Informazioni sui contenuti di sicurezza di watchOS 8.1

In questo documento vengono descritti i contenuti di sicurezza di watchOS 8.1.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

watchOS 8.1

Audio

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un'applicazione dannosa può essere in grado di elevare i privilegi.

Descrizione: un problema di overflow dei numeri interi è stato risolto mediante una migliore convalida degli input.

CVE-2021-30907: Zweig di Kunlun Lab

ColorSync

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: si verificava un problema di danneggiamento della memoria durante l'elaborazione dei profili ICC. Il problema è stato risolto attraverso una migliore convalida dell'input.

CVE-2021-30917: Alexandru-Vlad Niculae e Mateusz Jurczyk di Google Project Zero

Continuity Camera

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un malintenzionato locale può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di stringa del formato non controllata è stato risolto tramite una migliore convalida degli input.

CVE-2021-30903: Gongyu Ma della Hangzhou Dianzi University

CoreAudio

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: l'elaborazione di un file dannoso può divulgare le informazioni dell'utente.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2021-30905: Mickey Jin (@patch1t) di Trend Micro

CoreGraphics

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: l'elaborazione di un PDF dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2021-30919

FileProvider

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un'applicazione dannosa può essere in grado di bypassare le preferenze sulla privacy.

Descrizione: un problema di autorizzazioni è stato risolto attraverso una migliore convalida.

CVE-2021-31007: Csaba Fitzl (@theevilbit) di Offensive Security

FileProvider

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: l'estrazione di un archivio dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di convalida dell'input è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-30881: Simon Huang (@HuangShaomang) e pjf di IceSword Lab di Qihoo 360

Game Center

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un'applicazione dannosa può essere in grado di accedere alle informazioni relative ai contatti di un utente.

Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.

CVE-2021-30895: Denis Tokarev (@illusionofcha0s)

Game Center

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un'applicazione dannosa può essere in grado di leggere i dati di gioco dell'utente.

Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.

CVE-2021-30896: Denis Tokarev (@illusionofcha0s)

iCloud

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2021-30906: Cees Elzinga

IOMobileFrameBuffer

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un'applicazione può causare l'esecuzione di codice arbitrario con privilegi kernel. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-30883: un ricercatore anonimo

Kernel

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un utente malintenzionato collegato in remoto potrebbe provocare il riavvio improvviso del dispositivo.

Descrizione: un problema di negazione del servizio è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30924: Elaman Iskakov (@darling_x0r) di Effective e Alexey Katkov (@watman27)

Kernel

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-30886: @0xalsr

Kernel

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-30909: Zweig di Kunlun Lab

UIKit

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: una persona con accesso fisico a un dispositivo può essere in grado di determinare le caratteristiche della password di un utente in un campo di inserimento testo protetto.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30915: Kostas Angelopoulos

WebKit

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice.

Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-31008: un ricercatore anonimo

WebKit

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: l'elaborazione di contenuti web pericolosi potrebbe causare la mancata applicazione della Content Security Policy in modo inatteso.

Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.

CVE-2021-30887: Narendra Bhati (@imnarendrabhati) di Suma Soft Pvt. Ltd.

WebKit

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un sito web dannoso che utilizza i report Content Security Policy può essere in grado di divulgare informazioni mediante un comportamento di reindirizzamento.

Descrizione: un problema di divulgazione di informazioni è stato risolto.

CVE-2021-30888: Prakash (@1lastBr3ath)

WebKit

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-30889: Chijin Zhou di ShuiMuYuLin Ltd e Tsinghua wingtecher lab

WebKit

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: l'elaborazione di contenuti web dannosi può causare il cross-site scripting universale.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30890: un ricercatore anonimo

Altri riconoscimenti

iCloud

Ringraziamo Ryan Pickren (ryanpickren.com) per l'assistenza.

Mail

Ringraziamo Fabian Ising e Damian Poddebniak della Münster University of Applied Sciences per l'assistenza.

WebKit

Ringraziamo Ivan Fratric di Google Project Zero, Pavel Gromadchuk e un ricercatore anonimo per l'assistenza.