Informazioni sui contenuti di sicurezza di watchOS 9
In questo documento vengono descritti i contenuti di sicurezza di watchOS 9.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
watchOS 9
Accelerate Framework
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di consumo della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2022-42795: ryuzaki
AppleAVD
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2022-32907: Natalie Silvanovich di Google Project Zero, Antonio Zekic (@antoniozekic) e John Aakerblom (@jaakerblom), ABC Research s.r.o, Yinyi Wu, Tommaso Bianco (@cutesmilee__)
Apple Neural Engine
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe divulgare lo stato sensibile del kernel
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2022-32858: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2022-32898: Mohamed Ghannam (@_simo36)
CVE-2022-32899: Mohamed Ghannam (@_simo36)
CVE-2022-32889: Mohamed Ghannam (@_simo36)
Contacts
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe bypassare le preferenze sulla privacy.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2022-32854: Holger Fuhrmannek di Deutsche Telekom Security
Exchange
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un utente in una posizione privilegiata nella rete potrebbe intercettare le credenziali della posta.
Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.
CVE-2022-32928: Jiří Vinopal (@vinopaljiri) di Check Point Research
GPU Drivers
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2022-32903: un ricercatore anonimo
ImageIO
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'elaborazione di un'immagine potrebbe causare l'interruzione del servizio
Descrizione: un problema di interruzione del servizio è stato risolto attraverso una migliore convalida.
CVE-2022-1622
Image Processing
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'applicazione sandbox potrebbe essere in grado di determinare quale app utilizza la fotocamera.
Descrizione: il problema è stato risolto attraverso restrizioni aggiuntive sull'osservabilità degli stati delle app.
CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)
Kernel
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe rivelare la memoria kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2022-32864: Linus Henze di Pinauten GmbH (pinauten.de)
Kernel
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2022-32866: Linus Henze di Pinauten GmbH (pinauten.de)
CVE-2022-32911: Zweig di Kunlun Lab
Kernel
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2022-32914: Zweig di Kunlun Lab
Kernel
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'applicazione può causare l'esecuzione di codice arbitrario con privilegi kernel. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente.
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2022-32894: un ricercatore anonimo
Maps
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.
CVE-2022-32883: Ron Masas di breakpointhq.com
MediaLibrary
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un utente può essere in grado di rendere più elevati i privilegi.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2022-32908: un ricercatore anonimo
Notifications
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: una utente con accesso fisico a un dispositivo può essere in grado di accedere ai contatti dalla schermata di blocco.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-32879: Ubeydullah Sümer
Sandbox
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.
CVE-2022-32881: Csaba Fitzl (@theevilbit) di Offensive Security
Siri
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un utente con accesso fisico a un dispositivo può essere in grado di usare Siri per ottenere alcune informazioni sulla cronologia delle chiamate.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-32870: Andrew Goldberg della McCombs School of Business della University of Texas di Austin (linkedin.com/in/andrew-goldberg-/)
SQLite
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un utente collegato in remoto potrebbe causare l'interruzione del servizio.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-36690
Watch app
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un utente locale può essere in grado di leggere un identificatore di dispositivi persistente.
Descrizione: questo problema è stato risolto attraverso migliori autorizzazioni.
CVE-2022-32835: Guilherme Rambo di Best Buddy Apps (rambo.codes)
Weather
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-32875: un ricercatore anonimo
WebKit
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.
CVE-2022-32886: P1umer (@p1umer), afang (@afang5472), xmzyshypnc (@xmzyshypnc1)
WebKit
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2022-32888: P1umer (@p1umer)
WebKit
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2022-32912: Jeonghoon Shin (@singi21a) di Theori in collaborazione con Zero Day Initiative di Trend Micro
WebKit
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'accesso a un sito web che presenta contenuti dannosi potrebbe causare lo spoofing dell'interfaccia utente.
Descrizione: il problema è stato risolto attraverso una migliore gestione dell'interfaccia utente.
CVE-2022-32891: @real_as3617, un ricercatore anonimo
WebKit
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'elaborazione di un contenuto web pericoloso potrebbe causare l'esecuzione di codice arbitrario. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente.
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2022-32893: un ricercatore anonimo
Wi-Fi
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-46709: Wang Yu di Cyberserval
Wi-Fi
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe causare l'arresto improvviso del sistema o scrivere sulla memoria del kernel
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2022-32925: Wang Yu di Cyberserval
Altri riconoscimenti
AppleCredentialManager
Ringraziamo @jonathandata1 per l'assistenza.
FaceTime
Ringraziamo un ricercatore anonimo per l'assistenza.
Kernel
Ringraziamo un ricercatore anonimo per l'assistenza.
Ringraziamo un ricercatore anonimo per l'assistenza.
Safari
Ringraziamo Scott Hatfield di Sub-Zero Group per l'assistenza.
Sandbox
Ringraziamo Csaba Fitzl (@theevilbit) di Offensive Security per l'assistenza.
UIKit
Ringraziamo Aleczander Ewing per l'assistenza.
WebKit
Ringraziamo un ricercatore anonimo per l'assistenza.
WebRTC
Ringraziamo un ricercatore anonimo per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.