Informazioni sui contenuti di sicurezza di watchOS 10.5

In questo documento vengono descritti i contenuti di sicurezza di watchOS 10.5.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle nuove versioni alla pagina Versioni di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

watchOS 10.5

Apple Neural Engine

Disponibile per dispositivi con Apple Neural Engine: Apple Watch Series 9 e Apple Watch Ultra 2

Impatto: un utente malintenzionato locale potrebbe causare un arresto imprevisto del sistema.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2024-27826: Minghao Lin e Ye Zhang (@VAR10CK) di Baidu Security

AppleAVD

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app potrebbe causare l'arresto improvviso del sistema

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)

AppleMobileFileIntegrity

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un utente malintenzionato potrebbe accedere ai dati degli utenti

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2024-27816: Mickey Jin (@patch1t)

Core Data

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: un problema è stato risolto con una migliore convalida delle variabili ambientali.

CVE-2024-27805: Kirin (@Pwnrin) e 小来来 (@Smi1eSEC)

Disk Images

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app può essere in grado di elevare i privilegi.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-27832: un ricercatore anonimo

Foundation

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app può essere in grado di elevare i privilegi.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-27801: CertiK SkyFall Team

IOSurface

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: il problema è stato risolto migliorando la gestione della memoria.

CVE-2024-27828: Pan ZhenPeng (@Peterpan0927) di STAR Labs SG Pte. Ltd.

Kernel

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un utente malintenzionato che ha già ottenuto l'esecuzione del codice kernel può essere in grado di bypassare le protezioni della memoria del kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2024-27840: un ricercatore anonimo

Kernel

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2024-27815: un ricercatore anonimo e Joseph Ravichandran (@0xjprx) di MIT CSAIL

Kernel

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un utente malintenzionato in una posizione privilegiata sulla rete può essere in grado di eseguire lo spoofing dei pacchetti di rete.

Descrizione: una race condition è stata risolta attraverso un blocco migliore.

CVE-2024-27823: Prof. Benny Pinkas della Bar-Ilan University, Prof. Amit Klein della Hebrew University ed EP

libiconv

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app può essere in grado di elevare i privilegi.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-27811: Nick Wellnhofer

Mail

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un utente malitenzionato che può accedere fisicamente potrebbe divulgare le credenziali per l'account di Mail.

Descrizione: un problema di autenticazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2024-23251: Gil Pedersen

Mail

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'email pericolosa potrebbe avviare chiamate FaceTime senza autorizzazione dell'utente.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-23282: Dohyun Lee (@l33d0hyun)

Maps

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.

Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.

CVE-2024-27810: LFY@secsys dell'Università Fudan di Shangai

Messages

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: l'elaborazione di un messaggio pericoloso potrebbe causare un'interruzione del servizio.

Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.

CVE-2024-27800: Daniel Zajork e Joshua Zajork

Phone

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: una persona con accesso fisico a un dispositivo può essere in grado di visualizzare le informazioni di contatto dalla schermata di blocco.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2024-27814: Dalibor Milanovic

RemoteViewServices

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un utente malintenzionato potrebbe accedere ai dati degli utenti

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2024-27816: Mickey Jin (@patch1t)

Shortcuts

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'abbreviazione potrebbe esporre dati sensibili dell'utente senza consenso.

Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.

CVE-2024-27821: Kirin (@Pwnrin), zbleet e Csaba Fitzl (@theevilbit) di Kandji

Spotlight

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: il problema è stato risolto attraverso una migliore sanitizzazione dell'ambiente.

CVE-2024-27806

Transparency

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: questo problema è stato risolto con una nuova autorizzazione.

CVE-2024-27884: Mickey Jin (@patch1t)

WebKit

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un utente malintenzionato con capacità arbitraria di lettura e scrittura potrebbe riuscire a bypassare l'autenticazione del puntatore

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-27834: Manfred Paul (@_manfp) in collaborazione con Zero Day Initiative di Trend Micro

WebKit

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: una pagina web dannosa potrebbe essere in grado di creare una rappresentazione univoca dell'utente.

Descrizione: il problema è stato risolto mediante l'aggiunta di ulteriore logica.

CVE-2024-27838: Emilio Cobos di Mozilla

WebKit

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto migliorando la gestione della memoria.

CVE-2024-27808: Lukas Bernhard di CISPA Helmholtz Center for Information Security

WebKit

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto con migliori controlli dei limiti.

CVE-2024-27851: Nan Wang (@eternalsakura13) di 360 Vulnerability Research Institute

WebKit

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un utente malintenzionato con funzionalità di lettura e scrittura arbitraria potrebbe riuscire a bypassare l'autenticazione del puntatore.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-27834: Manfred Paul (@_manfp) in collaborazione con Zero Day Initiative di Trend Micro

WebKit Canvas

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: una pagina web dannosa potrebbe essere in grado di creare una rappresentazione univoca dell'utente.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2024-27830: Joe Rutkowski (@Joe12387) di Crawless e @abrahamjuliot

WebKit Web Inspector

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto migliorando la gestione della memoria.

CVE-2024-27820: Jeff Johnson di underpassapp.com

Altri riconoscimenti

App Store

Ringraziamo un ricercatore anonimo per l'assistenza.

AppleMobileFileIntegrity

Ringraziamo Mickey Jin (@patch1t) per l'assistenza.

CoreHAP

Ringraziamo Adrian Cable per l'assistenza.

Disk Images

Ringraziamo Mickey Jin (@patch1t) per l'assistenza.

HearingCore

Ringraziamo un ricercatore anonimo per l'assistenza.

ImageIO

Ringraziamo un ricercatore anonimo per l'assistenza.

Managed Configuration

Ringraziamo 遥遥领先 (@晴天组织) per l'assistenza.

Siri

Ringraziamo Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology Bhopal India per l'assistenza.