Informazioni sul contenuto di sicurezza di Watch OS 1.0.1
In questo documento viene descritto il contenuto di sicurezza di Watch OS 1.0.1.
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.
Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple leggi l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.
Quando possibile, vengono utilizzati ID CVE per fornire ulteriori informazioni sulle vulnerabilità.
Per informazioni su altri aggiornamenti di sicurezza consulta l'articolo Aggiornamenti di sicurezza Apple.
Watch OS 1.0.1
Certificate Trust Policy
Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impatto: è stato effettuato l'aggiornamento al Certificate Trust Policy.
Descrizione: il Certificate Trust Policy è stato aggiornato. L'elenco completo dei certificati può essere consultato al seguente indirizzo https://support.apple.com/kb/HT204873?viewlocale=it_IT.
FontParser
Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impatto: l'elaborazione di un file font dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema di corruzione della memoria nell'elaborazione dei file dei font. Questo problema è stato risolto attraverso un migliore controllo dei limiti.
ID CVE
CVE-2015-1093: Marc Schoenefeld
Foundation
Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impatto: un'applicazione che utilizza NSXMLParser può essere usata in modo scorretto per divulgare le informazioni.
Descrizione: si verifica un problema di entità XML esterne nella gestione dei contenuti XML da parte di NSXMLParser. Questo problema è stato risolto evitando il caricamento di entità esterne tra le origini.
ID CVE
CVE-2015-1092: Ikuya Fukumoto
IOHIDFamily
Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impatto: un'applicazione dannosa può determinare il layout della memoria del kernel.
Descrizione: si verifica un problema in IOHIDFamily che causa la divulgazione dei contenuti della memoria del kernel. Questo problema è stato risolto attraverso un migliore controllo dei limiti.
ID CVE
CVE-2015-1096: Ilja van Sprundel di IOActive
IOAcceleratorFamily
Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impatto: un'applicazione dannosa può determinare il layout della memoria del kernel.
Descrizione: si verifica un problema in IOAcceleratorFamily che causa la divulgazione dei contenuti della memoria del kernel. Questo problema è stato risolto rimuovendo codice non richiesto.
ID CVE
CVE-2015-1094: Cererdlong di Alibaba Mobile Security Team
Kernel
Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impatto: un'applicazione dannosa può riuscire a causare un DoS ("Denial of Service").
Descrizione: si verifica una condizione critica nella chiamata di sistema setreuid del kernel. Questo problema è stato risolto attraverso una migliore gestione dello stato.
ID CVE
CVE-2015-1099: Mark Mentovai di Google Inc.
Kernel
Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impatto: un malintenzionato con una posizione privilegiata in rete può reindirizzare il traffico utente a host arbitrari.
Descrizione: i reindirizzamenti ICMP sono stati abilitati di default. Questo problema è stato risolto disabilitando i reindirizzamenti ICMP.
ID CVE
CVE-2015-1103: Zimperium Mobile Security Labs
Kernel
Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impatto: un malintenzionato collegato in remoto può causare un DoS ("Denial of Service").
Descrizione: si verifica un comportamento non coerente dello stato nella gestione dei dati fuori banda TCP. Questo problema è stato risolto attraverso una migliore gestione dello stato.
ID CVE
CVE-2015-1105: Kenton Varda di Sandstorm.io
Kernel
Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impatto: un'applicazione dannosa può superare i privilegi usando un servizio compromesso destinato all'esecuzione con privilegi ridotti.
Descrizione: le chiamate di sistema setreuid e setregid non riescono a rimuovere in modo permanente i privilegi. Questo problema è stato risolto rimuovendo correttamente i privilegi.
ID CVE
CVE-2015-1117: Mark Mentovai di Google Inc.
Kernel
Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impatto: un malintenzionato collegato in remoto può bypassare i filtri di rete.
Descrizione: il sistema tratta alcuni pacchetti IPv6 da rete remota come fossero pacchetti locali. Questo problema è stato risolto rifiutando tali pacchetti.
ID CVE
CVE-2015-1104: Stephen Roettger del Google Security Team
Kernel
Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impatto: un malintenzionato con una posizione privilegiata in rete può causare un DoS ("Denial of Service").
Descrizione: si verifica un comportamento non coerente dello stato nell'elaborazione delle intestazioni TCP. Questo problema è stato risolto attraverso una migliore gestione dello stato.
ID CVE
CVE-2015-1102: Andrey Khudyakov e Maxim Zhuravlev di Kaspersky Lab
Kernel
Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impatto: un'applicazione dannosa può causare l'arresto imprevisto del sistema o leggere la memoria del kernel.
Descrizione: si verifica un problema di accesso alla memoria fuori dai limiti nel kernel. Questo problema è stato risolto attraverso una migliore gestione della memoria.
ID CVE
CVE-2015-1100: Maxime Villard di m00nbsd
Kernel
Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verifica un problema di danneggiamento della memoria nel kernel. Questo problema è stato risolto attraverso una migliore gestione della memoria.
ID CVE
CVE-2015-1101: lokihardt@ASRT collaboratore della Zero Day Initiative di HP
Secure Transport
Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impatto: un malintenzionato con una posizione privilegiata può intercettare le connessioni TLS/SSL.
Descrizione: Secure Transport accetta chiavi RSA temporanee brevi, che di solito vengono usate solo nelle suite di crittografia RSA con potenza di esportazione, su connessioni che usano le suite di crittografia RSA con piena potenza. Questo problema, noto come FREAK, riguarda solo le connessioni ai server che supportano suite di crittografia RSA con potenza di esportazione ed è stato risolto rimuovendo il supporto per le chiavi RSA temporanee.
ID CVE
CVE-2015-1067: Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti e Jean Karim Zinzindohoue di Prosecco presso Inria Paris
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.