Informazioni sui contenuti di sicurezza di watchOS 9.6

In questo documento vengono descritti i contenuti di sicurezza di watchOS 9.6.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle nuove versioni alla pagina Versioni di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

watchOS 9.6

Apple Neural Engine

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-34425: pattern-f (@pattern_F_) di Ant Security Light-Year Lab

Apple Neural Engine

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-38136: Mohamed GHANNAM (@_simo36)

CVE-2023-38580: Mohamed GHANNAM (@_simo36)

Find My

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app può essere in grado di leggere informazioni sensibili sulla posizione.

Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.

CVE-2023-32416: Wojciech Regula di SecuRing (wojciechregula.blog)

Kernel

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un utente remoto potrebbe causare l'arresto imprevisto del sistema o danneggiare la memoria del kernel

Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.

CVE-2023-38590: Zweig di Kunlun Lab

Kernel

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2023-38598: Mohamed GHANNAM (@_simo36)

Kernel

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di overflow dei numeri interi è stato risolto attraverso una migliore convalida dell'input.

CVE-2023-36495: 香农的三蹦子 di Pangu Lab

Kernel

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2023-38604: un ricercatore anonimo

Kernel

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-32734: Pan ZhenPeng (@Peterpan0927) di STAR Labs SG Pte. Ltd.

CVE-2023-32441: Peter Nguyễn Vũ Hoàng (@peternguyen14) di STAR Labs SG Pte. Ltd.

Kernel

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2023-32381: un ricercatore anonimo

CVE-2023-32433: Zweig di Kunlun Lab

CVE-2023-35993: Kaitao Xie e Xiaolong Bai di Alibaba Group

Kernel

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app potrebbe modificare lo stato sensibile del kernel. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente contro le versioni di iOS precedenti alla 15.7.1.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2023-38606: Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) e Boris Larin (@oct0xor) di Kaspersky

libxpc

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app potrebbe ottenere privilegi root

Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.

CVE-2023-38565: Zhipeng Huo (@R3dF09) di Tencent Security Xuanwu Lab (xlab.tencent.com)

libxpc

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app può essere in grado di causare l'interruzione del servizio.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2023-38593: Noah Roskin-Frazee

WebKit

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un sito web potrebbe essere in grado di tenere traccia delle informazioni sensibili degli utenti.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

WebKit Bugzilla: 257822

CVE-2023-38599: Hritvik Taneja, Jason Kim, Jie Jeff Xu, Stephan van Schaik, Daniel Genkin e Yuval Yarom

WebKit

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: l'elaborazione di un documento può causare un attacco di scripting cross-site.

Descrizione: il problema è stato risolto attraverso migliori controlli.

WebKit Bugzilla: 257299

CVE-2023-32445: Johan Carlsson (joaxcar)

WebKit

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario

Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.

WebKit Bugzilla: 257331

CVE-2023-38592: Narendra Bhati (twitter.com/imnarendrabhati) di Suma Soft Pvt. Ltd, Pune - India, Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina e Lorenzo Veronese di TU Wien

WebKit

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un sito web potrebbe essere in grado di bypassare la Same Origin Policy.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-38572: Narendra Bhati (twitter.com/imnarendrabhati) di Suma Soft Pvt. Ltd, Pune - India

WebKit

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-38594: Yuhao Hu

CVE-2023-38595: un ricercatore anonimo, Jiming Wang, Jikai Ren

CVE-2023-38600: anonimo in collaborazione con Zero Day Initiative di Trend Micro

WebKit

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-38611: Francisco Alonso (@revskills)

WebKit

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: l'elaborazione di un contenuto web può causare l'esecuzione di codice arbitrario. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-37450: un ricercatore anonimo

WebKit

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-42866: Francisco Alonso (@revskills) e Junsung Lee

WebKit Web Inspector

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: l'elaborazione di contenuti web potrebbe divulgare informazioni sensibili.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-38133: YeongHyeon Choi (@hyeon101010)

Altri riconoscimenti

WebKit

Ringraziamo Narendra Bhati (twitter.com/imnarendrabhati) di Suma Soft Pvt. Ltd, Pune - India per l'assistenza.