Informazioni sui contenuti di sicurezza di watchOS 10

In questo documento vengono descritti i contenuti di sicurezza di watchOS 10.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle nuove versioni alla pagina Versioni di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

watchOS 10

Data di rilascio: 18 settembre 2023

App Store

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un utente malintenzionato collegato in remoto potrebbe essere in grado di uscire dalla sandbox Contenuti web

Descrizione: il problema è stato risolto attraverso una migliore gestione dei protocolli.

CVE-2023-40448: w0wbox

Apple Neural Engine

Disponibile per dispositivi con Apple Neural Engine: Apple Watch Series 9 e Apple Watch Ultra 2

Impatto: un'app potrebbe essere in grado di eseguire codice arbitrario con privilegi kernel

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-40432: Mohamed GHANNAM (@_simo36)

CVE-2023-41174: Mohamed GHANNAM (@_simo36)

CVE-2023-40409: Ye Zhang (@VAR10CK) di Baidu Security

CVE-2023-40412: Mohamed GHANNAM (@_simo36)

Apple Neural Engine

Disponibile per dispositivi con Apple Neural Engine: Apple Watch Series 9 e Apple Watch Ultra 2

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2023-41071: Mohamed GHANNAM (@_simo36)

Apple Neural Engine

Disponibile per dispositivi con Apple Neural Engine: Apple Watch Series 9 e Apple Watch Ultra 2

Impatto: un'app potrebbe rivelare la memoria kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-40399: Mohamed GHANNAM (@_simo36)

Apple Neural Engine

Disponibile per dispositivi con Apple Neural Engine: Apple Watch Series 9 e Apple Watch Ultra 2

Impatto: un'app potrebbe rivelare la memoria kernel.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2023-40410: Tim Michaud (@TimGMichaud) di Moveworks.ai

AuthKit

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.

CVE-2023-32361: Csaba Fitzl (@theevilbit) di Offensive Security

Bluetooth

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un utente malintenzionato nelle immediate vicinanze può causare una scrittura al di fuori dei limiti circoscritta.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-35984: zer0k

bootp

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.

Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.

CVE-2023-41065: Adam M., Noah Roskin-Frazee e Professor Jason Lau (ZeroClicks.ai Lab)

CFNetwork

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app potrebbe non riuscire ad applicare il protocollo App Transport Security.

Descrizione: il problema è stato risolto attraverso una migliore gestione dei protocolli.

CVE-2023-38596: Will Brattain di Trail of Bits

CoreAnimation

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: l'elaborazione di contenuti web potrebbe causare l'interruzione del servizio.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-40420: 이준성(Junsung Lee) di Cross Republic

Core Data

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app potrebbe bypassare le preferenze sulla privacy

Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.

CVE-2023-40528: Kirin (@Pwnrin) di NorthSea

Voce aggiunta il 22 gennaio 2024

Dev Tools

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app potrebbe riuscire ad acquisire privilegi elevati

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2023-32396: Mickey Jin (@patch1t)

Game Center

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app potrebbe accedere ai contatti.

Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.

CVE-2023-40395: Csaba Fitzl (@theevilbit) di Offensive Security

IOUserEthernet

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: il problema è stato risolto migliorando la gestione della memoria.

CVE-2023-40396: Certik Skyfall Team

Voce aggiunta il 16 luglio 2024

Kernel

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un utente malintenzionato che ha già ottenuto l'esecuzione del codice kernel può essere in grado di bypassare le mitigazioni della memoria del kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-41981: Linus Henze di Pinauten GmbH (pinauten.de)

Kernel

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) di STAR Labs SG Pte. Ltd.

Kernel

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: un problema di autorizzazioni è stato risolto attraverso una migliore convalida.

CVE-2023-40429: Michael (Biscuit) Thomas e 张师傅(@京东蓝军)

libpcap

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un utente remoto potrebbe causare la chiusura improvvisa di un'app o l'esecuzione di codice arbitrario

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2023-40400: Sei K.

libxpc

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app potrebbe eliminare file per i quali non dispone dell'autorizzazione.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2023-40454: Zhipeng Huo (@R3dF09) di Tencent Security Xuanwu Lab (xlab.tencent.com)

libxpc

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app potrebbe accedere ai dati protetti degli utenti.

Descrizione: un problema di autorizzazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2023-41073: Zhipeng Huo (@R3dF09) di Tencent Security Xuanwu Lab (xlab.tencent.com)

libxslt

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: l'elaborazione di contenuti web potrebbe divulgare informazioni sensibili.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-40403: Dohyun Lee (@l33d0hyun) di PK Security

Maps

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.

Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.

CVE-2023-40427: Adam M. e Wojciech Regula di SecuRing (wojciechregula.blog)

Maps

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2023-42957: Adam M. e Ron Masas di BreakPoint Security Research

Voce aggiunta il 16 luglio 2024

MobileStorageMounter

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un utente può essere in grado di rendere più elevati i privilegi.

Descrizione: un problema di accesso è stato risolto attraverso migliori restrizioni di accesso.

CVE-2023-41068: Mickey Jin (@patch1t)

Passcode

Disponibile per: Apple Watch Ultra (tutti i modelli)

Impatto: un Apple Watch Ultra potrebbe non bloccarsi quando si utilizza l'app Profondità.

Descrizione: un problema di autenticazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2023-40418: serkan Gurbuz

Photos

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app potrebbe accedere alle foto modificate salvate in una directory temporanea.

Descrizione: il problema è stato risolto attraverso una migliore protezione dei dati.

CVE-2023-42949: Kirin (@Pwnrin)

Voce aggiunta il 16 luglio 2024

Photos Storage

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app potrebbe accedere alle foto modificate salvate in una directory temporanea.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-40456: Kirin (@Pwnrin)

CVE-2023-40520: Kirin (@Pwnrin)

Safari

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app potrebbe identificare le altre applicazioni installate dall'utente.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-35990: Adriatik Raci di Sentry Cybersecurity

Safari

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: l'accesso a un sito web che presenta contenuti dannosi potrebbe causare lo spoofing dell'interfaccia utente.

Descrizione: un problema di gestione delle finestre è stato risolto attraverso una migliore gestione dello stato.

CVE-2023-40417: Narendra Bhati (twitter.com/imnarendrabhati) di Suma Soft Pvt. Ltd, Pune (India)

Voce aggiornata il 2 gennaio 2024

Sandbox

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app potrebbe sovrascrivere i file arbitrari.

Descrizione: il problema è stato risolto con migliori controlli dei limiti.

CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)

Share Sheet

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app potrebbe accedere ai dati sensibili registrati quando un utente condivide un link.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2023-41070: Kirin (@Pwnrin)

Simulator

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app potrebbe riuscire ad acquisire privilegi elevati

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-40419: Arsenii Kostromin (0x3c3e)

StorageKit

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app potrebbe leggere file arbitrari.

Descrizione: il problema è stato risolto attraverso una migliore convalida dei link simbolici.

CVE-2023-41968: Mickey Jin (@patch1t) e James Hutchins

TCC

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-40424: Arsenii Kostromin (0x3c3e), Joshua Jewett (@JoshJewett33) e Csaba Fitzl (@theevilbit) di Offensive Security

WebKit

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario

Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.

WebKit Bugzilla: 249451

CVE-2023-39434: Francisco Alonso (@revskills) e Dohyun Lee (@l33d0hyun) di PK Security

WebKit Bugzilla: 258992

CVE-2023-40414: Francisco Alonso (@revskills)

Voce aggiornata il 2 gennaio 2024

WebKit

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario

Descrizione: il problema è stato risolto con controlli migliori.

WebKit Bugzilla: 256551

CVE-2023-41074: 이준성(Junsung Lee) di Cross Republic e Jie Ding(@Lime) di HKUS3 Lab

Voce aggiornata il 2 gennaio 2024

WebKit

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto migliorando la gestione della memoria.

WebKit Bugzilla: 239758

CVE-2023-35074: Ajou University Abysslab Dong Jun Kim(@smlijun) e Jong Seong Kim(@nevul37)

Voce aggiornata il 2 gennaio 2024

Altri riconoscimenti

Airport

Ringraziamo Adam M., Noah Roskin-Frazee e Professor Jason Lau (ZeroClicks.ai Lab) per l'assistenza.

Audio

Ringraziamo Mickey Jin (@patch1t) per l'assistenza.

Bluetooth

Ringraziamo Jianjun Dai e Guang Gong del 360 Vulnerability Research Institute per l'assistenza.

Books

Ringraziamo Aapo Oksman di Nixu Cybersecurity per l'assistenza.

Control Center

Ringraziamo Chester van den Bogaard per l'assistenza.

Data Detectors UI

Ringraziamo Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College Of Technology Bhopal per l'assistenza.

Find My

Ringraziamo Cher Scarlett per l'assistenza.

Home

Ringraziamo Jake Derouin (jakederouin.com) per l'assistenza.

IOUserEthernet

Ringraziamo Certik Skyfall Team per l'assistenza.

Voce aggiunta il 2 gennaio 2024

Kernel

Ringraziamo Bill Marczak di The Citizen Lab della Munk School della University of Toronto, Maddie Stone del Threat Analysis Group di Google e 永超 王 per l'assistenza.

libxml2

Ringraziamo OSS-Fuzz e Ned Williamson di Google Project Zero per l'assistenza.

libxpc

Ringraziamo un ricercatore anonimo per l'assistenza.

libxslt

Ringraziamo Dohyun Lee (@l33d0hyun) di PK Security, OSS-Fuzz e Ned Williamson di Google Project Zero per l'assistenza.

NSURL

Ringraziamo Zhanpeng Zhao (行之) e 糖豆爸爸 (@晴天组织) per l'assistenza.

Photos

Ringraziamo Anatolii Kozlov, Dawid Pałuska, Lyndon Cornelius e Paul Lurin per l'assistenza.

Voce aggiornata il 16 luglio 2024

Photos Storage

Ringraziamo Wojciech Regula di SecuRing (wojciechregula.blog) per l'assistenza.

Power Services

Ringraziamo Mickey Jin (@patch1t) per l'assistenza.

Shortcuts

Ringraziamo Alfie CG, Christian Basting di Bundesamt für Sicherheit in der Informationstechnik, Cristian Dinca della “Tudor Vianu” National High School of Computer Science, Romania, Giorgos Christodoulidis, Jubaer Alnazi di TRS Group Of Companies, KRISHAN KANT DWIVEDI (@xenonx7) e Matthew Butler per l'assistenza.

Voce aggiornata il 24 aprile 2024

Software Update

Ringraziamo Omar Siman per l'assistenza.

StorageKit

Ringraziamo Mickey Jin (@patch1t) per l'assistenza.

WebKit

Ringraziamo Khiem Tran, Narendra Bhati From Suma Soft Pvt. Ltd. e un ricercatore anonimo per l'assistenza.

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: