Informazioni sui contenuti di sicurezza di watchOS 2
In questo documento vengono descritti i contenuti di sicurezza di watchOS 2.
Per proteggere la propria clientela, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Consulta il sito web dedicato alla sicurezza dei prodotti Apple per ulteriori informazioni in merito.
Per saperne di più sull'uso della chiave PGP per la sicurezza dei prodotti Apple, consulta l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.
Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.
Per informazioni su altri aggiornamenti di sicurezza consulta l'articolo Aggiornamenti di sicurezza Apple.
watchOS 2
Apple Pay
Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impatto: alcune carte potrebbero consentire a un terminale di recuperare informazioni limitate sulle transazioni recenti quando si effettua un pagamento.
Descrizione: la funzionalità di log delle transazioni è stata abilitata in determinate configurazioni. Questo problema, che viene risolto rimuovendo la funzionalità di log delle transazioni.
CVE-ID
CVE-2015-5916
Audio
Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impatto: la riproduzione di un file audio dannoso può causare la chiusura imprevista dell'applicazione.
Descrizione: si verificava un problema di danneggiamento della memoria nella gestione dei file audio. Questo problema viene risolto attraverso una migliore gestione della memoria.
CVE-ID
CVE-2015-5862: YoungJin Yoon di Information Security Lab. (Adv.: Prof. Taekyoung Kwon), Yonsei University, Seul, Corea
Certificate Trust Policy
Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impatto: aggiornamento del Certificate Trust Policy.
Descrizione: aggiornato il Certificate Trust Policy. L'elenco completo dei certificati può essere visualizzato al seguente indirizzo: https://support.apple.com/HT204873.
CFNetwork
Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impatto: consentiva a un utente malintenzionato con una posizione privilegiata sulla rete di intercettare le connessioni TLS/SSL.
Descrizione: si verifica un problema relativo alla convalida in NSURL quando un certificato viene modificato. Questo problema è stato risolto attraverso una migliore convalida dei certificati.
CVE-ID
CVE-2015-5824: Timothy J. Wood di The Omni Group
CFNetwork
Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impatto: la connessione a un proxy web pericoloso può impostare cookie dannosi per un sito web.
Descrizione: si verifica un problema nella gestione delle risposte di connessione proxy. Questo problema viene risolto rimuovendo l'intestazione Set-Cookie durante l'analisi della risposta di connessione.
CVE-ID
CVE-2015-5841: Xiaofeng Zheng di Blue Lotus Team, Tsinghua University
CFNetwork
Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impatto: un utente malintenzionato con una posizione privilegiata sulla rete può monitorare l'attività di un altro utente.
Descrizione: si verifica un problema relativo ai cookie tra domini nella gestione dei domini di livello superiore. Questo problema viene risolto attraverso migliori restrizioni di creazione dei cookie.
CVE-ID
CVE-2015-5885: Xiaofeng Zheng di Blue Lotus Team, Tsinghua University
CFNetwork
Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impatto: una persona con accesso fisico a un dispositivo iOS può leggere i dati della cache dalle app Apple.
Descrizione: i dati della cache vengono codificati con una chiave protetta solo dall'UID dell'hardware. Questo problema viene risolto codificando i dati della cache con una chiave protetta dall'UID dell'hardware e con il codice dell'utente.
CVE-ID
CVE-2015-5898: Andreas Kurtz di NESO Security Labs
CoreCrypto
Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impatto: un malintenzionato può essere in grado di determinare una chiave privata.
Descrizione: osservando molti tentativi di firma e decodifica, un malintenzionato può essere in grado di determinare la chiave privata RSA. Questo problema viene risolto attraverso migliori algoritmi di codifica.
CoreText
Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: si verificava un problema di danneggiamento della memoria nell'elaborazione dei file di font, che è stato risolto attraverso una migliore convalida dell'input.
CVE-ID
CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team
Data Detectors Engine
Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impatto: l'elaborazione di un file di testo dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: si verificavano problemi di danneggiamento della memoria durante l'elaborazione dei file di testo, che sono stati risolti attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2015-5829: M1x7e1 di Safeye Team (www.safeye.org)
Dev Tools
Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verifica un problema di danneggiamento della memoria in dyld. Questo problema viene risolto attraverso una migliore gestione della memoria.
CVE-ID
CVE-2015-5876: beist di grayhash
Disk Images
Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impatto: un utente locale può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verifica un problema di danneggiamento della memoria in DiskImages, che è stato risolto mediante una migliore gestione della memoria.
CVE-ID
CVE-2015-5847: Filippo Bigarella, Luca Todesco
dyld
Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impatto: un'applicazione può essere in grado di bypassare la firma del codice.
Descrizione: si verifica un problema relativo alla convalida della firma del codice degli eseguibili, che è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team
GasGauge
Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impatto: un utente locale può eseguire codice arbitrario con privilegi kernel.
Descrizione: si verificano diversi problemi di danneggiamento della memoria nel kernel. che sono stati risolti mediante una migliore gestione della memoria.
CVE-ID
CVE-2015-5918: Apple
CVE-2015-5919: Apple
ICU
Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impatto: diverse vulnerabilità in ICU.
Descrizione: sono presenti diverse vulnerabilità nelle versioni di ICU precedenti alla 53.1.0. Questi problemi vengono risolti aggiornando ICU alla versione 55.1.
CVE-ID
CVE-2014-8146: Marc Deslauriers
CVE-2014-8147: Marc Deslauriers
CVE-2015-5922: Mark Brand di Google Project Zero
IOAcceleratorFamily
Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impatto: un'applicazione dannosa può essere in grado di determinare il layout della memoria del kernel.
Descrizione: si verifica un problema che causa la divulgazione dei contenuti della memoria del kernel, che è stato risolto attraverso un migliore controllo dei limiti.
CVE-ID
CVE-2015-5834: Cererdlong di Alibaba Mobile Security Team
IOAcceleratorFamily
Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impatto: un utente locale può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verifica un problema di danneggiamento della memoria in IOAcceleratorFamily, che è stato risolto mediante una migliore gestione della memoria.
CVE-ID
CVE-2015-5848: Filippo Bigarella
IOKit
Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verifica un problema di danneggiamento della memoria nel kernel, che è stato risolto mediante una migliore gestione della memoria.
CVE-ID
CVE-2015-5844: Filippo Bigarella
CVE-2015-5845: Filippo Bigarella
CVE-2015-5846: Filippo Bigarella
IOMobileFrameBuffer
Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impatto: un utente locale può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verificava un problema di danneggiamento della memoria in IOMobileFrameBuffer, che è stato risolto mediante una migliore gestione della memoria.
CVE-ID
CVE-2015-5843: Filippo Bigarella
IOStorageFamily
Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impatto: un utente malintenzionato locale può essere in grado di leggere la memoria del kernel.
Descrizione: si verifica un problema di inizializzazione della memoria nel kernel, che è stato risolto mediante una migliore gestione della memoria.
CVE-ID
CVE-2015-5863: Ilja van Sprundel di IOActive
Kernel
Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impatto: un utente locale può eseguire codice arbitrario con privilegi kernel.
Descrizione: si verificava un problema di danneggiamento della memoria nel kernel, che è stato risolto mediante una migliore gestione della memoria.
CVE-ID
CVE-2015-5868: Cererdlong di Alibaba Mobile Security Team
CVE-2015-5896: Maxime Villard di m00nbsd
CVE-2015-5903: CESG
Kernel
Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impatto: un malintenzionato locale può controllare il valore dei cookie dello stack.
Descrizione: sono presenti diverse falle nella generazione dei cookie dello stack dello spazio dell'utente. Questo problema viene risolto attraverso una migliore generazione dei cookie dello stack.
CVE-ID
CVE-2013-3951: Stefan Esser
Kernel
Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impatto: un processo locale può modificare altri processi senza verifiche di autorizzazione.
Descrizione: si verifica un problema per cui ai processi root che usano l'API processor_set_tasks viene consentito di recuperare le task port di altri processi. Questo problema viene risolto attraverso verifiche di autorizzazione aggiuntive.
CVE-ID
CVE-2015-5882: Pedro Vilaça, sulla base della ricerca originale di Ming-chieh Pan e Sung-ting Tsai; Jonathan Levin
Kernel
Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impatto: un malintenzionato in un segmento LAN locale può disabilitare il routing IPv6.
Descrizione: si verifica un problema di convalida insufficiente nella gestione degli annunci del router IPv6 che consente a un malintenzionato di impostare il limite di hop su un valore arbitrario. Questo problema viene risolto imponendo un limite di hop minimo.
CVE-ID
CVE-2015-5869: Dennis Spindel Ljungmark
Kernel
Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impatto: un utente locale può essere in grado di determinare il layout della memoria del kernel.
Descrizione: si verifica un problema in XNU che causa la divulgazione della memoria del kernel. Questo problema viene risolto attraverso una migliore inizializzazione delle strutture della memoria del kernel.
CVE-ID
CVE-2015-5842: beist di grayhash
Kernel
Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impatto: un utente locale può causare un'interruzione del servizio.
Descrizione: si verifica un problema nell'attivazione dell'unità HFS. Questo problema viene risolto attraverso verifiche di convalida aggiuntive.
CVE-ID
CVE-2015-5748: Maxime Villard di m00nbsd
libpthread
Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impatto: un utente locale può eseguire codice arbitrario con privilegi kernel.
Descrizione: si verificava un problema di danneggiamento della memoria nel kernel, che è stato risolto mediante una migliore gestione della memoria.
CVE-ID
CVE-2015-5899: Lufeng Li di Qihoo 360 Vulcan Team
PluginKit
Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impatto: un'applicazione aziendale dannosa può installare estensioni prima che l'applicazione venga considerata attendibile.
Descrizione: si verifica un problema nella convalida delle estensioni durante l'installazione. Questo problema viene risolto attraverso una migliore verifica delle app.
CVE-ID
CVE-2015-5837: Zhaofeng Chen, Hui Xue e Tao (Lenx) Wei di FireEye, Inc.
removefile
Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impatto: l'elaborazione di dati dannosi può causare l'arresto improvviso dell'applicazione.
Descrizione: si verifica un guasto dell'overflow nelle routine della divisione checkint. Questo problema viene risolto attraverso migliori routine della divisione.
CVE-ID
CVE-2015-5840: un ricercatore anonimo
SQLite
Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impatto: diverse vulnerabilità in SQLite 3.8.5.
Descrizione: sono presenti diverse vulnerabilità in SQLite 3.8.5. Questi problemi vengono risolti aggiornando SQLite alla versione 3.8.10.2.
CVE-ID
CVE-2015-3414
CVE-2015-3415
CVE-2015-3416
tidy
Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impatto: l'accesso a un sito web pericoloso può provocare l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema di danneggiamento della memoria in Tidy. Questo problema viene risolto attraverso una migliore gestione della memoria.
CVE-ID
CVE-2015-5522: Fernando Muñoz di NULLGroup.com
CVE-2015-5523: Fernando Muñoz di NULLGroup.com
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.