Informazioni sui contenuti di sicurezza di watchOS 7.4

In questo documento vengono descritti i contenuti di sicurezza di watchOS 7.4.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina relativa agli aggiornamenti di sicurezza Apple.

Quando possibile, i documenti sulla sicurezza Apple utilizzano i CVE-ID per indicare la vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

watchOS 7.4

AppleMobileFileIntegrity

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un'applicazione dannosa può essere in grado di bypassare le preferenze sulla privacy.

Descrizione: un problema nella convalida della firma del codice è stato risolto attraverso migliori controlli.

CVE-2021-1849: Siguza

Audio

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.

CVE-2021-1808: JunDong Xie di Ant Security Light-Year Lab

CFNetwork

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: l'elaborazione di contenuti web dannosi può divulgare informazioni sensibili dell'utente.

Descrizione: un problema di inizializzazione della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-1857: un ricercatore anonimo

Compression

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

Descrizione: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

CVE-2021-30752: Ye Zhang (@co0py_Cat) di Baidu Security

CoreAudio

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: l'elaborazione di un file pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2021-30664: JunDong Xie di Ant Security Light-Year Lab

CoreAudio

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: l'elaborazione di un file audio pericoloso può divulgare la memoria con restrizioni.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2021-1846: JunDong Xie di Ant Security Light-Year Lab

CoreAudio

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un'applicazione dannosa può essere in grado di leggere la memoria con restrizioni.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.

CVE-2021-1809: JunDong Xie di Ant Security Light-Year Lab

CoreFoundation

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un'applicazione dannosa può essere in grado di divulgare informazioni sensibili degli utenti.

Descrizione: un problema di convalida è stato risolto attraverso una migliore logica.

CVE-2021-30659: Thijs Alkemade di Computest

CoreText

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: l'elaborazione di un font dannoso può causare la divulgazione della memoria dei processi.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-1811: Xingwei Lin di Ant Security Light-Year Lab

FaceTime

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: la disattivazione dell'audio di una chiamata CallKit mentre il telefono sta squillando potrebbe non determinare l'effettiva disattivazione dell'audio

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-1872: Siraj Zaneer di Facebook

FontParser

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2021-1881: un ricercatore anonimo, Xingwei Lin di Ant Security Light-Year Lab, Mickey Jin di Trend Micro e Hou JingYi (@hjy79425575) di Qihoo 360

Foundation

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.

CVE-2021-1882: Gabe Kirkpatrick (@gabe_k)

Foundation

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un'applicazione dannosa può essere in grado di ottenere privilegi root.

Descrizione: un problema di convalida è stato risolto attraverso una migliore logica.

CVE-2021-1813: Cees Elzinga

Heimdal

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: l'elaborazione di messaggi del server dannosi può danneggiare la memoria heap

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)

Heimdal

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un malintenzionato collegato in remoto può causare una negazione del servizio.

Descrizione: una race condition è stata risolta attraverso un blocco migliore.

CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)

ImageIO

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2021-1880: Xingwei Lin di Ant Security Light-Year Lab

CVE-2021-30653: Ye Zhang di Baidu Security

CVE-2021-1814: Ye Zhang di Baidu Security, Mickey Jin e Qi Sun di Trend Micro, Xingwei Lin di Ant Security Light-Year Lab

CVE-2021-1843: Ye Zhang di Baidu Security

ImageIO

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2021-1885: CFF di Topsec Alpha Team

ImageIO

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2021-1858: Mickey Jin di Trend Micro

ImageIO

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input

Descrizione: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

CVE-2021-30743: Ye Zhang (@co0py_Cat) di Baidu Security, Jzhu in collaborazione con Zero Day Initiative di Trend Micro, Xingwei Lin di Ant Security Light-Year Lab, CFF di Topsec Alpha Team, Jeonghoon Shin (@singi21a) di THEORI in collaborazione con Zero Day Initiative di Trend Micro

ImageIO

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: il problema è stato risolto attraverso migliori controlli.

Descrizione: l'elaborazione di un file di dannoso può causare l'esecuzione di codice arbitrario.

CVE-2021-30764: anonimo in collaborazione con Zero Day Initiative di Trend Micro

iTunes Store

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un utente malintenzionato con l'esecuzione di JavaScript può essere in grado di eseguire codice arbitrario.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-1864: CodeColorist di Ant-Financial LightYear Labs

Kernel

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un'applicazione dannosa può rivelare la memoria kernel

Descrizione: un problema di inizializzazione della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-1860: @0xalsr

Kernel

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.

CVE-2021-1816: Tielei Wang di Pangu Lab

Kernel

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-1851: @0xalsr

Kernel

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: i file copiati potrebbero non avere i permessi dei file previsti

Descrizione: il problema è stato risolto attraverso una migliore logica delle autorizzazioni.

CVE-2021-1832: un ricercatore anonimo

Kernel

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un'applicazione dannosa può rivelare la memoria kernel

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2021-30660: Alex Plaskett

libxpc

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un'applicazione dannosa può essere in grado di ottenere privilegi root.

Descrizione: una race condition è stata risolta con un'ulteriore convalida.

CVE-2021-30652: James Hutchins

libxslt

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: l'elaborazione di un file dannoso può danneggiare la memoria heap.

Descrizione: un problema di tipo double free è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-1875: rilevato da OSS-Fuzz

MobileInstallation

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un utente locale può essere in grado di modificare parti protette del file system.

Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.

CVE-2021-1822: Bruno Virlet di The Grizzly Labs

Preferences

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un utente locale può essere in grado di modificare parti protette del file system.

Descrizione: un problema di analisi nella gestione dei percorsi di directory è stato risolto attraverso una migliore convalida dei percorsi.

CVE-2021-1815: Zhipeng Huo (@R3dF09) e Yuebin Sun (@yuebinsun2020) di Tencent Security Xuanwu Lab (xlab.tencent.com)

CVE-2021-1739: Zhipeng Huo (@R3dF09) e Yuebin Sun (@yuebinsun2020) di Tencent Security Xuanwu Lab (xlab.tencent.com)

CVE-2021-1740: Zhipeng Huo (@R3dF09) e Yuebin Sun (@yuebinsun2020) di Tencent Security Xuanwu Lab (xlab.tencent.com)

Safari

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un utente locale può essere in grado di scrivere file arbitrari.

Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.

CVE-2021-1807: David Schütz (@xdavidhu)

Tailspin

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-1868: Tim Michaud di Zoom Communications

WebKit

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: l'elaborazione di contenuti web dannosi può causare un attacco di scripting cross-site.

Descrizione: un problema di convalida dell'input è stato risolto attraverso una migliore convalida dell'input.

CVE-2021-1825: Alex Camboe di Aon's Cyber Solutions

WebKit

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-1817: zhunki

WebKit

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: l'elaborazione di contenuti web dannosi può causare il cross-site scripting universale.

Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.

CVE-2021-1826: un ricercatore anonimo

WebKit

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: l'elaborazione di contenuti web dannosi può causare la divulgazione della memoria dei processi.

Descrizione: un problema di inizializzazione della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-1820: André Bargull

WebKit Storage

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: l'elaborazione di un contenuto web pericoloso potrebbe causare l'esecuzione di codice arbitrario. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-30661: yangkang (@dnpushme) di 360 ATA

WebRTC

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

Descrizione: un utente malintenzionato collegato in remoto può essere in grado di causare l'arresto imprevisto del sistema o danneggiare la memoria del kernel.

CVE-2020-7463: Megan2013678

Wi-Fi

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un problema logico è stato risolto attraverso una migliore gestione dello stato

Descrizione: un overflow del buffer può causare l'esecuzione di codice arbitrario.

CVE-2021-1770: Jiska Classen (@naehrdine) di Secure Mobile Networking Lab, TU Darmstadt

Altri riconoscimenti

AirDrop

Ringraziamo @maxzks per l'assistenza.

CoreAudio

Ringraziamo un ricercatore anonimo per l'assistenza.

CoreCrypto

Ringraziamo Andy Russon di Orange Group per l'assistenza.

File Bookmark

Ringraziamo un ricercatore anonimo per l'assistenza.

Foundation

Ringraziamo CodeColorist di Ant-Financial LightYear Labs per l'assistenza.

Kernel

Ringraziamo Antonio Frighetto del Politecnico di Milano, GRIMM, Keyu Man, Zhiyun Qian, Zhongjie Wang, Xiaofeng Zheng, Youjun Huang, Haixin Duan, Mikko Kenttälä (@Turmio_) di SensorFu, Proteas e Tielei Wang di Pangu Lab per l'assistenza.

Security

Ringraziamo Xingwei Lin di Ant Security Light-Year Lab e john (@nyan_satan) per l'assistenza.

sysdiagnose

Ringraziamo Tim Michaud (@TimGMichaud) di Leviathan per l'assistenza.

WebKit

Ringraziamo Emilio Cobos Álvarez di Mozilla per l'assistenza.