Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamenti di sicurezza per prodotti Apple (17 settembre 2018)

apple  Safari   martedì, 18 settembre 2018

Apple ha rilasciato aggiornamenti di sicurezza che risolvono diverse vulnerabilità in iOS, watchOS, tvOS, SafariApple Support per iOS.

Apple iOS è un sistema operativo per iPhone, iPod touch e iPad. Apple watchOS è il sistema operativo per Apple Watch. Apple tvOS è il sistema operativo per Apple TV. Apple Safari è un browser Web disponibile per OS X, macOS e Microsoft Windows. Apple Support è un’app per il supporto remoto Apple su dispositivi iOS.

L’aggiornamento ad iOS 12, disponibile per iPhone 5s o più recente, iPad Air o più recente e iPod touch 6ª generazione, contiene diversi fix di sicurezza che risolvono diverse gravi vulnerabilità che potrebbero consentire ad un attaccante di accedere ad aree di memoria protette, eseguire codice arbitrario sul sistema o provocare condizioni di denial of service.

Dettagli delle vulnerabilità risolte in iOS (in Inglese):

  • Accounts: a local app may be able to read a persistent account identifier (CVE-2018-4322).
  • Bluetooth: an attacker in a privileged network position may be able to intercept Bluetooth traffic (CVE-2018-5383).
  • Core Bluetooth: an application may be able to execute arbitrary code with system privileges (CVE-2018-4330).
  • CoreMedia: an app may be able to learn information about the current camera view before being granted camera access (CVE-2018-4356).
  • IOMobileFrameBuffer: an application may be able to read restricted memory (CVE-2018-4335).
  • iTunes Store: An input validation issue was addressed with improved input validation (CVE-2018-4305).
  • Kernel: an application may be able to read restricted memory (CVE-2018-4363).
  • Messages: a local user may be able to discover a user’s deleted messages (CVE-2018-4313).
  • Notes: a local user may be able to discover a user’s deleted notes (CVE-2018-4352).
  • Safari: a local user may be able to discover websites a user has visited (CVE-2018-4313).
  • Safari: a user may be unable to delete browsing history items (CVE-2018-4329).
  • Safari: a logic issue was addressed with improved state management (CVE-2018-4307).
  • SafariViewController: visiting a malicious website may lead to address bar spoofing (CVE-2018-4362).
  • Security: an attacker may be able to exploit weaknesses in the RC4 cryptographic algorithm (CVE-2016-1777).
  • Status Bar: A logic issue was addressed with improved restrictions (CVE-2018-4325).
  • Wi-Fi: An application may be able to read restricted memory (CVE-2018-4338).

Si raccomanda di scaricare ed applicare gli aggiornamenti di sicurezza messi a disposizione da Apple il più presto possibile.

Per maggiori informazioni sui prodotti vulnerabili e sugli aggiornamenti disponibili è possibile consultare i seguenti bollettini di sicurezza di Apple (in Inglese):

Aggiornamento 21 settembre 2018:

Apple ha pubblicato un bollettino relativo ad una grave vulnerabilità (CVE-2018-4357) in Xcode, lo strumento di sviluppo di Apple per la creazione di applicazioni iOS, watchOS, e tvOS. Se sfruttata con successo, questa vulnerabilità può consentire ad un’applicazione malevola di eseguire codice arbitrario con i privilegi del kernel.

Per maggiori informazioni su questa vulnerabilità e sull’aggiornamento disponibile è possibile consultare il bollettino di sicurezza di Apple HT209135 (in Inglese).

Notizie correlate

Aggiornamenti di sicurezza per prodotti Apple (5 dicembre 2018)

6 dicembre 2018

Apple ha rilasciato aggiornamenti di sicurezza che risolvono diverse vulnerabilità in macOS, iOS, tvOS, Safari, iTunes per Windows, iCloud per Windows e Shortcuts per iOS.Leggi tutto

Aggiornamenti di sicurezza per prodotti Apple (30 ottobre 2018)

31 ottobre 2018

Apple ha rilasciato aggiornamenti di sicurezza che risolvono diverse vulnerabilità in macOS, iOS, watchOS, tvOS, Safari, iTunes per Windows e iCloud per Windows.Leggi tutto

Aggiornamento di sicurezza per Apple iOS 12

9 ottobre 2018

Apple ha rilasciato un aggiornamento di sicurezza per iOS che risolve due vulnerabilità che potrebbero consentire ad un attaccante locale di accedere ad informazioni potenzialmente sensibili.Leggi tutto