Informazioni sui contenuti di sicurezza di watchOS 6.1.1
In questo documento vengono descritti i contenuti di sicurezza di watchOS 6.1.1.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
watchOS 6.1.1
CallKit
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: le chiamate effettuate con Siri potrebbero essere avviate usando il piano cellulare sbagliato sui dispositivi con due piani attivi.
Descrizione: si verificava un problema dell'API nella gestione delle chiamate in uscita avviate con Siri. Il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2019-8856: Fabrice TERRANCLE di TERRANCLE SARL
CFNetwork
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un utente malintenzionato in una posizione di rete privilegiata potrebbe riuscire a bypassare il protocollo HSTS per un numero limitato di specifici domini di primo livello precedentemente non presenti nell'elenco di precaricamento HSTS.
Descrizione: un problema di configurazione è stato risolto attraverso restrizioni aggiuntive.
CVE-2019-8834: Rob Sayre (@sayrer)
Proxy CFNetwork
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2019-8848: Zhuo Liang del Vulcan Team di Qihoo 360
FaceTime
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: l'elaborazione di video dannosi su FaceTime può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-8830: natashenka di Google Project Zero
Kernel
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso la rimozione del codice vulnerabile.
CVE-2019-8833: Ian Beer di Google Project Zero
Kernel
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8828: Cim Stordal di Cognite
CVE-2019-8838: Dr. Silvio Cesare di InfoSect
libexpat
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: l'analisi di un file XML pericoloso può determinare la divulgazione delle informazioni utente.
Descrizione: il problema è stato risolto con l'aggiornamento di expat alla versione 2.2.8.
CVE-2019-15903: Joonun Jang
libpcap
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: diversi problemi presenti in libpcap.
Descrizione: diversi problemi sono stati risolti tramite l'aggiornamento di libpcap alla versione 1.9.1.
CVE-2019-15161
CVE-2019-15162
CVE-2019-15163
CVE-2019-15164
CVE-2019-15165
Sicurezza
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8832: Insu Yun di SSLab del Georgia Tech
WebKit
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.
CVE-2019-8844: William Bowling (@wcbowling)
Altri riconoscimenti
Account
Ringraziamo Allison Husain della UC Berkeley, Kishan Bagaria (KishanBagaria.com), Tom Snelling della Loughborough University per l'assistenza.
Core Data
Ringraziamo natashenka di Google Project Zero per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.