Informazioni sui contenuti di sicurezza di watchOS 5.3

In questo documento vengono descritti i contenuti di sicurezza di watchOS 5.3.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

watchOS 5.3

Bluetooth

Disponibile per: Apple Watch Series 1 e modelli successivi

Impatto: un utente malintenzionato in una posizione di rete privilegiata può essere in grado di intercettare il traffico Bluetooth (Key Negotiation of Bluetooth - KNOB).

Descrizione: esisteva un problema di convalida dell'input relativo al Bluetooth. Il problema è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-9506: Daniele Antonioli di SUTD, Singapore, Dr. Nils Ole Tippenhauer di CISPA, Germania, e Prof. Kasper Rasmussen della University of Oxford, Inghilterra

Le modifiche a questo problema limitano CVE-2020-10135.

Core Data

Disponibile per: Apple Watch Series 1 e modelli successivi

Impatto: un utente malintenzionato remoto può causare una perdita di memoria.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8646: natashenka di Google Project Zero

Core Data

Disponibile per: Apple Watch Series 1 e modelli successivi

Impatto: un utente malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8647: Samuel Groß e natashenka di Google Project Zero

Core Data

Disponibile per: Apple Watch Series 1 e modelli successivi

Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8660: Samuel Groß e natashenka di Google Project Zero

Digital Touch

Disponibile per: Apple Watch Series 1 e modelli successivi

Impatto: un utente malintenzionato remoto può causare una perdita di memoria.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8624: natashenka di Google Project Zero

FaceTime

Disponibile per: Apple Watch Series 1 e modelli successivi

Impatto: un utente malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8648: Tao Huang e Tielei Wang di Team Pangu

Heimdal

Disponibile per: Apple Watch Series 1 e modelli successivi

Impatto: un problema in Samba può consentire a utenti malintenzionati di eseguire azioni non autorizzate intercettando le comunicazioni tra i servizi.

Descrizione: questo problema è stato risolto attraverso migliori controlli in modo da evitare azioni non autorizzate.

CVE-2018-16860: Isaac Boukris e Andrew Bartlett di Samba Team e Catalyst

Elaborazione delle immagini

Disponibile per: Apple Watch Series 1 e modelli successivi

Impatto: l'elaborazione di un'immagine dannosa può causare l'interruzione del servizio.

Descrizione: un problema di negazione del servizio è stato risolto attraverso una migliore convalida.

CVE-2019-8668: un ricercatore anonimo

Kernel

Disponibile per: Apple Watch Series 1 e modelli successivi

Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.

Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.

CVE-2019-8633: Zhuo Liang del Vulcan Team di Qihoo 360

libxslt

Disponibile per: Apple Watch Series 1 e modelli successivi

Impatto: un utente malintenzionato collegato in remoto può essere in grado di visualizzare dati sensibili.

Descrizione: un overflow dello stack è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-13118: rilevato da OSS-Fuzz

Messaggi

Disponibile per: Apple Watch Series 1 e modelli successivi

Impatto: gli utenti rimossi da una conversazione iMessage potrebbero essere ancora in grado di modificare lo stato

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2019-8659: Ryan Kontos (@ryanjkontos), Will Christensen della University of Oregon

Messaggi

Disponibile per: Apple Watch Series 1 e modelli successivi

Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione.

Descrizione: un problema di interruzione del servizio è stato risolto attraverso una migliore convalida.

CVE-2019-8665: Michael Hernandez di XYZ Marketing

QuickLook

Disponibile per: Apple Watch Series 1 e modelli successivi

Impatto: un utente malintenzionato può attivare una vulnerabilità use-after-free in un'applicazione deserializzando un NSDictionary non attendibile.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2019-8662: natashenka e Samuel Groß di Google Project Zero

Siri

Disponibile per: Apple Watch Series 1 e modelli successivi

Impatto: un utente malintenzionato remoto può causare una perdita di memoria.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8646: natashenka di Google Project Zero

UIFoundation

Disponibile per: Apple Watch Series 1 e modelli successivi

Impatto: l'analisi di un documento Microsoft Office dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8657: riusksk di VulWar Corp in collaborazione con Zero Day Initiative di Trend Micro

Wallet

Disponibile per: Apple Watch Series 1 e modelli successivi

Impatto: un utente potrebbe involontariamente effettuare un acquisto in-app mentre si trova sul blocco schermo

Descrizione: il problema è stato risolto attraverso una migliore gestione dell'interfaccia utente.

CVE-2019-8682: Jeff Braswell (JeffBraswell.com)

WebKit

Disponibile per: Apple Watch Series 1 e modelli successivi

Impatto: l'elaborazione di contenuti web dannosi può causare il cross-site scripting universale.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8658: akayn in collaborazione con Zero Day Initiative di Trend Micro

WebKit

Disponibile per: Apple Watch Series 1 e modelli successivi

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.

CVE-2019-8669: akayn in collaborazione con Zero Day Initiative di Trend Micro

CVE-2019-8672: Samuel Groß di Google Project Zero

CVE-2019-8676: Soyeon Park e Wen Xu di SSLab del Georgia Tech

CVE-2019-8683: lokihardt di Google Project Zero

CVE-2019-8684: lokihardt di Google Project Zero

CVE-2019-8685: akayn, Dongzhuo Zhao in collaborazione con ADLab di Venustech, Ken Wong (@wwkenwong) di VXRL, Anthony Lai (@darkfloyd1014) di VXRL ed Eric Lung (@Khlung1) di VXRL

CVE-2019-8688: Insu Yun di SSLab del Georgia Tech

CVE-2019-8689: lokihardt di Google Project Zero

Altri riconoscimenti

MobileInstallation

Ringraziamo Dany Lisiansky (@DanyL931) per l'assistenza.