Informazioni sui contenuti di sicurezza di watchOS 7.6
In questo documento vengono descritti i contenuti di sicurezza di watchOS 7.6.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina relativa agli aggiornamenti di sicurezza Apple.
Quando possibile, i documenti sulla sicurezza Apple utilizzano i CVE-ID per indicare la vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
watchOS 7.6
Data di rilascio: 19 luglio 2021
ActionKit
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: un comando rapido potrebbe riuscire a bypassare i requisiti per le autorizzazioni internet.
Descrizione: un problema di convalida dell'input è stato risolto attraverso una migliore convalida dell'input.
CVE-2021-30763: Zachary Keffaber (@QuickUpdate5)
Analytics
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: un utente malintenzionato locale può riuscire ad accedere ai dati analitici.
Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.
CVE-2021-30871: Denis Tokarev (@illusionofcha0s)
Voce aggiunta il 25 ottobre 2021 e aggiornata il 25 maggio 2022
App Store
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: un'applicazione dannosa può essere in grado di bypassare alcune preferenze sulla privacy.
Descrizione: un problema di autorizzazioni è stato risolto attraverso una migliore convalida.
CVE-2021-31006: Csaba Fitzl (@theevilbit) di Offensive Security
Voce aggiunta il 25 maggio 2022
Audio
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: un malintenzionato locale può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-30781: tr3e
CoreAudio
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: l'elaborazione di un file audio dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30775: JunDong Xie di Ant Security Light-Year Lab
CoreAudio
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: la riproduzione di un file audio dannoso può causare la chiusura improvvisa dell'applicazione.
Descrizione: un problema logico è stato risolto attraverso una migliore convalida.
CVE-2021-30776: JunDong Xie di Ant Security Light-Year Lab
CoreText
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2021-30789: Mickey Jin (@patch1t) di Trend Micro, Sunglin del team di Knownsec 404
Crash Reporter
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: un'applicazione dannosa può essere in grado di ottenere privilegi root.
Descrizione: un problema logico è stato risolto attraverso una migliore convalida.
CVE-2021-30774: Yizhuo Wang di Group of Software Security In Progress (G.O.S.S.I.P) della Shanghai Jiao Tong University
CVMS
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: un'applicazione dannosa può essere in grado di ottenere privilegi root.
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2021-30780: Tim Michaud (@TimGMichaud) di Zoom Video Communications
dyld
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: un processo sandbox può essere in grado di eludere le restrizioni della sandbox.
Descrizione: un problema logico è stato risolto attraverso una migliore convalida.
CVE-2021-30768: Linus Henze (pinauten.de)
FontParser
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di overflow dei numeri interi è stato risolto mediante una migliore convalida degli input.
CVE-2021-30760: Sunglin del team di Knownsec 404
FontParser
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: l'elaborazione di un file tiff dannoso può causare l'interruzione del servizio o la divulgazione di contenuti presenti in memoria.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-30788: tr3e in collaborazione con Zero Day Initiative di Trend Micro
FontParser
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un overflow dello stack è stato risolto attraverso una migliore convalida dell'input.
CVE-2021-30759: hjy79425575 in collaborazione con Zero Day Initiative di Trend Micro
Identity Service
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: un'applicazione pericolosa può ignorare i controlli di firma del codice.
Descrizione: un problema nella convalida della firma del codice è stato risolto attraverso migliori controlli.
CVE-2021-30773: Linus Henze (pinauten.de)
ImageIO
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-30779: Jzhu, Ye Zhang (@co0py_Cat) di Baidu Security
ImageIO
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.
CVE-2021-30785: Mickey Jin (@patch1t) di Trend Micro in collaborazione con Zero Day Initiative di Trend Micro
Voce aggiornata il 19 gennaio 2022
Kernel
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: un utente malintenzionato con funzionalità di lettura e scrittura arbitraria potrebbe riuscire a bypassare l'autenticazione del puntatore.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30769: Linus Henze (pinauten.de)
Kernel
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: un utente malintenzionato che ha già ottenuto l'esecuzione del codice kernel può essere in grado di bypassare le mitigazioni della memoria del kernel.
Descrizione: un problema logico è stato risolto attraverso una migliore convalida.
CVE-2021-30770: Linus Henze (pinauten.de)
libxml2
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: un utente malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-3518
Networking
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: l'accesso a una pagina web pericolosa può causare un'interruzione del servizio.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-1821: Georgi Valkov (httpstorm.com)
Voce aggiunta il 25 ottobre 2021
TCC
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: un'applicazione dannosa può essere in grado di bypassare alcune preferenze sulla privacy.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30798: Mickey Jin (@patch1t) di Trend Micro in collaborazione con Zero Day Initiative di Trend Micro
Voce aggiornata il 19 gennaio 2022
WebKit
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30758: Christoph Guttandin di Media Codings
WebKit
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2021-30795: Sergei Glazunov di Google Project Zero
WebKit
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-30797: Ivan Fratric di Google Project Zero
Altri riconoscimenti
CoreText
Ringraziamo Mickey Jin (@patch1t) di Trend Micro per l'assistenza.
Power Management
Ringraziamo Pan ZhenPeng(@Peterpan0927) di Alibaba Security Pandora Lab, Csaba Fitzl (@theevilbit) e Lisandro Ubiedo (@_lubiedo) di Stratosphere Lab per l'assistenza.
Voce aggiunta il 6 giugno 2023
Safari
Ringraziamo un ricercatore anonimo per l'assistenza.
Sandbox
Ringraziamo Csaba Fitzl (@theevilbit) di Offensive Security per l'assistenza.
sysdiagnose
Ringraziamo Carter Jones (linkedin.com/in/carterjones/) e Tim Michaud (@TimGMichaud) di Zoom Video Communications, Csaba Fitzl (@theevilbit) di Offensive Security, Pan ZhenPeng (@Peterpan0927) di Alibaba Security Pandora Lab e Wojciech Reguła (@_r3ggi) di SecuRing per l'assistenza.
Voce aggiunta il 25 maggio 2022, aggiornata il 16 luglio 2024
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.