Informazioni sui contenuti di sicurezza di watchOS 3.1.3

In questo documento vengono descritti i contenuti di sicurezza di watchOS 3.1.3.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle nuove versioni alla pagina Aggiornamenti di sicurezza Apple.

Per ulteriori informazioni sulla sicurezza, visita la pagina relativa alla sicurezza dei prodotti Apple. Puoi codificare le comunicazioni con Apple usando la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano ID CVE per indicare le vulnerabilità.

watchOS 3.1.3

Data di rilascio: 23 gennaio 2017

Account

Disponibile per: tutti i modelli di Apple Watch

Impatto: la disinstallazione di un'app impedisce la reimpostazione delle impostazioni di autorizzazione.

Descrizione: un problema impediva la reimpostazione delle autorizzazioni in seguito alla disinstallazione di un'app. Il problema è stato risolto migliorando la sanitizzazione.

CVE-2016-7651: Ju Zhu e Lilang Wu di Trend Micro

Server APN

Disponibile per: tutti i modelli di Apple Watch

Impatto: un malintenzionato in una posizione privilegiata nella rete potrebbe monitorare l'attività di un utente.

Descrizione: un certificato client veniva inviato in testo normale. Il problema è stato risolto attraverso una migliore gestione dei certificati.

CVE-2017-2383: Matthias Wachs e Quirin Scheitle di Technical University Munich (TUM)

Voce aggiunta il 28 marzo 2017

Audio

Disponibile per: tutti i modelli di Apple Watch

Impatto: l'elaborazione di un file pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2016-7658: Haohao Kong di Keen Lab (@keen_lab) di Tencent

CVE-2016-7659: Haohao Kong di Keen Lab (@keen_lab) di Tencent

CoreFoundation

Disponibile per: tutti i modelli di Apple Watch

Impatto: l'elaborazione di stringhe pericolose potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: si verificava un problema di danneggiamento della memoria nell'elaborazione delle stringhe. Il problema è stato risolto attraverso un migliore controllo dei limiti.

CVE-2016-7663: un ricercatore anonimo

CoreGraphics

Disponibile per: tutti i modelli di Apple Watch

Impatto: l'elaborazione di un file di font pericoloso può causare la chiusura improvvisa dell'applicazione.

Descrizione: un problema di dereferenziazione del puntatore null è stato risolto attraverso una migliore convalida dell'input.

CVE-2016-7627: TRAPMINE Inc. & Meysam Firouzi @R00tkitSMM

CoreMedia Playback

Disponibile per: tutti i modelli di Apple Watch

Impatto: l'elaborazione di un file .mp4 pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-7588: dragonltx di Huawei 2012 Laboratories

CoreText

Disponibile per: tutti i modelli di Apple Watch

Impatto: l'elaborazione di un file di caratteri pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: si verificavano diversi problemi di danneggiamento della memoria nella gestione dei file di font. Questi problemi sono stati risolti attraverso una migliore verifica dei limiti.

CVE-2016-7595: riusksk(泉哥) di Tencent Security Platform Department

Immagini del disco

Disponibile per: tutti i modelli di Apple Watch

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2016-7616: daybreaker@Minionz in collaborazione con Zero Day Initiative di Trend Micro

FontParser

Disponibile per: tutti i modelli di Apple Watch

Impatto: l'elaborazione di un file di caratteri pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: si verificavano diversi problemi di danneggiamento della memoria nella gestione dei file di font. Questi problemi sono stati risolti attraverso una migliore verifica dei limiti.

CVE-2016-4691: riusksk(泉哥) di Tencent Security Platform Department

FontParser

Disponibile per: tutti i modelli di Apple Watch

Impatto: l'elaborazione di un file di caratteri pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: si verificava un overflow del buffer nella gestione dei file font. Il problema è stato risolto attraverso un migliore controllo dei limiti.

CVE-2016-4688: Simon Huang dell'azienda Alipay, thelongestusernameofall@gmail.com

ICU

Disponibile per: tutti i modelli di Apple Watch

Impatto: l'elaborazione di un contenuto web pericoloso può causare l'esecuzione di codice arbitrario

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-7594: André Bargull

ImageIO

Disponibile per: tutti i modelli di Apple Watch

Impatto: un malintenzionato collegato in remoto può causare una perdita di memoria.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso il miglioramento del controllo dei limiti.

CVE-2016-7643: Yangkang (@dnpushme) di Qihoo360 Qex Team

IOHIDFamily

Disponibile per: tutti i modelli di Apple Watch

Impatto: un'applicazione locale con privilegi di sistema può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-7591: daybreaker di Minionz

IOKit

Disponibile per: tutti i modelli di Apple Watch

Impatto: un'applicazione può essere in grado di leggere la memoria del kernel

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2016-7657: Keen Lab in collaborazione con Zero Day Initiative di Trend Micro

IOKit

Disponibile per: tutti i modelli di Apple Watch

Impatto: un utente locale può essere in grado di determinare il layout della memoria del kernel.

Descrizione: un problema di memoria condivisa è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-7714: Qidan He (@flanker_hqd) di KeenLab in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiunta il 25 gennaio 2017

Kernel

Disponibile per: tutti i modelli di Apple Watch

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida dell'input.

CVE-2016-7606: Chen Qin di Topsec Alpha Team (topsec.com), @cocoahuke

CVE-2016-7612: Ian Beer di Google Project Zero

Kernel

Disponibile per: tutti i modelli di Apple Watch

Impatto: un'applicazione può essere in grado di leggere la memoria del kernel

Descrizione: un problema di inizializzazione insufficiente è stato risolto tramite inizializzazione corretta della memoria restituita allo spazio utente.

CVE-2016-7607: Brandon Azad

Kernel

Disponibile per: tutti i modelli di Apple Watch

Impatto: un utente locale può causare un'interruzione del servizio

Descrizione: un DoS è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-7615: National Cyber Security Centre (NCSC) nel Regno Unito

Kernel

Disponibile per: tutti i modelli di Apple Watch

Impatto: un utente locale potrebbe riuscire a causare una chiusura improvvisa del sistema o l'esecuzione di codice arbitrario nel kernel

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-7621: Ian Beer di Google Project Zero

Kernel

Disponibile per: tutti i modelli di Apple Watch

Impatto: un utente locale può essere in grado di ottenere privilegi root.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2016-7637: Ian Beer di Google Project Zero

Kernel

Disponibile per: tutti i modelli di Apple Watch

Impatto: un'applicazione locale con privilegi di sistema può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-7644: Ian Beer di Google Project Zero

Kernel

Disponibile per: tutti i modelli di Apple Watch

Impatto: un'applicazione può essere in grado di causare un'interruzione del servizio.

Descrizione: un DoS è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-7647: Lufeng Li di Qihoo 360 Vulcan Team

Voce aggiunta il 17 maggio 2017

Kernel

Disponibile per: tutti i modelli di Apple Watch

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-2370: Ian Beer di Google Project Zero

Kernel

Disponibile per: tutti i modelli di Apple Watch

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-2360: Ian Beer di Google Project Zero

libarchive

Disponibile per: tutti i modelli di Apple Watch

Impatto: un malintenzionato locale può essere in grado di sovrascrivere i file esistenti.

Descrizione: si verificava un problema di convalida nella gestione dei collegamenti simbolici. Il problema è stato risolto attraverso una migliore convalida dei collegamenti simbolici.

CVE-2016-7619: un ricercatore anonimo

libarchive

Disponibile per: tutti i modelli di Apple Watch

Impatto: l'estrazione di un archivio pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-8687: Agostino Sarubbo di Gentoo

Profili

Disponibile per: tutti i modelli di Apple Watch

Impatto: l'apertura di un certificato pericoloso potrebbe causare l'esecuzione di codice arbitrario.

Descrizione: si verificava un problema di danneggiamento della memoria nella gestione dei profili dei certificati. Il problema è stato risolto attraverso una migliore convalida dell'input.

CVE-2016-7626: Maksymilian Arciemowicz (cxsecurity.com)

Sicurezza

Disponibile per: tutti i modelli di Apple Watch

Impatto: un malintenzionato può essere in grado di sfruttare le debolezze dell'algoritmo crittografico 3DES.

Descrizione: 3DES è stato rimosso come crittografia predefinita.

CVE-2016-4693: Gaëtan Leurent e Karthikeyan Bhargavan di INRIA Parigi

Sicurezza

Disponibile per: tutti i modelli di Apple Watch

Impatto: un malintenzionato con una posizione privilegiata in rete può causare un DoS ("Denial of Service").

Descrizione: si verificava un problema di convalida nella gestione degli URL del responder OCSP. Il problema è stato risolto verificando lo stato della revoca OCSP dopo la convalida CA e limitando il numero di richieste OCSP per certificato.

CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)

Sicurezza

Disponibile per: tutti i modelli di Apple Watch

Impatto: i certificati potrebbero essere inaspettatamente valutati come attendibili.

Descrizione: si verificava un problema di valutazione dei certificati nella convalida dei certificati. Il problema è stato risolto attraverso un'ulteriore convalida dei certificati.

CVE-2016-7662: Apple

syslog

Disponibile per: tutti i modelli di Apple Watch

Impatto: un utente locale può essere in grado di ottenere privilegi root.

Descrizione: un problema nei riferimenti dei nomi mach port è stato risolto attraverso una migliore convalida.

CVE-2016-7660: Ian Beer di Google Project Zero

Sblocca con iPhone

Disponibile per: tutti i modelli di Apple Watch

Impatto: Apple Watch potrebbe sbloccarsi quando non al polso dell'utente.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2017-2352: Ashley Fernandez di raptAware Pty Ltd

Voce aggiornata il 25 gennaio 2017

WebKit

Disponibile per: tutti i modelli di Apple Watch

Impatto: l'elaborazione di un contenuto web pericoloso può causare l'esecuzione di codice arbitrario

Descrizione: un problema di danneggiamento della memoria è stato risolto con una migliore gestione dello stato.

CVE-2016-7589: Apple

WebKit

Disponibile per: tutti i modelli di Apple Watch

Impatto: l'elaborazione di contenuti web pericolosi può causare l'esfiltrazione dei dati da più origini.

Descrizione: si verificavano diversi problemi di convalida nella gestione del caricamento della pagina. Il problema è stato risolto attraverso una migliore logica.

CVE-2017-2363: lokihardt di Google Project Zero

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: