Informazioni sui contenuti di sicurezza di iOS 17.7.1 e iPadOS 17.7.1
In questo documento vengono descritti i contenuti di sicurezza di iOS 17.7.1 e iPadOS 17.7.1.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle versioni più recenti alla pagina Versioni di sicurezza Apple.
Quando possibile, i documenti sulla sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consultare questo articolo sulla sicurezza dei prodotti Apple.
Informazioni sui contenuti di sicurezza di iOS 17.7.1 e iPadOS 17.7.1
Data di rilascio: 28 ottobre 2024
Accessibility
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (2a generazione) e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (6a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: un utente malintenzionato con accesso fisico a un dispositivo bloccato potrebbe riuscire a visualizzare informazioni sensibili dell'utente
Descrizione: il problema è stato risolto attraverso una migliore autenticazione.
CVE-2024-44274: Rizki Maulana (rmrizki.my.id), Matthew Butler, Jake Derouin
AppleAVD
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (2a generazione) e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (6a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: l'analisi di un file video dannoso può causare l'arresto improvviso del sistema.
Descrizione: il problema è stato risolto con migliori controlli dei limiti.
CVE-2024-44232: Ivan Fratric di Google Project Zero
CVE-2024-44233: Ivan Fratric di Google Project Zero
CVE-2024-44234: Ivan Fratric di Google Project Zero
Voce aggiunta il 1° novembre 2024
CoreText
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (2a generazione) e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (6a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: l'elaborazione di un font dannoso può causare la divulgazione della memoria dei processi.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2024-44240: Hossein Lotfi (@hosselot) di Trend Micro Zero Day Initiative
CVE-2024-44302: Hossein Lotfi (@hosselot) di Trend Micro Zero Day Initiative
Foundation
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (2a generazione) e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (6a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: l'analisi di un file potrebbe causare la divulgazione delle informazioni utente
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2024-44282: Hossein Lotfi (@hosselot) di Trend Micro Zero Day Initiative
ImageIO
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (2a generazione) e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (6a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: l'elaborazione di un'immagine potrebbe causare la divulgazione dei contenuti della memoria dei processi.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2024-44215: Junsung Lee in collaborazione con Zero Day Initiative di Trend Micro
ImageIO
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (2a generazione) e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (6a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: l'elaborazione di un messaggio pericoloso potrebbe causare un'interruzione del servizio.
Descrizione: il problema è stato risolto con migliori controlli dei limiti.
CVE-2024-44297: Jex Amro
Kernel
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (2a generazione) e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (6a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: un'app potrebbe divulgare lo stato sensibile del kernel
Descrizione: un problema di divulgazione delle informazioni è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2024-44239: Mateusz Krzywicki (@krzywix)
Managed Configuration
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (2a generazione) e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (6a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: il ripristino di un file di backup dannoso potrebbe causare la modifica di file di sistema protetti.
Descrizione: il problema è stato risolto attraverso una migliore gestione dei link simbolici.
CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak
MobileBackup
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (2a generazione) e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (6a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: il ripristino di un file di backup dannoso potrebbe causare la modifica di file di sistema protetti.
Descrizione: un problema logico è stato risolto con una migliore gestione dei file.
CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)
Safari
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (2a generazione) e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (6a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: i contenuti web dannosi possono violare la politica della sandbox iframe.
Descrizione: un problema relativo alla gestione di uno schema URL personalizzato è stato risolto attraverso una migliore convalida dell'input.
CVE-2024-44155: Narendra Bhati, Manager of Cyber Security presso Suma Soft Pvt. Ltd, Pune (India)
Safari Downloads
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (2a generazione) e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (6a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: un utente malintenzionato può essere in grado di usare impropriamente una relazione di fiducia per scaricare contenuti dannosi.
Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2024-44259: Narendra Bhati, Manager of Cyber Security presso Suma Soft Pvt. Ltd, Pune (India)
SceneKit
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (2a generazione) e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (6a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: l'elaborazione di un file dannoso potrebbe causare la chiusura improvvisa dell'applicazione.
Descrizione: un overflow del buffer è stato risolto attraverso una migliore convalida delle dimensioni.
CVE-2024-44144: 냥냥
SceneKit
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (2a generazione) e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (6a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: l'elaborazione di un file dannoso può danneggiare la memoria heap.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2024-44218: Michael DePlante (@izobashi) della Zero Day Initiative di Trend Micro
Shortcuts
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (2a generazione) e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (6a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: un'app dannosa potrebbe essere in grado di usare controlli rapidi per accedere a file con restrizioni
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2024-44269: un ricercatore anonimo
Siri
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (2a generazione) e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (6a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: un'applicazione sandbox potrebbe causare un arresto anomalo del coprocessore.
Descrizione: un problema di divulgazione delle informazioni è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2024-44278: Kirin (@Pwnrin)
VoiceOver
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (2a generazione) e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (6a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: un malintenzionato potrebbe visualizzare i contenuti con restrizioni dalla schermata di blocco.
Descrizione: il problema è stato risolto limitando le opzioni offerte su un dispositivo bloccato.
CVE-2024-44261: Braylon (@softwarescool)
WebKit
Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (2a generazione) e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (6a generazione) e successivi e iPad mini (5a generazione) e successivi
Impatto: l'elaborazione di contenuti web pericolosi potrebbe impedire l'applicazione della Content Security Policy.
Descrizione: il problema è stato risolto con controlli migliori.
WebKit Bugzilla: 278765
CVE-2024-44296: Narendra Bhati, Manager of Cyber Security presso Suma Soft Pvt. Ltd, Pune (India)
Altri riconoscimenti
Security
Ringraziamo Bing Shi, Wenchao Li e Xiaolong Bai di Alibaba Group per l'assistenza.
Spotlight
Ringraziamo Paulo Henrique Batista Rosa de Castro (@paulohbrc) per l'assistenza.
WebKit
Ringraziamo Eli Grey (eligrey.com) per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.