Informazioni sui contenuti di sicurezza di iOS 18.1 e iPadOS 18.1

In questo documento vengono descritti i contenuti di sicurezza di iOS 18.1 e iPadOS 18.1.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle versioni più recenti alla pagina Versioni di sicurezza Apple.

Quando possibile, i documenti sulla sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consultare questo articolo sulla sicurezza dei prodotti Apple.

iOS 18.1 e iPadOS 18.1

Data di rilascio: 28 ottobre 2024

Accessibility

Disponibile per: iPhone XS e successivi

Impatto: un utente malintenzionato con accesso fisico a un dispositivo bloccato potrebbe riuscire a visualizzare informazioni sensibili dell'utente

Descrizione: il problema è stato risolto attraverso una migliore autenticazione.

CVE-2024-44274: Rizki Maulana (rmrizki.my.id), Matthew Butler, Jake Derouin

App Support

Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: un'app dannosa potrebbe essere in grado di eseguire comandi rapidi arbitrari senza il consenso dell'utente

Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore logica.

CVE-2024-44255: un ricercatore anonimo

AppleAVD

Impatto: l'analisi di un file video dannoso può causare l'arresto improvviso del sistema.

Descrizione: il problema è stato risolto con migliori controlli dei limiti.

CVE-2024-44232: Ivan Fratric di Google Project Zero

CVE-2024-44233: Ivan Fratric di Google Project Zero

CVE-2024-44234: Ivan Fratric di Google Project Zero

Voce aggiunta il 1 novembre 2024

CoreMedia Playback

Impatto: un'app dannosa potrebbe accedere a informazioni private

Descrizione: il problema è stato risolto attraverso una migliore gestione dei link simbolici.

CVE-2024-44273: pattern-f (@pattern_F_), Hikerell di Loadshine Lab

CoreText

Impatto: l'elaborazione di un font dannoso può causare la divulgazione della memoria dei processi.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-44240: Hossein Lotfi (@hosselot) di Trend Micro Zero Day Initiative

CVE-2024-44302: Hossein Lotfi (@hosselot) di Trend Micro Zero Day Initiative

Foundation

Impatto: l'analisi di un file potrebbe causare la divulgazione delle informazioni utente

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2024-44282: Hossein Lotfi (@hosselot) di Trend Micro Zero Day Initiative

ImageIO

Impatto: l'elaborazione di un'immagine potrebbe causare la divulgazione dei contenuti della memoria dei processi.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2024-44215: Junsung Lee in collaborazione con Zero Day Initiative di Trend Micro

ImageIO

Impatto: l'elaborazione di un messaggio pericoloso potrebbe causare un'interruzione del servizio.

Descrizione: il problema è stato risolto con migliori controlli dei limiti.

CVE-2024-44297: Jex Amro

IOMobileFrameBuffer

Impatto: un utente malintenzionato può causare la chiusura improvvisa del sistema o l'esecuzione di codice arbitrario in un firmware DCP.

Descrizione: il problema è stato risolto con migliori controlli dei limiti.

CVE-2024-44299: Ye Zhang (@VAR10CK) di Baidu Security

CVE-2024-44241: Ye Zhang (@VAR10CK) di Baidu Security

CVE-2024-44242: Ye Zhang (@VAR10CK) di Baidu Security

Voce aggiunta il 11 dicembre 2024

IOSurface

Impatto: un'app potrebbe causare l'arresto improvviso del sistema o danneggiare la memoria del kernel

Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2024-44285: un ricercatore anonimo

iTunes

Impatto: un utente malintenzionato collegato in remoto potrebbe essere in grado di uscire dalla sandbox Contenuti web

Descrizione: un problema relativo alla gestione di uno schema URL personalizzato è stato risolto attraverso una migliore convalida dell'input.

CVE-2024-40867: Ziyi Zhou (@Shanghai Jiao Tong University), Tianxiao Hou (@Shanghai Jiao Tong University)

Kernel

Impatto: un'app potrebbe divulgare lo stato sensibile del kernel

Descrizione: un problema di divulgazione delle informazioni è stato risolto migliorando la redazione dei dati privati per i log.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

libarchive

Impatto: l'elaborazione di un file pericoloso potrebbe causare un'interruzione del servizio

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2024-44201: Ben Roeder

Voce aggiunta il 11 dicembre 2024

Managed Configuration

Impatto: il ripristino di un file di backup dannoso potrebbe causare la modifica di file di sistema protetti.

Descrizione: il problema è stato risolto attraverso una migliore gestione dei link simbolici.

CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak

MobileBackup

Impatto: il ripristino di un file di backup dannoso potrebbe causare la modifica di file di sistema protetti.

Descrizione: un problema logico è stato risolto con una migliore gestione dei file.

CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)

Pro Res

Impatto: un'app potrebbe causare l'arresto improvviso del sistema o danneggiare la memoria del kernel

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2024-44277: un ricercatore anonimo e Yinyi Wu (@_3ndy1) di Dawn Security Lab di JD.com, Inc.

Safari Downloads

Impatto: un utente malintenzionato può essere in grado di usare impropriamente una relazione di fiducia per scaricare contenuti dannosi.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2024-44259: Narendra Bhati, Manager of Cyber Security presso Suma Soft Pvt. Ltd, Pune (India)

Safari Private Browsing

Impatto: la navigazione privata potrebbe divulgare una parte della cronologia di navigazione.

Descrizione: una perdita di informazioni è stata risolta attraverso una convalida aggiuntiva.

CVE-2024-44229: Lucas Di Tomase

SceneKit

Impatto: l'elaborazione di un file dannoso può danneggiare la memoria heap.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2024-44218: Michael DePlante (@izobashi) della Zero Day Initiative di Trend Micro

Security

Impatto: un utente malintenzionato remoto può essere in grado di provocare un'interruzione del servizio.

Descrizione: un problema di interruzione del servizio è stato risolto attraverso una migliore convalida dell'input.

CVE-2024-54538: Bing Shi, Wenchao Li e Xiaolong Bai di Alibaba Group e Luyi Xing dell'Indiana University Bloomington

Voce aggiunta il 19 dicembre 2024

Shortcuts

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.

CVE-2024-44254: Kirin (@Pwnrin)

Shortcuts

Impatto: un'app dannosa potrebbe essere in grado di usare controlli rapidi per accedere a file con restrizioni

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2024-44269: Kirin (@Pwnrin) e un ricercatore anonimo

Voce aggiornata il 11 dicembre 2024

Siri

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.

CVE-2024-44194: Rodolphe Brunetti (@eisw0lf)

Siri

Impatto: un utente malintenzionato con accesso fisico potrebbe essere in grado di accedere alle foto dei contatti dalla schermata di blocco.

Descrizione: il problema è stato risolto limitando le opzioni offerte su un dispositivo bloccato.

CVE-2024-40851: Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology Bhopal India, Srijan Poudel

Siri

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2024-44263: Kirin (@Pwnrin) and 7feilee

Siri

Impatto: un'applicazione sandbox potrebbe causare un arresto anomalo del coprocessore.

Descrizione: un problema di divulgazione delle informazioni è stato risolto migliorando la redazione dei dati privati per i log.

CVE-2024-44278: Kirin (@Pwnrin)

Siri

Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.

Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.

CVE-2024-44200: Cristian Dinca (icmd.tech)

Voce aggiunta il 11 dicembre 2024

Spotlight

Impatto: un malintenzionato potrebbe visualizzare i contenuti con restrizioni dalla schermata di blocco.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2024-44251: Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology Bhopal India

Spotlight

Impatto: un malintenzionato potrebbe visualizzare i contenuti con restrizioni dalla schermata di blocco.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-44235: Rizki Maulana (rmrizki.my.id), Dalibor Milanovic, Richard Hyunho Im (@richeeta) con Route Zero Security

VoiceOver

Impatto: un malintenzionato potrebbe visualizzare i contenuti con restrizioni dalla schermata di blocco.

Descrizione: il problema è stato risolto limitando le opzioni offerte su un dispositivo bloccato.

CVE-2024-44261: Braylon (@softwarescool)

Weather

Impatto: un'app potrebbe determinare la posizione corrente di un utente.

Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.

CVE-2024-44290: Kirin (@Pwnrin)

Voce aggiunta il 11 dicembre 2024

WebKit

Impatto: i cookie appartenenti a un'origine possono essere inviati a un'altra origine.

Descrizione: un problema di gestione dei cookie è stato risolto attraverso una migliore gestione dello stato.

WebKit Bugzilla: 279226

CVE-2024-44212: Wojciech Regula di SecuRing (wojciechregula.blog)

Voce aggiunta il 11 dicembre 2024

WebKit

Impatto: l'elaborazione di contenuti web pericolosi potrebbe impedire l'applicazione della Content Security Policy.

Descrizione: il problema è stato risolto con controlli migliori.

WebKit Bugzilla: 278765

CVE-2024-44296: Narendra Bhati, Manager of Cyber Security presso Suma Soft Pvt. Ltd, Pune (India)

WebKit

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

WebKit Bugzilla: 279780

CVE-2024-44244: un ricercatore anonimo, Q1IQ (@q1iqF) e P1umer (@p1umer)

Altri riconoscimenti

Accessibility

Ringraziamo Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology di Bhopal India, Chi Yuan Chang di ZUSO ART e taikosoup per l'assistenza.

App Store

Ringraziamo Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology di Bhopal India, Chi Yuan Chang di ZUSO ART e taikosoup e CARRY per l'assistenza.

Voce aggiornata il 11 dicembre 2024

Calculator

Ringraziamo Kenneth Chew per l'assistenza.

Calendar

Ringraziamo K宝(@Pwnrin) per l'assistenza.

Camera

Ringraziamo Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology Bhopal India per l'assistenza.

Files

Ringraziamo Chi Yuan Chang di ZUSO ART e taikosoup, Christian Scalese per l'assistenza.

ImageIO

Ringraziamo Amir Bazine e Karsten König di CrowdStrike Counter Adversary Operations e un ricercatore anonimo per l'assistenza.

Messages

Ringraziamo Collin Potter e un ricercatore anonimo per l'assistenza.

NetworkExtension

Ringraziamo Patrick Wardle di DoubleYou & the Objective-See Foundation per l'assistenza.

Personalization Services

Ringraziamo Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology Bhopal India, Bistrit Dahal per l'assistenza.

Photos

Ringraziamo James Robertson, Kamil Bourouiba per l'assistenza.

Safari Private Browsing

Ringraziamo un ricercatore anonimo e Jacob Compton per l'assistenza.

Voce aggiornata il 11 dicembre 2024

Safari Tabs

Ringraziamo Jaydev Ahire per l'assistenza.

Settings

Ringraziamo JS, Srijan Poudel, Abhay Kailasia (@abhay_kailasia) di LNCT Bhopal e C-DAC Thiruvananthapuram India, Chi Yuan Chang di ZUSO ART e taikosoup e CARRY per l'assistenza.

Voce aggiornata il 11 dicembre 2024

Siri

Ringraziamo Bistrit Dahal per l'assistenza.

Spotlight

Ringraziamo Abhay Kailasia (@abhay_kailasia) di LNCT Bhopal e C-DAC Thiruvananthapuram India per l'assistenza.

Time Zone

Ringraziamo Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology Bhopal India e Siddharth Choubey per l'assistenza.

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: 31 dicembre 2024