Apple ha rilasciato aggiornamenti di sicurezza per i suoi telefoni, iPad, Mac, orologi e TV.
Sono disponibili aggiornamenti per questi prodotti:
- iPhone XS e successivi, iPad Pro 12,9 pollici di seconda generazione e successivi, iPad Pro da 10,5 pollici, iPad Pro da 11 pollici di prima generazione e successivi, iPad Air di terza generazione e successivi, iPad di sesta generazione e successivi e iPad mini di quinta generazione e successivi successivamente ottieni iOS 17.1 o iPadOS 17.1 .
- iPhone 8 e successivi, iPad Pro (tutti i modelli), iPad Air di terza generazione e successivi, iPad di quinta generazione e successivi e iPad mini di quinta generazione e successivi ottengono iOS 16.7.2 o iPadOS 16.7.2 .
- iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Air 2, iPad mini (4a generazione) e iPod touch (7a generazione) ottengono iOS 15.8 o iPadOS 15.8 .
- I Mac ottengono uno tra macOS Sonoma 14.1 , macOS Ventura 13.6.1 , macOS Monterey 12.7.1 e Safari 17.1 .
- Apple TV HD e Apple TV 4K (tutti i modelli) ottengono tvOS 17.1 .
- Apple Watch Series 4 e versioni successive ottengono watchOS 10.1 .
Le importanti vulnerabilità che sono state risolte in questa serie di aggiornamenti sono:
CVE-2023-40423 , una vulnerabilità critica in IOTextEncryptionFamily che potrebbe consentire a un’app di eseguire codice arbitrario con privilegi del kernel. L’esecuzione di codice arbitrario significa che un utente malintenzionato potrebbe eseguire qualsiasi comando o codice di sua scelta su una macchina di destinazione o in un processo di destinazione. I privilegi del kernel significano che l’aggressore avrà il massimo livello di accesso a tutte le risorse della macchina.
CVE-2023-40413 , una vulnerabilità in Dov’è che potrebbe consentire a un altro di leggere informazioni sensibili sulla posizione.
CVE-2023-40416 , una vulnerabilità in ImageIO che significa che l’elaborazione di un’immagine potrebbe comportare la divulgazione della memoria del processo.
CVE-2023-42847 , una vulnerabilità in Passkeys potrebbe consentire a un utente malintenzionato di accedere alle passkey senza autenticazione. Una passkey è un modo per accedere a un’app o a un account di un sito Web, senza dover creare e ricordare una password.
CVE-2023-42841 , una vulnerabilità in Pro Res potrebbe consentire a un’app di eseguire codice arbitrario con privilegi del kernel.
CVE-2023-41982 , CVE-2023-41997 e CVE-2023-41988 sono un insieme di vulnerabilità in Siri che consentirebbe a un utente malintenzionato con accesso fisico di utilizzare Siri per accedere ai dati sensibili dell’utente.
CVE-2023-40447 e CVE-2023-42852 sono vulnerabilità in WebKit che potrebbero essere utilizzate per l’esecuzione di codice arbitrario. La visita di un sito Web appositamente predisposto potrebbe far sì che WebKit esegua operazioni su un buffer di memoria, ma può leggere o scrivere in una posizione di memoria esterna al limite previsto del buffer.
CVE-2023-32434 è una vulnerabilità che potrebbe consentire a un’app di eseguire codice arbitrario con privilegi del kernel. Apple è a conoscenza di un rapporto secondo cui questo problema potrebbe essere stato sfruttato attivamente rispetto alle versioni di iOS rilasciate prima di iOS 15.7.
CVE-2023-41989 potrebbe consentire a un utente malintenzionato di eseguire codice arbitrario come root dalla schermata di blocco a causa di una vulnerabilità in Emoji. Il problema è stato risolto limitando le opzioni offerte su un dispositivo bloccato. Root è l’account superutente in molti sistemi operativi. Si tratta di un account utente per scopi amministrativi e in genere dispone dei diritti di accesso più elevati al sistema.
CVE-2023-38403 è una vulnerabilità in iperf3 precedente alla 3.14 che potrebbe consentire ai peer di causare un overflow di numeri interi e una corruzione dell’heap tramite un campo di lunghezza predisposto. iPerf3 è uno strumento per misurazioni attive della massima larghezza di banda ottenibile su reti IP. Un overflow di numeri interi è un errore di programmazione che consente a un utente malintenzionato di manipolare un numero utilizzato dal programma in un modo che potrebbe risultare dannoso. Se il numero viene utilizzato per impostare la lunghezza di un buffer di dati (un’area di memoria utilizzata per contenere dati), un overflow di numeri interi può portare a un overflow del buffer, una vulnerabilità che consente a un utente malintenzionato di sovraccaricare un buffer con più dati di quanto previsto. , che crea un percorso attraverso il quale l’aggressore può manipolare il programma. Il danneggiamento dell’heap si verifica quando un programma modifica il contenuto di una posizione di memoria esterna alla memoria allocata al programma. Il risultato può essere relativamente innocuo e causare una perdita di memoria, oppure può essere fatale e causare un errore di memoria, in genere nel programma che causa il danneggiamento.
CVE-2023-42856 potrebbe essere utilizzato per attivare la chiusura imprevista dell’app o l’esecuzione di codice arbitrario a causa di una vulnerabilità nel Model I/O. L’I/O modello offre la possibilità di accedere e gestire modelli 3D.
CVE-2023-40404 potrebbe consentire a un’app di eseguire codice arbitrario con privilegi del kernel a causa di una vulnerabilità nella rete.
CVE-2023-41977 è una vulnerabilità di Safari che potrebbe consentire a un sito Web dannoso di rivelare la cronologia di navigazione.
Tra i bug che sono stati risolti è particolarmente assente iLeakage , un sofisticato attacco a canale laterale della famiglia Spectre.
Gli aggiornamenti di cui sopra potrebbero già averti raggiunto, ma non fa male verificare se il tuo dispositivo è all’ultimo livello di aggiornamento . Se è disponibile un aggiornamento Safari per il tuo dispositivo, puoi ottenerlo aggiornando o potenziando il tuo iPhone o iPad o il tuo Mac .
