit Can YILMAZ (@yilmazcanyigit) per l'assistenza.
Kernel
Ringraziamo Vlad Tsyrklevich per l'assistenza.
Note
Ringraziamo un ricercatore anonimo per l'assistenza.
Foto
Ringraziamo Peter Scott di Sydney, in Australia, per l'assistenza.
Foglio di condivisione
Ringraziamo Milan Stute del Secure Mobile Networking Lab della Technische Universität Darmstadt per l'assistenza.
Barra di stato
Ringraziamo Isaiah Kahler, Mohammed Adham e un ricercatore anonimo per l'assistenza.
Telefonia
Ringraziamo Yiğit Can YILMAZ (@yilmazcanyigit) per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.