Informazioni sui contenuti di sicurezza di watchOS 6.1
In questo documento vengono descritti i contenuti di sicurezza di watchOS 6.1.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
watchOS 6.1
Account
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un utente malintenzionato remoto può causare una perdita di memoria.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-8787: Steffen Klee di Secure Mobile Networking Lab della Technische Universität Darmstadt
AirDrop
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: i trasferimenti AirDrop possono essere accettati in modo imprevisto con l'opzione di ricezione Tutti attiva.
Descrizione: un problema logico è stato risolto attraverso una migliore convalida.
CVE-2019-8796: Allison Husain della UC Berkeley
App Store
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un utente malintenzionato locale può essere in grado di accedere all'account di un utente connesso in precedenza senza credenziali valide.
Descrizione: un problema di autenticazione è stato risolto attraverso una migliore gestione dello stato.
CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)
AppleFirmwareUpdateKext
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: una vulnerabilità al danneggiamento della memoria è stata risolta mediante un blocco migliore.
CVE-2019-8747: Mohamed Ghannam (@_simo36)
Audio
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8785: Ian Beer di Google Project Zero
CVE-2019-8797: 08Tc3wBB in collaborazione con SSD Secure Disclosure
Contatti
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: l'elaborazione di un contatto dannoso può causare lo spoofing dell'interfaccia utente.
Descrizione: un problema di interfaccia utente non coerente è stato risolto con una migliore gestione dello stato.
CVE-2017-7152: Oliver Paukstadt di Thinking Objects GmbH (to.com)
Eventi File System
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8798: ABC Research s.r.o. in collaborazione con Zero Day Initiative di Trend Micro
Kernel
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.
Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.
CVE-2019-8794: 08Tc3wBB in collaborazione con SSD Secure Disclosure
Kernel
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8786: Wen Xu di Georgia Tech, stagista presso Microsoft Offensive Security Research
Kernel
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: una vulnerabilità al danneggiamento della memoria è stata risolta mediante un blocco migliore.
CVE-2019-8829: Jann Horn di Google Project Zero
libxslt
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: diversi problemi presenti in libxslt.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida degli input.
CVE-2019-8750: rilevato da OSS-Fuzz
VoiceOver
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: una persona con accesso fisico a un dispositivo iOS può essere in grado di accedere ai contatti dal blocco schermo.
Descrizione: il problema è stato risolto limitando le opzioni offerte su un dispositivo bloccato.
CVE-2019-8775: videosdebarraquito
WebKit
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: l'elaborazione di contenuti web dannosi può causare cross-site scripting universale.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2019-8764: Sergei Glazunov di Google Project Zero
WebKit
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.
CVE-2019-8743: zhunki del Codesafe Team di Legendsec presso Qi'anxin Group
CVE-2019-8765: Samuel Groß di Google Project Zero
CVE-2019-8766: rilevato da OSS-Fuzz
CVE-2019-8808: rilevato da OSS-Fuzz
CVE-2019-8811: Soyeon Park di SSLab presso Georgia Tech
CVE-2019-8812: JunDong Xie di Ant-financial Light-Year Security Lab
CVE-2019-8816: Soyeon Park di SSLab presso Georgia Tech
CVE-2019-8820: Samuel Groß di Google Project Zero
Altri riconoscimenti
boringssl
Ringraziamo Nimrod Aviram della Tel Aviv University, Robert Merget e Juraj Somorovsky della Ruhr University Bochum per l'assistenza.
CFNetwork
Ringraziamo Lily Chen di Google per l'assistenza.
Kernel
Ringraziamo Daniel Roethlisberger di Swisscom CSIRT e Jann Horn di Google Project Zero per l'assistenza.
Safari
Ringraziamo Ron Summers e Ronald van der Meer per l'assistenza.
WebKit
Ringraziamo Zhiyi Zhang del Codesafe Team di Legendsec presso Qi'anxin Group per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.