Informazioni sui contenuti di sicurezza di watchOS 2

In questo documento vengono descritti i contenuti di sicurezza di sicurezza di watchOS 2.

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni consulta il sito web sulla sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple leggi l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, vengono utilizzati ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza consulta l'articolo Aggiornamenti di sicurezza Apple.

watchOS 2

  • Apple Pay

    Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impatto: alcune carte possono consentire a un terminale di recuperare informazioni limitate sulle transazioni recenti durante l'esecuzione di un pagamento.

    Descrizione: la funzionalità log delle transazioni è stata abilitata in determinate configurazioni. Questo problema viene risolto rimuovendo la funzionalità log delle transazioni.

    ID CVE

    CVE-2015-5916

  • Audio

    Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impatto: la riproduzione di un file audio pericoloso può causare la chiusura improvvisa dell'applicazione.

    Descrizione: si verifica un problema di danneggiamento della memoria nella gestione dei file audio. Questo problema viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-5862: YoungJin Yoon di Information Security Lab. (Adv.: Prof. Taekyoung Kwon), Yonsei University, Seul, Corea

  • Certificate Trust Policy

    Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impatto: viene effettuato l'aggiornamento al Certificate Trust Policy.

    Descrizione: il Certificate Trust Policy viene aggiornato. L'elenco completo dei certificati può essere consultato al seguente indirizzo https://support.apple.com/kb/HT204873?viewlocale=it_IT.

  • CFNetwork

    Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impatto: un malintenzionato con una posizione privilegiata può intercettare le connessioni TLS/SSL.

    Descrizione: si verifica un problema di convalida dei certificati in NSURL quando un certificato viene modificato. Questo problema viene risolto attraverso una migliore convalida dei certificati.

    ID CVE

    CVE-2015-5824: Timothy J. Wood di The Omni Group

  • CFNetwork

    Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impatto: la connessione a un proxy web pericoloso può impostare cookie pericolosi per un sito web.

    Descrizione: si verifica un problema nella gestione delle risposte di connessione proxy. Questo problema viene risolto rimuovendo l'intestazione Set-Cookie durante l'analisi della risposta di connessione.

    ID CVE

    CVE-2015-5841: Xiaofeng Zheng di Blue Lotus Team, Tsinghua University

  • CFNetwork

    Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impatto: un malintenzionato in una posizione privilegiata sulla rete può monitorare l'attività di un utente.

    Descrizione: si verifica un problema relativo ai cookie tra domini nella gestione dei domini di livello superiore. Questo problema viene risolto attraverso migliori restrizioni di creazione dei cookie.

    ID CVE

    CVE-2015-5885: Xiaofeng Zheng di Blue Lotus Team, Tsinghua University

  • CFNetwork

    Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impatto: una persona con accesso fisico a un dispositivo iOS può leggere i dati della cache dalle app di Apple.

    Descrizione: i dati della cache vengono codificati con una chiave protetta solo dall'UID dell'hardware. Questo problema viene risolto codificando i dati della cache con una chiave protetta dall'UID dell'hardware e con il codice dell'utente.

    ID CVE

    CVE-2015-5898: Andreas Kurtz di NESO Security Labs

  • CoreCrypto

    Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impatto: un malintenzionato può determinare una chiave privata.

    Descrizione: osservando molti tentativi di firma e decodifica, un malintenzionato può essere in grado di determinare la chiave privata RSA. Questo problema viene risolto attraverso migliori algoritmi di codifica.

  • CoreText

    Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impatto: l'elaborazione di un file di caratteri pericoloso può causare l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di danneggiamento della memoria nell'elaborazione dei file di font. Questo problema viene risolto attraverso una migliore convalida dell'input.

    ID CVE

    CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team

  • Data Detectors Engine

    Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impatto: l'elaborazione di un file di testo pericoloso può causare l'esecuzione di codice arbitrario.

    Descrizione: si verificano problemi di danneggiamento della memoria nell'elaborazione dei file di testo. Questi problemi sono stati risolti attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2015-5829: M1x7e1 di Safeye Team (www.safeye.org)

  • Strumenti per gli sviluppatori

    Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un problema di danneggiamento della memoria in dyld. Questo problema viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-5876: beist di grayhash

  • Immagini del disco

    Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impatto: un utente locale può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un problema di danneggiamento della memoria in DiskImages. Questo problema viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-5847: Filippo Bigarella, Luca Todesco

  • dyld

    Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impatto: un'applicazione può ignorare la firma del codice.

    Descrizione: si verifica un problema relativo alla convalida della firma del codice degli eseguibili. Questo problema viene risolto attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team

  • GasGauge

    Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impatto: un utente locale può eseguire codice arbitrario con privilegi kernel.

    Descrizione: si verificano diversi problemi di danneggiamento della memoria nel kernel. Questi problemi vengono risolti attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-5918: Apple

    CVE-2015-5919: Apple

  • ICU

    Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impatto: si verificano diverse vulnerabilità in ICU.

    Descrizione: si verificano diverse vulnerabilità nelle versioni di ICU precedenti alla 53.1.0. Questi problemi vengono risolti aggiornando ICU alla versione 55.1.

    ID CVE

    CVE-2014-8146

    CVE-2015-1205

  • IOAcceleratorFamily

    Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impatto: un'applicazione dannosa può determinare il layout della memoria del kernel.

    Descrizione: si verifica un problema che causa la divulgazione dei contenuti della memoria del kernel. Questo problema viene risolto attraverso un migliore controllo dei limiti.

    ID CVE

    CVE-2015-5834: Cererdlong di Alibaba Mobile Security Team

  • IOAcceleratorFamily

    Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impatto: un utente locale può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un problema di danneggiamento della memoria in IOAcceleratorFamily. Questo problema viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-5848: Filippo Bigarella

  • IOKit

    Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un problema di danneggiamento della memoria nel kernel. Questo problema viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-5844: Filippo Bigarella

    CVE-2015-5845: Filippo Bigarella

    CVE-2015-5846: Filippo Bigarella

  • IOMobileFrameBuffer

    Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impatto: un utente locale può eseguire codice arbitrario con privilegi di sistema.

    Descrizione: si verifica un problema di danneggiamento della memoria in IOMobileFrameBuffer. Questo problema viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-5843: Filippo Bigarella

  • IOStorageFamily

    Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impatto: un malintenzionato locale può leggere la memoria del kernel.

    Descrizione: si verifica un problema di inizializzazione della memoria nel kernel. Questo problema viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-5863: Ilja van Sprundel di IOActive

  • Kernel

    Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impatto: un utente locale può eseguire codice arbitrario con privilegi kernel.

    Descrizione: si verifica un problema di danneggiamento della memoria nel kernel. Questo problema viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-5868: Cererdlong di Alibaba Mobile Security Team

    CVE-2015-5896: Maxime Villard di m00nbsd

    CVE-2015-5903: CESG

  • Kernel

    Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impatto: un malintenzionato locale può controllare il valore dei cookie della pila.

    Descrizione: si verificano diverse falle nella generazione dei cookie della pila dello spazio dell'utente. Questo problema viene risolto attraverso una migliore generazione dei cookie della pila.

    ID CVE

    CVE-2013-3951: Stefan Esser

  • Kernel

    Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impatto: un processo locale può modificare altri processi senza verifiche dell'autorizzazione.

    Descrizione: si verifica un problema per cui ai processi root che usano l'API processor_set_tasks viene consentito di recuperare le porte delle attività di altri processi. Questo problema viene risolto attraverso verifiche dell'autorizzazione aggiuntive.

    ID CVE

    CVE-2015-5882: Pedro Vilaça, sulla base della ricerca originale di Ming-chieh Pan e Sung-ting Tsai; Jonathan Levin

  • Kernel

    Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impatto: un malintenzionato in un segmento LAN locale può disabilitare il routing IPv6.

    Descrizione: si verifica un problema di convalida insufficiente nella gestione degli annunci del router IPv6 che consente a un malintenzionato di impostare il limite hop a un valore arbitrario. Questo problema viene risolto imponendo un limite hop minimo.

    ID CVE

    CVE-2015-5869: Dennis Spindel Ljungmark

  • Kernel

    Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impatto: un utente locale può determinare il layout della memoria del kernel.

    Descrizione: si verifica un problema in XNU che causa la divulgazione della memoria del kernel. Questo problema viene risolto attraverso una migliore inizializzazione delle strutture della memoria del kernel.

    ID CVE

    CVE-2015-5842: beist di grayhash

  • Kernel

    Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impatto: un utente locale può causare un DoS ("Denial of Service").

    Descrizione: si verifica un problema nell'attivazione dell'unità HFS. Questo problema viene risolto attraverso verifiche della convalida aggiuntive.

    ID CVE

    CVE-2015-5748: Maxime Villard di m00nbsd

  • libpthread

    Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impatto: un utente locale può eseguire codice arbitrario con privilegi kernel.

    Descrizione: si verifica un problema di danneggiamento della memoria nel kernel. Questo problema viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-5899: Lufeng Li di Qihoo 360 Vulcan Team

  • PluginKit

    Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impatto: un'applicazione aziendale pericolosa può installare estensioni prima che l'applicazione venga considerata attendibile.

    Descrizione: si verifica un problema nella convalida delle estensioni durante l'installazione. Questo problema viene risolto attraverso una migliore verifica delle app.

    ID CVE

    CVE-2015-5837: Zhaofeng Chen, Hui Xue e Tao (Lenx) Wei di FireEye, Inc.

  • removefile

    Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impatto: l'elaborazione di dati pericolosi può causare la chiusura improvvisa dell'applicazione.

    Descrizione: si verifica un guasto dell'overflow nelle routine della divisione checkint. Questo problema viene risolto attraverso migliori routine della divisione.

    ID CVE

    CVE-2015-5840: un ricercatore anonimo

  • SQLite

    Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impatto: si verificano diverse vulnerabilità in SQLite 3.8.5.

    Descrizione: si verificano diverse vulnerabilità in SQLite 3.8.5. Questi problemi vengono risolti aggiornando SQLite alla versione 3.8.10.2.

    ID CVE

    CVE-2015-5895

  • tidy

    Disponibile per: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impatto: l'accesso a un sito web pericoloso può causare l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di danneggiamento della memoria in Tidy. Questo problema viene risolto attraverso una migliore gestione della memoria.

    ID CVE

    CVE-2015-5522: Fernando Muñoz di NULLGroup.com

    CVE-2015-5523: Fernando Muñoz di NULLGroup.com

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Data di pubblicazione: