Informazioni sui contenuti di sicurezza di watchOS 10.3
In questo documento vengono descritti i contenuti di sicurezza di watchOS 10.3.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma problemi relativi alla sicurezza prima di aver completato un'indagine approfondita e preparato le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle nuove versioni alla pagina Versioni di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
watchOS 10.3
Data di rilascio 22 gennaio 2024
Apple Neural Engine
Disponibile per dispositivi con Apple Neural Engine: Apple Watch Series 9 e Apple Watch Ultra 2
Impatto: un'app potrebbe essere in grado di eseguire codice arbitrario con privilegi kernel
Descrizione: il problema è stato risolto migliorando la gestione della memoria.
CVE-2024-23212: Ye Zhang di Baidu Security
CoreCrypto
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un utente malintenzionato potrebbe riuscire a decrittografare i testi cifrati con chiave RSA PKCS#1 v1.5 legacy senza disporre della chiave privata
Descrizione: un problema side-channel che sfrutta il tempo è stato risolto migliorando il calcolo del tempo costante nelle funzioni di crittografia.
CVE-2024-23218: Clemens Lang
Kernel
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto migliorando la gestione della memoria.
CVE-2024-23208: fmyy(@binary_fmyy) e lime del TIANGONG Team di Legendsec presso QI-ANXIN Group
libxpc
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe causare l'interruzione del servizio.
Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.
CVE-2024-23201: Koh M. Nakagawa di FFRI Security, Inc. e un ricercatore anonimo
Voce aggiunta il 7 marzo 2024
Mail Search
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti
Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.
CVE-2024-23207: Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab) e Ian de Marcellus
NSSpellChecker
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti
Descrizione: un problema di privacy è stato risolto migliorando la gestione dei file.
CVE-2024-23223: Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab)
Safari
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'attività di navigazione privata di un utente potrebbe essere visibile in Impostazioni
Descrizione: un problema di privacy è stato risolto attraverso una migliore gestione delle preferenze dell'utente.
CVE-2024-23211: Mark Bowers
Shortcuts
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un comando rapido può essere in grado di utilizzare dati sensibili con determinate azioni senza richiedere l'autorizzazione dell'utente.
Descrizione: il problema è stato risolto attraverso maggiori controlli dei permessi.
CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)
Shortcuts
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe bypassare alcune preferenze sulla privacy
Descrizione: un problema di privacy è stato risolto attraverso una migliore gestione dei file temporanei.
CVE-2024-23217: Kirin (@Pwnrin)
TCC
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente
Descrizione: un problema è stato risolto migliorando la gestione dei file temporanei.
CVE-2024-23215: Zhongquan Li (@Guluisacat)
Time Zone
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe riuscire a visualizzare il numero di telefono di un utente nei log di sistema
Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.
CVE-2024-23210: Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab)
WebKit
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: una pagina web dannosa potrebbe essere in grado di acquisire l'impronta digitale dell'utente
Descrizione: un problema di accesso è stato risolto migliorando le restrizioni di accesso.
WebKit Bugzilla: 262699
CVE-2024-23206: un ricercatore anonimo
WebKit
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto migliorando la gestione della memoria.
WebKit Bugzilla: 266619
CVE-2024-23213: Wangtaiyu di Zhongfu info
WebKit
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un sito web dannoso può causare un comportamento multiorigine inaspettato.
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
WebKit Bugzilla: 265812
CVE-2024-23271: James Lee (@Windowsrcer)
Voce aggiunta il 24 aprile 2024
Altri riconoscimenti
NetworkExtension
Ringraziamo Nils Rollshausen per l'assistenza.
Voce aggiunta il 24 aprile 2024
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.