Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamenti di sicurezza per prodotti Apple (10-11 dicembre 2019)

apple  iCloud  iTunes  Safari  Xcode   giovedì, 12 dicembre 2019

Apple ha rilasciato aggiornamenti di sicurezza che risolvono diverse vulnerabilità in macOS, iOS, iPadOS, tvOS, watchOS, Safari, Xcode, iTunes per Windows e iCloud per Windows.

Apple macOS è un sistema operativo per i computer Mac. Apple iOS è un sistema operativo per iPhone e iPod touch. Apple iPadOS è un sistema operativo per iPad basato su iOS. Apple tvOS è il sistema operativo per Apple TV. Apple watchOS è il sistema operativo per Apple Watch. Apple Safari è un browser Web disponibile per macOS e Microsoft Windows. Xcode è uno strumento di sviluppo per la creazione di applicazioni iOS, watchOS, e tvOS. iTunes è un’applicazione per la gestione di file multimediali. iCloud è il sistema SaaS di Apple basato sul cloud computing.

L’aggiornamento per macOS contiene diversi fix di sicurezza che risolvono numerose vulnerabilità, di cui alcune di gravità elevata, in macOS Catalina 10.15, macOS Mojave 10.14.6 e macOS High Sierra 10.13.6. Lo sfruttamento delle più gravi tra queste vulnerabilità potrebbe consentire ad un attaccante di accedere ad aree di memoria protette, ottenere privilegi elevati, eseguire codice arbitrario sul sistema o provocare condizioni di denial of service.

Dettagli delle vulnerabilità risolte in macOS (in Inglese):

L’aggiornamento per iOS e iPadOS, disponibile per iPhone 6s e successivo, iPad Air 2 e successivo, iPad mini 4 e successivo e iPod touch 7a generazione, contiene diversi fix di sicurezza che risolvono diverse gravi vulnerabilità che potrebbero consentire ad un attaccante di accedere ad aree di memoria protette, elevare i propri privilegi, eseguire codice arbitrario sul sistema o provocare condizioni di denial of service.

Dettagli delle vulnerabilità risolte in iOS e iPadOS (in Inglese):

  • CallKit: an API issue in the handling of outgoing phone calls initiated with Siri may cause calls to be initiated using the wrong cellular plan on devices with two active plans (CVE-2019-8856).
  • CFNetwork Proxies: an application may be able to gain elevated privileges (CVE-2019-8848).
  • FaceTime: an out-of-bounds read issue may lead to arbitrary code execution processing malicious video via FaceTime (CVE-2019-8830).
  • IOSurfaceAccelerator: an application may be able to execute arbitrary code with kernel privileges (CVE-2019-8841).
  • IOUSBDeviceFamily: a memory corruption issue may allow an application to execute arbitrary code with kernel privileges (CVE-2019-8836).
  • Kernel: a memory corruption issue may allow an application to execute arbitrary code with kernel privileges (CVE-2019-8833).
  • Kernel: a memory corruption issue may allow an application to execute arbitrary code with kernel privileges (CVE-2019-8828, CVE-2019-8838).
  • libexpat: parsing a maliciously crafted XML file may lead to disclosure of user information (CVE-2019-15903).
  • Photos: Live Photo audio and video data may be shared via iCloud links even if Live Photo is disabled in the Share Sheet carousel (CVE-2019-8857).
  • Security: a memory corruption issue may allow an application may to execute arbitrary code with system privileges (CVE-2019-8832).
  • WebKit: multiple memory corruption issues may lead to arbitrary code execution processing maliciously crafted web content (CVE-2019-8835, CVE-2019-8844).
  • WebKit: a use after free issue may lead to arbitrary code execution processing maliciously crafted web content (CVE-2019-8846).

Si raccomanda di scaricare ed applicare gli aggiornamenti di sicurezza messi a disposizione da Apple il più presto possibile.

Per maggiori informazioni sui prodotti vulnerabili e sugli aggiornamenti disponibili è possibile consultare i seguenti bollettini di sicurezza di Apple (in Inglese):

Notizie correlate

Aggiornamenti di sicurezza per prodotti Apple (24 marzo 2020)

26 marzo 2020

Apple ha rilasciato aggiornamenti di sicurezza che risolvono diverse vulnerabilità in macOS, iOS, iPadOS, tvOS, watchOS, Safari, iTunes e iCloud per Windows, Xcode.Leggi tutto

Aggiornamenti di sicurezza per prodotti Apple (28 gennaio 2020)

29 gennaio 2020

Apple ha rilasciato aggiornamenti di sicurezza che risolvono diverse vulnerabilità in macOS, iOS, iPadOS, tvOS, watchOS, Safari e iTunes per Windows.Leggi tutto

Aggiornamenti di sicurezza per prodotti Apple (29 ottobre 2019)

30 ottobre 2019

Apple ha rilasciato aggiornamenti di sicurezza che risolvono diverse vulnerabilità in macOS, iOS, iPadOS, tvOS, watchOS e Safari.Leggi tutto