Informazioni sui contenuti di sicurezza di watchOS 4

In questo documento vengono descritti i contenuti di sicurezza di watchOS 4.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle nuove versioni alla pagina Aggiornamenti di sicurezza Apple.

Per ulteriori informazioni sulla sicurezza, visita la pagina relativa alla sicurezza dei prodotti Apple. Puoi codificare le comunicazioni con Apple usando la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

watchOS 4

Rilasciato il 19 settembre 2017

802.1X

Disponibile per: tutti i modelli di Apple Watch

Impatto: un utente malintenzionato può essere in grado di sfruttare le debolezze di TLS 1.0.

Descrizione: un problema di sicurezza del protocollo è stato risolto abilitando TLS 1.1 e TLS 1.2.

CVE-2017-13832: un ricercatore anonimo

Voce aggiunta il 31 ottobre 2017

Proxy CFNetwork

Disponibile per: tutti i modelli di Apple Watch

Impatto: un utente malintenzionato in una posizione privilegiata nella rete può essere in grado di causare un'interruzione del servizio.

Descrizione: diversi problemi di interruzione del servizio sono stati risolti attraverso una migliore gestione della memoria.

CVE-2017-7083: Abhinav Bansal di Zscaler Inc.

Voce aggiunta il 25 settembre 2017

CFString

Disponibile per: tutti i modelli di Apple Watch

Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.

Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.

CVE-2017-13821: Australian Cyber Security Centre – Australian Signals Directorate

Voce aggiunta il 31 ottobre 2017

CoreAudio

Disponibile per: tutti i modelli di Apple Watch

Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso l'aggiornamento a Opus 1.1.4.

CVE-2017-0381: V.E.O (@VYSEa) del Mobile Threat Research Team, Trend Micro

Voce aggiunta il 25 settembre 2017

CoreText

Disponibile per: tutti i modelli di Apple Watch

Impatto: l'elaborazione di un file di font pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di consumo della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-13825: Australian Cyber Security Centre – Australian Signals Directorate

Voce aggiunta il 31 ottobre 2017

file

Disponibile per: tutti i modelli di Apple Watch

Impatto: diversi problemi presenti in file.

Descrizione: diversi problemi sono stati risolti con l'aggiornamento alla versione 5.31.

CVE-2017-13815

Voce aggiunta il 31 ottobre 2017

Font

Disponibile per: tutti i modelli di Apple Watch

Impatto: il rendering di testo non attendibile può causare lo spoofing.

Descrizione: un problema di interfaccia utente non coerente è stato risolto con una migliore gestione dello stato.

CVE-2017-13828: un ricercatore anonimo

Voce aggiunta il 31 ottobre 2017

HFS

Disponibile per: tutti i modelli di Apple Watch

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-13830: Sergej Schumilo della Ruhr University Bochum

Voce aggiunta il 31 ottobre 2017

ImageIO

Disponibile per: tutti i modelli di Apple Watch

Impatto: l'elaborazione di un'immagine pericolosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2017-13814: Australian Cyber Security Centre – Australian Signals Directorate

Voce aggiunta il 31 ottobre 2017

ImageIO

Disponibile per: tutti i modelli di Apple Watch

Impatto: l'elaborazione di un'immagine pericolosa può causare l'interruzione del servizio.

Descrizione: si verificava un problema di divulgazione di informazioni durante l'elaborazione delle immagini disco che è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-13831: un ricercatore anonimo

Voce aggiunta il 31 ottobre 2017

Kernel

Disponibile per: tutti i modelli di Apple Watch

Impatto: un utente locale può essere in grado di leggere la memoria del kernel.

Descrizione: si verificava un problema di lettura non nei limiti che causava la divulgazione della memoria del kernel e che è stato risolto attraverso una migliore convalida dell'input.

CVE-2017-13817: Maxime Villard (m00nbsd)

Voce aggiunta il 31 ottobre 2017

Kernel

Disponibile per: tutti i modelli di Apple Watch

Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.

Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.

CVE-2017-13818: National Cyber Security Centre (NCSC) del Regno Unito

CVE-2017-13836: un ricercatore anonimo, un ricercatore anonimo

CVE-2017-13841: un ricercatore anonimo

CVE-2017-13840: un ricercatore anonimo

CVE-2017-13842: un ricercatore anonimo

CVE-2017-13782: un ricercatore anonimo

Voce aggiunta il 31 ottobre 2017

Kernel

Disponibile per: tutti i modelli di Apple Watch

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-13843: un ricercatore anonimo, un ricercatore anonimo

Voce aggiunta il 31 ottobre 2017

Kernel

Disponibile per: tutti i modelli di Apple Watch

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-7114: Alex Plaskett di MWR InfoSecurity

Voce aggiunta il 25 settembre 2017

libarchive

Disponibile per: tutti i modelli di Apple Watch

Impatto: l'estrazione di un archivio pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-13813: rilevato da OSS-Fuzz

CVE-2017-13816: rilevato da OSS-Fuzz

Voce aggiunta il 31 ottobre 2017

libarchive

Disponibile per: tutti i modelli di Apple Watch

Impatto: l'estrazione di un archivio pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: si verificavano diversi problemi di danneggiamento della memoria in libarchive che sono stati risolti attraverso una migliore convalida dell'input.

CVE-2017-13812: rilevato da OSS-Fuzz

Voce aggiunta il 31 ottobre 2017

libc

Disponibile per: tutti i modelli di Apple Watch

Impatto: un utente malintenzionato remoto può essere in grado di provocare un'interruzione del servizio.

Descrizione: un problema di esaurimento delle risorse in glob() è stato risolto attraverso il miglioramento di un algoritmo.

CVE-2017-7086: Russ Cox di Google

Voce aggiunta il 25 settembre 2017

libc

Disponibile per: tutti i modelli di Apple Watch

Impatto: un'applicazione può essere in grado di causare un'interruzione del servizio.

Descrizione: un problema di consumo della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-1000373

Voce aggiunta il 25 settembre 2017

libexpat

Disponibile per: tutti i modelli di Apple Watch

Impatto: diversi problemi presenti in expat.

Descrizione: diversi problemi sono stati risolti con l'aggiornamento alla versione 2.2.1.

CVE-2016-9063

CVE-2017-9233

Voce aggiunta il 25 settembre 2017

Sicurezza

Disponibile per: tutti i modelli di Apple Watch

Impatto: un certificato revocato può risultare attendibile.

Descrizione: si verificava un problema di convalida dei certificati nella gestione dei dati di revoca che è stato risolto attraverso una migliore convalida.

CVE-2017-7080: un ricercatore anonimo, Sven Driemecker di adesso mobile solutions gmbh, un ricercatore anonimo, Rune Darrud (@theflyingcorpse) di Bærum kommune

Voce aggiunta il 25 settembre 2017

SQLite

Disponibile per: tutti i modelli di Apple Watch

Impatto: diversi problemi presenti in SQLite.

Descrizione: diversi problemi sono stati risolti con l'aggiornamento alla versione 3.19.3.

CVE-2017-10989: rilevato da OSS-Fuzz

CVE-2017-7128: rilevato da OSS-Fuzz

CVE-2017-7129: rilevato da OSS-Fuzz

CVE-2017-7130: rilevato da OSS-Fuzz

Voce aggiunta il 25 settembre 2017

SQLite

Disponibile per: tutti i modelli di Apple Watch

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-7127: un ricercatore anonimo

Voce aggiunta il 25 settembre 2017

Wi-Fi

Disponibile per: tutti i modelli di Apple Watch

Impatto: un codice pericoloso in esecuzione sul chip Wi-Fi può essere in grado di eseguire codice arbitrario con privilegi kernel sul processore di applicazioni.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-7103: Gal Beniamini di Google Project Zero

CVE-2017-7105: Gal Beniamini di Google Project Zero

CVE-2017-7108: Gal Beniamini di Google Project Zero

CVE-2017-7110: Gal Beniamini di Google Project Zero

CVE-2017-7112: Gal Beniamini di Google Project Zero

Wi-Fi

Disponibile per: tutti i modelli di Apple Watch

Impatto: un codice pericoloso in esecuzione sul chip Wi-Fi potrebbe essere in grado di leggere la memoria del kernel con restrizioni.

Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.

CVE-2017-7116: Gal Beniamini di Google Project Zero

zlib

Disponibile per: tutti i modelli di Apple Watch

Impatto: diversi problemi presenti in zlib.

Descrizione: diversi problemi sono stati risolti con l'aggiornamento alla versione 1.2.11.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Voce aggiunta il 25 settembre 2017

Altri riconoscimenti

Sicurezza

Ringraziamo Abhinav Bansal di Zscaler, Inc. per l'assistenza.

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Data di pubblicazione: