Informazioni sui contenuti di sicurezza di watchOS 9.4
In questo documento vengono descritti i contenuti di sicurezza di watchOS 9.4.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina relativa agli aggiornamenti di sicurezza Apple.
Quando possibile, i documenti sulla sicurezza Apple utilizzano i CVE-ID per indicare la vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
watchOS 9.4
Rilasciato il 27 marzo 2023
AppleMobileFileIntegrity
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un utente può ottenere l'accesso a parti protette del file system.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-23527: Mickey Jin (@patch1t)
Calendar
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'importazione di un invito di calendario dannoso può consentire l'esfiltrazione delle informazioni dell'utente
Descrizione: diversi problemi di convalida sono stati risolti attraverso una migliore sanitizzazione dell'input.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
Camera
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'applicazione sandbox potrebbe essere in grado di determinare quale app utilizza la fotocamera.
Descrizione: il problema è stato risolto attraverso restrizioni aggiuntive sull'osservabilità degli stati delle app.
CVE-2023-23543: Yiğit Can YILMAZ (@yilmazcanyigit)
Voce aggiunta il 8 giugno 2023
CoreCapture
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-28181: Tingting Yin della Tsinghua University
Find My
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2023-23537: Adam M.
CVE-2023-28195: Adam M.
Voce aggiornata il 21 dicembre 2023
FontParser
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'elaborazione di un'immagine dannosa potrebbe causare la divulgazione dei contenuti della memoria dei processi
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-27956: Ye Zhang di Baidu Security
Foundation
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'elaborazione di un file font dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario
Descrizione: un problema di overflow dei numeri interi è stato risolto attraverso una migliore convalida dell'input.
CVE-2023-27937: un ricercatore anonimo
Identity Services
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe accedere alle informazioni sui contatti di un utente
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2023-27928: Csaba Fitzl (@theevilbit) di Offensive Security
ImageIO
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'elaborazione di un'immagine dannosa potrebbe causare la divulgazione dei contenuti della memoria dei processi
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-23535: ryuzaki
ImageIO
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'elaborazione di un'immagine dannosa potrebbe causare la divulgazione dei contenuti della memoria dei processi
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2023-27929: Meysam Firouzi (@R00tkitSMM) di Mbition Mercedes-Benz Innovation Lab e jzhu working con Trend Micro Zero Day Initiative
ImageIO
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'elaborazione di un'immagine potrebbe causare la divulgazione dei contenuti della memoria dei processi.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2023-42862: Meysam Firouzi @R00tkitSMM
CVE-2023-42865: jzhu in collaborazione con Zero Day Initiative di Trend Micro e Meysam Firouzi (@R00tkitSMM) di Mbition Mercedes-Benz Innovation Lab
Voce aggiunta il 21 dicembre 2023
Kernel
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con migliori controlli dei limiti.
CVE-2023-23536: Félix Poulin-Bélanger e David Pan Ogea
Voce aggiunta l'8 giugno 2023 e aggiornata il 21 dicembre 2023
Kernel
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2023-27969: Adam Doupé di ASU SEFCOM
Kernel
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app con privilegi root potrebbe eseguire codice arbitrario con privilegi kernel
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-27933: sqrtpwn
Kernel
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe causare l'interruzione del servizio.
Descrizione: un problema di overflow dei numeri interi è stato risolto mediante una migliore convalida degli input.
CVE-2023-28185: Pan ZhenPeng di STAR Labs SG Pte. Ltd.
Voce aggiunta il 21 dicembre 2023
Kernel
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un utente malintenzionato che ha già ottenuto l'esecuzione del codice kernel può essere in grado di bypassare le mitigazioni della memoria del kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-32424: Zechao Cai (@Zech4o) della Zhejiang University
Voce aggiunta il 21 dicembre 2023
Podcast
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-27942: Mickey Jin (@patch1t)
Sandbox
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe bypassare le preferenze sulla privacy.
Descrizione: un problema logico è stato risolto attraverso una migliore convalida.
CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)
Voce aggiunta il 8 giugno 2023
Shortcuts
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un comando rapido può essere in grado di utilizzare dati sensibili con determinate azioni senza richiedere l'autorizzazione dell'utente.
Descrizione: il problema è stato risolto attraverso maggiori controlli dei permessi.
CVE-2023-27963: Jubaer Alnazi Jabin di TRS Group Of Companies e Wenchao Li e Xiaolong Bai di Alibaba Group
TCC
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.
CVE-2023-27931: Mickey Jin (@patch1t)
WebKit
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'elaborazione di contenuti web dannosi può eludere la Same Origin Policy.
Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.
WebKit Bugzilla: 248615
CVE-2023-27932: un ricercatore anonimo
WebKit
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un sito web potrebbe essere in grado di tenere traccia delle informazioni sensibili degli utenti.
Descrizione: il problema è stato risolto rimuovendo le informazioni sull'origine.
WebKit Bugzilla: 250837
CVE-2023-27954: un ricercatore anonimo
Altri riconoscimenti
Activation Lock
Ringraziamo Christian Mina per l'assistenza.
CFNetwork
Ringraziamo un ricercatore anonimo per l'assistenza.
CoreServices
Ringraziamo Mickey Jin (@patch1t) per l'assistenza.
ImageIO
Ringraziamo Meysam Firouzi @R00tkitSMM per l'assistenza.
Ringraziamo Chen Zhang, Fabian Ising della FH Münster University of Applied Sciences, Damian Poddebniak della FH Münster University of Applied Sciences, Tobias Kappert della Münster University of Applied Sciences, Christoph Saatjohann della Münster University of Applied Sciences, Sebast e Merlin Chlosta del CISPA Helmholtz Center for Information Security per l'assistenza.
Safari Downloads
Ringraziamo Andrew Gonzalez per l'assistenza.
WebKit
Ringraziamo un ricercatore anonimo per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.