Informazioni sui contenuti di sicurezza di iOS 18 e iPadOS 18

In questo documento vengono descritti i contenuti di sicurezza di iOS 18 E iPadOS 18.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Le versioni recenti sono elencate nella pagina Versioni di sicurezza di Apple.

Quando possibile, i documenti sulla sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta la pagina Sicurezza dei prodotti Apple.

iOS 18 e iPadOS 18

Data di rilascio: 16 settembre 2024

Accessibility

Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: un utente malintenzionato con accesso fisico potrebbe essere in grado di usare Siri per accedere ai dati sensibili dell'utente.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2024-40840: Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology di Bhopal (India)

Accessibility

Impatto: un'app potrebbe essere in grado di enumerare le app installate dall'utente.

Descrizione: il problema è stato risolto attraverso una migliore protezione dei dati.

CVE-2024-40830: Chloe Surett

Accessibility

Impatto: un utente malintenzionato con accesso fisico a un dispositivo bloccato potrebbe riuscire a controllare i dispositivi nelle vicinanze tramite le funzioni di accessibilità

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2024-44171: Jake Derouin

Accessibility

Impatto: un utente malintenzionato può essere in grado di visualizzare le foto recenti senza autenticazione usando Accesso assistito.

Descrizione: il problema è stato risolto limitando le opzioni offerte su un dispositivo bloccato.

CVE-2024-40852: Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology di Bhopal (India)

ARKit

Impatto: l'elaborazione di un file dannoso può danneggiare la memoria heap.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-44126: Holger Fuhrmannek

Voce aggiunta il 28 ottobre 2024

Cellular

Impatto: un utente malintenzionato remoto può essere in grado di provocare un'interruzione del servizio.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2024-27874: Tuan D. Hoang

Compression

Impatto: l'estrazione di un archivio dannoso può consentire a un utente malintenzionato di scrivere file arbitrari.

Descrizione: una race condition è stata risolta attraverso un blocco migliore.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Control Center

Impatto: un'app può essere in grado di registrare lo schermo senza la presenza di un indicatore.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-27869: un ricercatore anonimo

Core Bluetooth

Impatto: un dispositivo di input Bluetooth dannoso può bypassare l'abbinamento.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2024-44124: Daniele Antonioli

FileProvider

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: il problema è stato risolto attraverso una migliore convalida dei link simbolici.

CVE-2024-44131: @08Tc3wBB di Jamf

Game Center

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: un problema di accesso ad alcuni file è stato risolto attraverso una migliore convalida degli input.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Impatto: l'elaborazione di un file dannoso potrebbe causare la chiusura improvvisa dell'applicazione.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2024-27880: Junsung Lee

ImageIO

Impatto: l'elaborazione di un'immagine potrebbe causare l'interruzione del servizio

Descrizione: un problema di accesso non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2024-44176: dw0r di ZeroPointer Lab in collaborazione con Zero Day Initiative di Trend Micro e un ricercatore anonimo.

IOSurfaceAccelerator

Impatto: un'app potrebbe causare l'arresto improvviso del sistema.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2024-44169: Antonio Zekić

Kernel

Impatto: può verificarsi una fuoriuscita del traffico di rete al di fuori di un tunnel VPN

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2024-44165: Andrew Lytvynov

Kernel

Impatto: un'app potrebbe ottenere l'accesso non autorizzato al Bluetooth.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) e Mathy Vanhoef

libxml2

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: un problema di overflow dei numeri interi è stato risolto mediante una migliore convalida degli input.

CVE-2024-44198: OSS-Fuzz, Ned Williamson di Google Project Zero

Mail Accounts

Impatto: un'app potrebbe accedere alle informazioni sui contatti di un utente.

Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

mDNSResponder

Impatto: un'app potrebbe causare l'interruzione del servizio.

Descrizione: un problema logico è stato risolto con una migliore gestione degli errori.

CVE-2024-44183: Olivier Levon

Model I/O

Impatto: l'elaborazione di un'immagine dannosa può causare l'interruzione del servizio.

Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.

CVE-2023-5841

NetworkExtension

Impatto: un'app potrebbe ottenere l'accesso non autorizzato alla rete locale.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2024-44147: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) e Mathy Vanhoef

Notes

Impatto: un'app potrebbe sovrascrivere i file arbitrari.

Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.

CVE-2024-44167: ajajfxhj

Passwords

Impatto: Inserimento automatico password potrebbe immettere password anche dopo un'autenticazione fallita

Descrizione: un problema relativo ai permessi è stato risolto rimuovendo il codice vulnerabile e aggiungendo ulteriori controlli.

CVE-2024-44217: Bistrit Dahal, un ricercatore anonimo, Joshua Keller

Voce aggiunta il 28 ottobre 2024

Printing

Impatto: un documento non crittografato può essere scritto in un file temporaneo durante l'utilizzo dell'anteprima di stampa.

Descrizione: un problema di privacy è stato risolto migliorando la gestione dei file.

CVE-2024-40826: un ricercatore anonimo

Safari

Impatto: i contenuti web dannosi possono violare la politica della sandbox iframe.

Descrizione: un problema relativo alla gestione di uno schema URL personalizzato è stato risolto attraverso una migliore convalida dell'input.

CVE-2024-44155: Narendra Bhati, Manager of Cyber Security presso Suma Soft Pvt. Ltd, Pune (India)

Voce aggiunta il 28 ottobre 2024

Safari Private Browsing

Impatto: potrebbero verificarsi accessi senza autenticazione alle schede di navigazione private.

Descrizione: un problema di autenticazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2024-44202: Kenneth Chew

Safari Private Browsing

Impatto: potrebbero verificarsi accessi senza autenticazione alle schede di navigazione private.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2024-44127: Anamika Adhikari

Sandbox

Impatto: un'app potrebbe divulgare informazioni sensibili degli utenti.

Descrizione: il problema è stato risolto attraverso una migliore protezione dei dati.

CVE-2024-40863: Csaba Fitzl (@theevilbit) di Kandji

Voce aggiornata il 28 ottobre 2024

SceneKit

Impatto: l'elaborazione di un file dannoso potrebbe causare la chiusura improvvisa dell'applicazione.

Descrizione: un overflow del buffer è stato risolto attraverso una migliore convalida delle dimensioni.

CVE-2024-44144: 냥냥

Voce aggiunta il 28 ottobre 2024

Security

Impatto: un'app dannosa con privilegi root potrebbe accedere agli input della tastiera e alle informazioni sulla posizione senza il consenso dell'utente

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2024-44123: Wojciech Regula di SecuRing (wojciechregula.blog)

Voce aggiunta il 28 ottobre 2024

Sidecar

Disponibile per: iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: un utente malintenzionato con accesso fisico a un dispositivo macOS con Sidecar abilitata potrebbe bypassare la Schermata di blocco

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2024-44145: Om Kothawade di Zaprico Digital, Omar A. Alanis dell'UNTHSC College of Pharmacy

Voce aggiunta il 28 ottobre 2024

Siri

Impatto: un utente malintenzionato potrebbe utilizzare Siri per abilitare Accetta chiamate in automatico

Descrizione: il problema è stato risolto limitando le opzioni offerte su un dispositivo bloccato.

CVE-2024-40853: Chi Yuan Chang di ZUSO ART e taikosoup

Voce aggiunta il 28 ottobre 2024

Siri

Impatto: un utente malintenzionato che può accedere fisicamente potrebbe riuscire ad accedere ai contatti dal blocco schermo.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-44139: Srijan Poudel

CVE-2024-44180: Bistrit Dahal

Siri

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: un problema di privacy è stato risolto spostando i dati sensibili in una posizione più sicura.

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)

Transparency

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

UIKit

Impatto: un utente malintenzionato potrebbe causare la chiusura imprevista dell'app

Descrizione: il problema è stato risolto con migliori controlli dei limiti.

CVE-2024-27879: Justin Cohen

WebKit

Impatto: l'elaborazione di contenuti web dannosi può causare il cross-site scripting universale.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

WebKit Bugzilla: 268724

CVE-2024-40857: Ron Masas

WebKit

Impatto: un sito web dannoso può consentire l'esfiltrazione multiorigine dei dati.

Descrizione: si verificava un problema multiorigine con gli elementi “iFrame”. è stato risolto attraverso un migliore monitoraggio delle origini di sicurezza.

WebKit Bugzilla: 279452

CVE-2024-44187: Narendra Bhati, Manager of Cyber Security presso Suma Soft Pvt. Ltd, Pune (India)

Wi-Fi

Impatto: un utente malintenzionato può essere in grado di forzare la disconnessione di un dispositivo da una rete protetta.

Descrizione: un problema di integrità è stato risolto attraverso Beacon Protection.

CVE-2024-40856: Domien Schepers

Altri riconoscimenti

Core Bluetooth

Ringraziamo Nicholas C. di Onymos Inc. (onymos.com) per l'assistenza.

Foundation

Ringraziamo Ostorlab per l'assistenza.

Installer

Ringraziamo Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology di Bhopal (India), Chi Yuan Chang di ZUSO ART e taikosoup, Christian Scalese, Ishan Boda, Shane Gallagher per l'assistenza.

Voce aggiornata il 28 ottobre 2024

Kernel

Ringraziamo Braxton Anderson, Deutsche Telekom Security GmbH sponsorizzato da Bundesamt für Sicherheit in der Informationstechnik, Fakhri Zulkifli (@d0lph1n98) di PixiePoint Security per l'assistenza.

Magnifier

Ringraziamo Andr.Ess per l'assistenza.

Maps

Ringraziamo Kirin (@Pwnrin) per l'assistenza.

Messages

Ringraziamo Chi Yuan Chang di ZUSO ART e taikosoup per l'assistenza.

MobileLockdown

Ringraziamo Andr.Ess per l'assistenza.

Notifications

Ringraziamo un ricercatore anonimo per l'assistenza.

Passwords

Ringraziamo Richard Hyunho Im (@r1cheeta) per l'assistenza.

Photos

Ringraziamo Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology di Bhopal (India), Harsh Tyagi, Kenneth Chew, Leandro Chaves, Saurabh Kumar del Technocrat Institute of Technology di Bhopal, Shibin B Shaji, Vishnu Prasad P G, UST, Yusuf Kelany per l'assistenza.

Safari

Ringraziamo Hafiizh e YoKo Kho (@yokoacc) di HakTrak, James Lee (@Windowsrcer) per l'assistenza.

Shortcuts

Ringraziamo Cristian Dinca della Tudor Vianu National High School of Computer Science, Romania, Jacob Braun e un ricercatore anonimo per l'assistenza.

Siri

Ringraziamo Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology di Bhopal (India), Rohan Paudel e un ricercatore anonimo per l'assistenza.

Voce aggiornata il 28 ottobre 2024

Spotlight

Ringraziamo Paulo Henrique Batista Rosa de Castro (@paulohbrc) per l'assistenza.

Voce aggiunta il 28 ottobre 2024

Status Bar

Ringraziamo Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology di Bhopal (India) e Jacob Braun per l'assistenza.

TCC

Ringraziamo Vaibhav Prajapati per l'assistenza.

UIKit

Ringraziamo Andr.Ess per l'assistenza.

Voice Memos

Ringraziamo Lisa B per l'assistenza.

WebKit

Ringraziamo Avi Lumelsky di Oligo Security, Uri Katz di Oligo Security, Braylon (@softwarescool), Eli Grey (eligrey.com), Johan Carlsson (joaxcar), Numan Türle e Rıza Sabuncu per l'assistenza.

Voce aggiornata il 28 ottobre 2024

Wi-Fi

Ringraziamo Antonio Zekic (@antoniozekic) e ant4g0nist, Tim Michaud (@TimGMichaud) di Moveworks.ai per l'assistenza.

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: 1 novembre 2024