Informazioni sui contenuti di sicurezza di iOS 16.7.8 e iPadOS 16.7.8

In questo documento vengono descritti i contenuti di sicurezza di iOS 16.7.8 e iPadOS 16.7.8.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle nuove versioni alla pagina Versioni di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

iOS 16.7.8 e iPadOS 16.7.8

Core Data

Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: un problema è stato risolto con una migliore convalida delle variabili ambientali.

CVE-2024-27805: Kirin (@Pwnrin) e 小来来 (@Smi1eSEC)

CoreMedia

Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione

Impatto: un'app potrebbe essere in grado di eseguire codice arbitrario con privilegi kernel

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-27817: pattern-f (@pattern_F_) di Ant Security Light-Year Lab

CoreMedia

Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione

Impatto: l'elaborazione di un file può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2024-27831: Amir Bazine e Karsten König di CrowdStrike Counter Adversary Operations

Foundation

Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2024-27789: Mickey Jin (@patch1t)

IOHIDFamily

Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione

Impatto: un'applicazione senza privilegi poteva registrare le pressioni di tasti in altre applicazioni incluse quelle in cui era abilitata la modalità di input protetta.

Descrizione: il problema è stato risolto attraverso ulteriori controlli.

CVE-2024-27799: un ricercatore anonimo

Kernel

Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione

Impatto: un utente può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2024-27818: pattern-f (@pattern_F_) di Ant Security Light-Year Lab

Kernel

Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione

Impatto: un utente malintenzionato che ha già ottenuto l'esecuzione del codice kernel può essere in grado di bypassare le protezioni della memoria del kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2024-27840: un ricercatore anonimo

Kernel

Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione

Impatto: un utente malintenzionato in una posizione privilegiata sulla rete può essere in grado di eseguire lo spoofing dei pacchetti di rete.

Descrizione: una race condition è stata risolta attraverso un blocco migliore.

CVE-2024-27823: Prof. Benny Pinkas della Bar-Ilan University, Prof. Amit Klein della Hebrew University ed EP

Mail

Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione

Impatto: un utente malitenzionato che può accedere fisicamente potrebbe divulgare le credenziali per l'account di Mail.

Descrizione: un problema di autenticazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2024-23251: Gil Pedersen

Mail

Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione

Impatto: un'email pericolosa potrebbe avviare chiamate FaceTime senza autorizzazione dell'utente.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-23282: Dohyun Lee (@l33d0hyun)

Messages

Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione

Impatto: l'elaborazione di un messaggio pericoloso potrebbe causare un'interruzione del servizio.

Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.

CVE-2024-27800: Daniel Zajork e Joshua Zajork

Metal

Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione

Impatto: l'elaborazione di un file dannoso può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) in collaborazione con Zero Day Initiative di Trend Micro

RTKit

Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione

Impatto: un utente malintenzionato con funzionalità di lettura e scrittura arbitraria del kernel può essere in grado di ignorare le protezioni della memoria del kernel. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.

CVE-2024-23296

Shortcuts

Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione

Impatto: un comando rapido può essere in grado di utilizzare dati sensibili con determinate azioni senza richiedere l'autorizzazione dell'utente.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-27855: un ricercatore anonimo

Spotlight

Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: il problema è stato risolto attraverso una migliore sanitizzazione dell'ambiente.

CVE-2024-27806

Symptom Framework

Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione

Impatto: un'applicazione potrebbe riuscire ad aggirare la registrazione del resoconto sulla privacy delle app.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-27807: Romy R.

Sync Services

Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione

Impatto: un'app potrebbe bypassare le preferenze sulla privacy

Descrizione: il problema è stato risolto attraverso migliori controlli

CVE-2024-27847: Mickey Jin (@patch1t)

Voice Control

Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione

Impatto: un utente può essere in grado di rendere più elevati i privilegi.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-27796: ajajfxhj

WebKit

Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione

Impatto: una pagina web dannosa potrebbe essere in grado di creare una rappresentazione univoca dell'utente.

Descrizione: il problema è stato risolto mediante l'aggiunta di ulteriore logica.

CVE-2024-27838: Emilio Cobos di Mozilla

WebKit

Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di overflow dei numeri interi è stato risolto attraverso una migliore convalida dell'input.

CVE-2024-27833: Manfred Paul (@_manfp) in collaborazione con Zero Day Initiative di Trend Micro

WebKit

Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione

Impatto: un utente malintenzionato con funzionalità di lettura e scrittura arbitraria potrebbe riuscire a bypassare l'autenticazione del puntatore.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-27834: Manfred Paul (@_manfp) in collaborazione con Zero Day Initiative di Trend Micro

WebKit Web Inspector

Disponibile per: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5a generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di 1a generazione

Impatto: l'elaborazione di contenuti web potrebbe causare l'esecuzione di codice arbitrario

Descrizione: il problema è stato risolto migliorando la gestione della memoria.

CVE-2024-27820: Jeff Johnson di underpassapp.com