Informazioni sui contenuti di sicurezza di watchOS 9.2
In questo documento vengono descritti i contenuti di sicurezza di watchOS 9.2.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina relativa agli aggiornamenti di sicurezza Apple.
Quando possibile, i documenti sulla sicurezza Apple utilizzano i CVE-ID per indicare la vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
watchOS 9.2
Data di rilascio: 13 dicembre 2022
Accessibility
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un utente con accesso fisico a un Apple Watch bloccato potrebbe essere in grado di visualizzare le foto degli utenti tramite le funzioni di accessibilità
Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.
CVE-2022-46717: Zitong Wu (吴梓桐) dalla Zhuhai No.1 Middle School (珠海市第一中学)
Voce aggiunta il 6 giugno 2023
Account
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: una persona può essere in grado di visualizzare informazioni sensibili dell'utente.
Descrizione: il problema è stato risolto attraverso una migliore protezione dei dati.
CVE-2022-42843: Mickey Jin (@patch1t)
AppleAVD
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'analisi di un file video dannoso può provocare l'esecuzione del codice kernel.
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2022-46694: Andrey Labunets e Nikita Tarakanov
AppleMobileFileIntegrity
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe bypassare le preferenze sulla privacy.
Descrizione: il problema è stato risolto abilitando runtime rafforzato.
CVE-2022-42865: Wojciech Reguła (@_r3ggi) di SecuRing
CoreServices
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe bypassare le preferenze sulla privacy.
Descrizione: diversi problemi sono stati risolti rimuovendo il codice vulnerabile.
CVE-2022-42859: Mickey Jin (@patch1t), Csaba Fitzl (@theevilbit) di Offensive Security
ImageIO
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'elaborazione di un file pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2022-46693: Mickey Jin (@patch1t)
IOHIDFamily
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: una race condition è stata risolta attraverso una migliore gestione dello stato.
CVE-2022-42864: Tommy Muir (@Muirey03)
IOMobileFrameBuffer
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2022-46690: John Aakerblom (@jaakerblom)
iTunes Store
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un utente collegato in remoto può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: si verificava un problema durante l'analisi degli URL. Il problema è stato risolto attraverso una migliore convalida dell'input.
CVE-2022-42837: un ricercatore anonimo
Kernel
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di tipo double free è stato risolto attraverso una migliore gestione della memoria.
CVE-2022-43454: Adam Doupé di ASU SEFCOM
Voce aggiunta il 6 marzo 2025
Kernel
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: una race condition è stata risolta con un'ulteriore convalida.
CVE-2022-46689: Ian Beer di Google Project Zero
Kernel
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un utente collegato in remoto potrebbe provocare l'esecuzione del codice kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2022-42842: pattern-f (@pattern_F_) di Ant Security Light-Year Lab
Kernel
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app con privilegi root potrebbe eseguire codice arbitrario con privilegi kernel
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2022-42845: Adam Doupé di ASU SEFCOM
Kernel
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un utente malintenzionato con capacità arbitraria di lettura e scrittura potrebbe riuscire a bypassare l'autenticazione del puntatore. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato contro le versioni di iOS precedenti alla 15.7.1.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2022-48618: Apple
Voce aggiunta il 9 gennaio 2024
libxml2
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un utente collegato in remoto può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: un problema di overflow dei numeri interi è stato risolto mediante una migliore convalida degli input.
CVE-2022-40303: Maddie Stone di Google Project Zero
libxml2
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un utente collegato in remoto può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2022-40304: Ned Williamson e Nathan Wachholz di Google Project Zero
Maps
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-48610: Adam M.
Voce aggiunta il 6 marzo 2025
Preferences
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'applicazione può essere in grado di utilizzare autorizzazioni arbitrarie.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-42855: Ivan Fratric di Google Project Zero
Voce aggiunta il 6 giugno 2023
Safari
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'accesso a un sito web che presenta contenuti dannosi potrebbe causare lo spoofing dell'interfaccia utente
Descrizione: esisteva un problema di spoofing nella gestione degli URL Il problema è stato risolto attraverso una migliore convalida dell'input.
CVE-2022-46695: KirtiKumar Anandrao Ramchandani
Software Update
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un utente può essere in grado di rendere i privilegi più elevati.
Descrizione: si verificava un problema di accesso con le chiamate API privilegiate. Questo problema è stato risolto attraverso ulteriori restrizioni.
CVE-2022-42849: Mickey Jin (@patch1t)
Weather
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.
CVE-2022-46703: Wojciech Reguła (@_r3ggi) di SecuRing e Adam M.
Voce aggiunta il 6 giugno 2023
Weather
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.
CVE-2022-42866: Adam M.
Voce aggiunta il 16 agosto 2024
WebKit
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'accesso a un sito web dannoso potrebbe causare lo spoofing della barra degli indirizzi.
Descrizione: esisteva un problema di spoofing nella gestione degli URL Il problema è stato risolto attraverso una migliore convalida dell'input.
CVE-2022-46705: Hyeon Park (@tree_segment) del Team ApplePIE
Voce aggiunta il 6 giugno 2023
WebKit
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
WebKit Bugzilla: 245521
CVE-2022-42867: Maddie Stone di Google Project Zero
WebKit
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di consumo della memoria è stato risolto attraverso una migliore gestione della memoria.
WebKit Bugzilla: 245466
CVE-2022-46691: un ricercatore anonimo
WebKit
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'elaborazione di contenuti web dannosi può eludere la Same Origin Policy.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
WebKit Bugzilla: 246783
CVE-2022-46692: KirtiKumar Anandrao Ramchandani
WebKit
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'elaborazione di contenuti web dannosi può causare la divulgazione della memoria dei processi.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2022-42852: hazbinhotel in collaborazione con Zero Day Initiative di Trend Micro
WebKit
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
WebKit Bugzilla: 246942
CVE-2022-46696: Samuel Groß di Google V8 Security
WebKit Bugzilla: 247562
CVE-2022-46700: Samuel Groß di Google V8 Security
WebKit
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'elaborazione di contenuti web dannosi può divulgare informazioni sensibili dell'utente.
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2022-46698: Dohyun Lee (@l33d0hyun) di SSD Secure Disclosure Labs & DNSLab, Korea Univ.
WebKit
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
WebKit Bugzilla: 247420
CVE-2022-46699: Samuel Groß di Google V8 Security
WebKit Bugzilla: 244622
CVE-2022-42863: un ricercatore anonimo
Altri riconoscimenti
Kernel
Ringraziamo Zweig di Kunlun Lab per l'assistenza.
Safari Extensions
Ringraziamo Oliver Dunk e Christian R. di 1Password per l'assistenza.
WebKit
Ringraziamo un ricercatore anonimo e scarlet per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.