Informazioni sui contenuti di sicurezza di iOS 17.7.1 e iPadOS 17.7.1

In questo documento vengono descritti i contenuti di sicurezza di iOS 17.7.1 e iPadOS 17.7.1.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle versioni più recenti alla pagina Versioni di sicurezza Apple.

Quando possibile, i documenti sulla sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consultare questo articolo sulla sicurezza dei prodotti Apple.

iOS 17.7.1 e iPadOS 17.7.1

Accessibility

Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (2a generazione) e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (6a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: un utente malintenzionato con accesso fisico a un dispositivo bloccato potrebbe riuscire a visualizzare informazioni sensibili dell'utente

Descrizione: il problema è stato risolto attraverso una migliore autenticazione.

CVE-2024-44274: Rizki Maulana (rmrizki.my.id), Matthew Butler, Jake Derouin

AppleAVD

Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (2a generazione) e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (6a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: l'analisi di un file video dannoso può causare l'arresto improvviso del sistema.

Descrizione: il problema è stato risolto con migliori controlli dei limiti.

CVE-2024-44232: Ivan Fratric di Google Project Zero

CVE-2024-44233: Ivan Fratric di Google Project Zero

CVE-2024-44234: Ivan Fratric di Google Project Zero

CoreText

Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (2a generazione) e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (6a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: l'elaborazione di un font dannoso può causare la divulgazione della memoria dei processi.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-44240: Hossein Lotfi (@hosselot) di Trend Micro Zero Day Initiative

CVE-2024-44302: Hossein Lotfi (@hosselot) di Trend Micro Zero Day Initiative

Foundation

Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (2a generazione) e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (6a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: l'analisi di un file potrebbe causare la divulgazione delle informazioni utente

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2024-44282: Hossein Lotfi (@hosselot) di Trend Micro Zero Day Initiative

ImageIO

Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (2a generazione) e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (6a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: l'elaborazione di un'immagine potrebbe causare la divulgazione dei contenuti della memoria dei processi.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2024-44215: Junsung Lee in collaborazione con Zero Day Initiative di Trend Micro

ImageIO

Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (2a generazione) e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (6a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: l'elaborazione di un messaggio pericoloso potrebbe causare un'interruzione del servizio.

Descrizione: il problema è stato risolto con migliori controlli dei limiti.

CVE-2024-44297: Jex Amro

Kernel

Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (2a generazione) e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (6a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: un'app potrebbe divulgare lo stato sensibile del kernel

Descrizione: un problema di divulgazione delle informazioni è stato risolto migliorando la redazione dei dati privati per i log.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Managed Configuration

Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (2a generazione) e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (6a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: il ripristino di un file di backup dannoso potrebbe causare la modifica di file di sistema protetti.

Descrizione: il problema è stato risolto attraverso una migliore gestione dei link simbolici.

CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak

MobileBackup

Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (2a generazione) e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (6a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: il ripristino di un file di backup dannoso potrebbe causare la modifica di file di sistema protetti.

Descrizione: un problema logico è stato risolto con una migliore gestione dei file.

CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)

Safari

Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (2a generazione) e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (6a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: i contenuti web dannosi possono violare la politica della sandbox iframe.

Descrizione: un problema relativo alla gestione di uno schema URL personalizzato è stato risolto attraverso una migliore convalida dell'input.

CVE-2024-44155: Narendra Bhati, Manager of Cyber Security presso Suma Soft Pvt. Ltd, Pune (India)

Safari Downloads

Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (2a generazione) e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (6a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: un utente malintenzionato può essere in grado di usare impropriamente una relazione di fiducia per scaricare contenuti dannosi.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2024-44259: Narendra Bhati, Manager of Cyber Security presso Suma Soft Pvt. Ltd, Pune (India)

SceneKit

Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (2a generazione) e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (6a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: l'elaborazione di un file dannoso potrebbe causare la chiusura improvvisa dell'applicazione.

Descrizione: un overflow del buffer è stato risolto attraverso una migliore convalida delle dimensioni.

CVE-2024-44144: 냥냥

SceneKit

Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (2a generazione) e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (6a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: l'elaborazione di un file dannoso può danneggiare la memoria heap.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2024-44218: Michael DePlante (@izobashi) della Zero Day Initiative di Trend Micro

Sicurezza

Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (2a generazione) e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (6a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: un utente malintenzionato remoto può essere in grado di provocare un'interruzione del servizio.

Descrizione: un problema di interruzione del servizio è stato risolto attraverso una migliore convalida dell'input.

CVE-2024-54538: Bing Shi, Wenchao Li e Xiaolong Bai di Alibaba Group e Luyi Xing dell'Indiana University Bloomington

Shortcuts

Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (2a generazione) e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (6a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: un'app dannosa potrebbe essere in grado di usare controlli rapidi per accedere a file con restrizioni

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2024-44269: Kirin (@Pwnrin) e un ricercatore anonimo

Siri

Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (2a generazione) e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (6a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: un'applicazione sandbox potrebbe causare un arresto anomalo del coprocessore.

Descrizione: un problema di divulgazione delle informazioni è stato risolto migliorando la redazione dei dati privati per i log.

CVE-2024-44278: Kirin (@Pwnrin)

VoiceOver

Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (2a generazione) e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (6a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: un malintenzionato potrebbe visualizzare i contenuti con restrizioni dalla schermata di blocco.

Descrizione: il problema è stato risolto limitando le opzioni offerte su un dispositivo bloccato.

CVE-2024-44261: Braylon (@softwarescool)

WebKit

Disponibile per: iPhone XS e successivi, iPad Pro da 13 pollici, iPad Pro da 12,9 pollici (2a generazione) e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici (1a generazione) e successivi, iPad Air (3a generazione) e successivi, iPad (6a generazione) e successivi e iPad mini (5a generazione) e successivi

Impatto: l'elaborazione di contenuti web pericolosi potrebbe impedire l'applicazione della Content Security Policy.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-44296: Narendra Bhati, Manager of Cyber Security presso Suma Soft Pvt. Ltd, Pune (India)

Altri riconoscimenti

Spotlight

Ringraziamo Paulo Henrique Batista Rosa de Castro (@paulohbrc) per l'assistenza.

WebKit

Ringraziamo Eli Grey (eligrey.com) per l'assistenza.