Informazioni sui contenuti di sicurezza di iOS 18.1 e iPadOS 18.1

In questo documento vengono descritti i contenuti di sicurezza di iOS 18.1 e iPadOS 18.1.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle versioni più recenti alla pagina Versioni di sicurezza Apple.

Quando possibile, i documenti sulla sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consultare questo articolo sulla sicurezza dei prodotti Apple.

Informazioni sui contenuti di sicurezza di iOS 18.1 e iPadOS 18.1

Data di rilascio: 28 ottobre 2024

Accessibility

Disponibile per: iPhone XS e successivi

Impatto: un utente malintenzionato con accesso fisico a un dispositivo bloccato potrebbe riuscire a visualizzare informazioni sensibili dell'utente

Descrizione: il problema è stato risolto attraverso una migliore autenticazione.

CVE-2024-44274: Rizki Maulana (rmrizki.my.id), Matthew Butler, Jake Derouin

App Support

Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (3a generazione) e successivi, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (7a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: un'app dannosa potrebbe essere in grado di eseguire comandi rapidi arbitrari senza il consenso dell'utente

Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore logica.

CVE-2024-44255: un ricercatore anonimo

AppleAVD

Impatto: l'analisi di un file video dannoso può causare l'arresto improvviso del sistema.

Descrizione: il problema è stato risolto con migliori controlli dei limiti.

CVE-2024-44232: Ivan Fratric di Google Project Zero

CVE-2024-44233: Ivan Fratric di Google Project Zero

CVE-2024-44234: Ivan Fratric di Google Project Zero

Voce aggiunta il 1 novembre 2024

CoreMedia Playback

Impatto: un'app dannosa potrebbe accedere a informazioni private

Descrizione: il problema è stato risolto attraverso una migliore gestione dei link simbolici.

CVE-2024-44273: pattern-f (@pattern_F_), Hikerell di Loadshine Lab

CoreText

Impatto: l'elaborazione di un font dannoso può causare la divulgazione della memoria dei processi.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-44240: Hossein Lotfi (@hosselot) di Trend Micro Zero Day Initiative

CVE-2024-44302: Hossein Lotfi (@hosselot) di Trend Micro Zero Day Initiative

Foundation

Impatto: l'analisi di un file potrebbe causare la divulgazione delle informazioni utente

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2024-44282: Hossein Lotfi (@hosselot) di Trend Micro Zero Day Initiative

ImageIO

Impatto: l'elaborazione di un'immagine potrebbe causare la divulgazione dei contenuti della memoria dei processi.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2024-44215: Junsung Lee in collaborazione con Zero Day Initiative di Trend Micro

ImageIO

Impatto: l'elaborazione di un messaggio pericoloso potrebbe causare un'interruzione del servizio.

Descrizione: il problema è stato risolto con migliori controlli dei limiti.

CVE-2024-44297: Jex Amro

IOSurface

Impatto: un'app potrebbe causare l'arresto improvviso del sistema o danneggiare la memoria del kernel

Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2024-44285: un ricercatore anonimo

iTunes

Impatto: un utente malintenzionato collegato in remoto potrebbe essere in grado di uscire dalla sandbox Contenuti web

Descrizione: un problema relativo alla gestione di uno schema URL personalizzato è stato risolto attraverso una migliore convalida dell'input.

CVE-2024-40867: Ziyi Zhou (@Shanghai Jiao Tong University), Tianxiao Hou (@Shanghai Jiao Tong University)

Kernel

Impatto: un'app potrebbe divulgare lo stato sensibile del kernel

Descrizione: un problema di divulgazione delle informazioni è stato risolto migliorando la redazione dei dati privati per i log.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Managed Configuration

Impatto: il ripristino di un file di backup dannoso potrebbe causare la modifica di file di sistema protetti.

Descrizione: il problema è stato risolto attraverso una migliore gestione dei link simbolici.

CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak

MobileBackup

Impatto: il ripristino di un file di backup dannoso potrebbe causare la modifica di file di sistema protetti.

Descrizione: un problema logico è stato risolto con una migliore gestione dei file.

CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)

Pro Res

Impatto: un'app potrebbe causare l'arresto improvviso del sistema o danneggiare la memoria del kernel

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2024-44277: un ricercatore anonimo e Yinyi Wu (@_3ndy1) di Dawn Security Lab di JD.com, Inc.

Safari Downloads

Impatto: un utente malintenzionato può essere in grado di usare impropriamente una relazione di fiducia per scaricare contenuti dannosi.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2024-44259: Narendra Bhati, Manager of Cyber Security presso Suma Soft Pvt. Ltd, Pune (India)

Safari Private Browsing

Impatto: la navigazione privata potrebbe divulgare una parte della cronologia di navigazione.

Descrizione: una perdita di informazioni è stata risolta attraverso una convalida aggiuntiva.

CVE-2024-44229: Lucas Di Tomase

SceneKit

Impatto: l'elaborazione di un file dannoso può danneggiare la memoria heap.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2024-44218: Michael DePlante (@izobashi) della Zero Day Initiative di Trend Micro

Shortcuts

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.

CVE-2024-44254: Kirin (@Pwnrin)

Shortcuts

Impatto: un'app dannosa potrebbe essere in grado di usare controlli rapidi per accedere a file con restrizioni

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2024-44269: un ricercatore anonimo

Siri

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.

CVE-2024-44194: Rodolphe Brunetti (@eisw0lf)

Siri

Impatto: un utente malintenzionato con accesso fisico potrebbe essere in grado di accedere alle foto dei contatti dalla schermata di blocco.

Descrizione: il problema è stato risolto limitando le opzioni offerte su un dispositivo bloccato.

CVE-2024-40851: Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology Bhopal India, Srijan Poudel

Siri

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2024-44263: Kirin (@Pwnrin) and 7feilee

Siri

Impatto: un'applicazione sandbox potrebbe causare un arresto anomalo del coprocessore.

Descrizione: un problema di divulgazione delle informazioni è stato risolto migliorando la redazione dei dati privati per i log.

CVE-2024-44278: Kirin (@Pwnrin)

Spotlight

Impatto: un malintenzionato potrebbe visualizzare i contenuti con restrizioni dalla schermata di blocco.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2024-44251: Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology Bhopal India

Spotlight

Impatto: un malintenzionato potrebbe visualizzare i contenuti con restrizioni dalla schermata di blocco.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-44235: Rizki Maulana (rmrizki.my.id), Dalibor Milanovic, Richard Hyunho Im (@richeeta) con Route Zero Security

VoiceOver

Impatto: un malintenzionato potrebbe visualizzare i contenuti con restrizioni dalla schermata di blocco.

Descrizione: il problema è stato risolto limitando le opzioni offerte su un dispositivo bloccato.

CVE-2024-44261: Braylon (@softwarescool)

WebKit

Impatto: l'elaborazione di contenuti web pericolosi potrebbe impedire l'applicazione della Content Security Policy.

Descrizione: il problema è stato risolto con controlli migliori.

WebKit Bugzilla: 278765

CVE-2024-44296: Narendra Bhati, Manager of Cyber Security presso Suma Soft Pvt. Ltd, Pune (India)

WebKit

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

WebKit Bugzilla: 279780

CVE-2024-44244: un ricercatore anonimo, Q1IQ (@q1iqF) e P1umer (@p1umer)

Altri riconoscimenti

Accessibility

Ringraziamo Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology di Bhopal India, Chi Yuan Chang di ZUSO ART e taikosoup per l'assistenza.

App Store

Ringraziamo Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology di Bhopal India, Chi Yuan Chang di ZUSO ART e taikosoup per l'assistenza.

Calculator

Ringraziamo Kenneth Chew per l'assistenza.

Calendar

Ringraziamo K宝(@Pwnrin) per l'assistenza.

Camera

Ringraziamo Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology Bhopal India per l'assistenza.

Files

Ringraziamo Chi Yuan Chang di ZUSO ART e taikosoup, Christian Scalese per l'assistenza.

ImageIO

Ringraziamo Amir Bazine e Karsten König di CrowdStrike Counter Adversary Operations e un ricercatore anonimo per l'assistenza.

Messages

Ringraziamo Collin Potter e un ricercatore anonimo per l'assistenza.

NetworkExtension

Ringraziamo Patrick Wardle di DoubleYou & the Objective-See Foundation per l'assistenza.

Personalization Services

Ringraziamo Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology Bhopal India, Bistrit Dahal per l'assistenza.

Photos

Ringraziamo James Robertson, Kamil Bourouiba per l'assistenza.

Safari Private Browsing

Ringraziamo un ricercatore anonimo, r00tdaddy, per l'assistenza.

Safari Tabs

Ringraziamo Jaydev Ahire per l'assistenza.

Security

Ringraziamo Bing Shi, Wenchao Li e Xiaolong Bai di Alibaba Group per l'assistenza.

Settings

Ringraziamo Chi Yuan Chang di ZUSO ART e taikosoup, JS per l'assistenza.

Siri

Ringraziamo Bistrit Dahal per l'assistenza.

Spotlight

Ringraziamo Abhay Kailasia (@abhay_kailasia) di LNCT Bhopal e C-DAC Thiruvananthapuram India per l'assistenza.

Time Zone

Ringraziamo Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology Bhopal India e Siddharth Choubey per l'assistenza.

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: 12 novembre 2024