Informazioni sui contenuti di sicurezza di watchOS 3.2

In questo documento vengono descritti i contenuti di sicurezza di watchOS 3.2.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle nuove versioni alla pagina Aggiornamenti di sicurezza Apple.

Per ulteriori informazioni sulla sicurezza, visita la pagina relativa alla Sicurezza dei prodotti Apple. Puoi codificare le comunicazioni con Apple usando la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano ID CVE per indicare le vulnerabilità.

watchOS 3.2

Rilasciato il 27 marzo 2017

Audio

Disponibile per: tutti i modelli di Apple Watch

Impatto: l'elaborazione di un file audio pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore convalida dell'input.

CVE-2017-2430: un ricercatore anonimo in collaborazione con Zero Day Initiative di Trend Micro

CVE-2017-2462: un ricercatore anonimo in collaborazione con Zero Day Initiative di Trend Micro

Carbon

Disponibile per: tutti i modelli di Apple Watch

Impatto: l'elaborazione di un file con estensione .dfont pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: si verifica un overflow del buffer nella gestione dei file font. Questo problema viene risolto attraverso un migliore controllo dei limiti.

CVE-2017-2379: riusksk (泉哥) di Tencent Security Platform Department, John Villamil, Doyensec

CoreGraphics

Disponibile per: tutti i modelli di Apple Watch

Impatto: l'elaborazione di un'immagine pericolosa può causare l'interruzione del servizio

Descrizione: una ricorsione infinita è stata risolta tramite una migliore gestione dello stato.

CVE-2017-2417: riusksk (泉哥) di Tencent Security Platform Department

CoreGraphics

Disponibile per: tutti i modelli di Apple Watch

Impatto: l'elaborazione di un contenuto web pericoloso può causare l'esecuzione di codice arbitrario

Descrizione: diversi problemi di danneggiamento della memoria vengono risolti attraverso una migliore convalida dell'input.

CVE-2017-2444: Mei Wang di 360 GearTeam

CoreText

Disponibile per: tutti i modelli di Apple Watch

Impatto: l'elaborazione di un file di caratteri pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore convalida dell'input.

CVE-2017-2435: John Villamil, Doyensec

CoreText

Disponibile per: tutti i modelli di Apple Watch

Impatto: l'elaborazione di un font pericoloso può causare la divulgazione dei contenuti della memoria.

Descrizione: un problema di lettura non nei limiti è stato risolto mediante una migliore convalida degli input.

CVE-2017-2450: John Villamil, Doyensec

CoreText

Disponibile per: tutti i modelli di Apple Watch

Impatto: l'elaborazione di un messaggio di testo dannoso può causare l'interruzione del servizio di un'applicazione.

Descrizione: un problema di esaurimento delle risorse è stato risolto attraverso una migliore convalida dell'input.

CVE-2017-2461: un ricercatore anonimo, Isaac Archambault di IDAoADI

FontParser

Disponibile per: tutti i modelli di Apple Watch

Impatto: l'elaborazione di un file di caratteri pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria vengono risolti attraverso una migliore convalida dell'input.

CVE-2017-2487: riusksk (泉哥) di Tencent Security Platform Department

CVE-2017-2406: riusksk (泉哥) di Tencent Security Platform Department

FontParser

Disponibile per: tutti i modelli di Apple Watch

Impatto: l'elaborazione di un file di caratteri pericoloso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria vengono risolti attraverso una migliore convalida dell'input.

CVE-2017-2407: riusksk (泉哥) di Tencent Security Platform Department

FontParser

Disponibile per: tutti i modelli di Apple Watch

Impatto: l'elaborazione di un font pericoloso può causare la divulgazione dei contenuti della memoria.

Descrizione: un problema di lettura non nei limiti è stato risolto mediante una migliore convalida degli input.

CVE-2017-2439: John Villamil, Doyensec

HTTPProtocol

Disponibile per: tutti i modelli di Apple Watch

Impatto: un server HTTP/2 pericoloso potrebbe causare un comportamento imprevisto.

Descrizione: nelle versioni di nghttp2 precedenti alla 1.17.0 esistevano diversi problemi, che sono stati risolti con l'aggiornamento di nghttp2 alla versione 1.17.0.

CVE-2017-2428

Voce aggiornata il 28 marzo 2017

ImageIO

Disponibile per: tutti i modelli di Apple Watch

Impatto: l'elaborazione di un'immagine pericolosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore convalida dell'input.

CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) di KeenLab, Tencent

ImageIO

Disponibile per: tutti i modelli di Apple Watch

Impatto: la visualizzazione di un file JPEG dannoso può causare l'esecuzione di codice arbitrario

Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore convalida dell'input.

CVE-2017-2432: un ricercatore anonimo in collaborazione con Zero Day Initiative di Trend Micro

ImageIO

Disponibile per: tutti i modelli di Apple Watch

Impatto: l'elaborazione di un file dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore convalida dell'input.

CVE-2017-2467

ImageIO

Disponibile per: tutti i modelli di Apple Watch

Impatto: l'elaborazione di un'immagine pericolosa può causare la chiusura improvvisa dell'applicazione

Descrizione: nelle versioni di LibTIFF precedenti alla 4.0.7 esisteva un problema di lettura non nei limiti. È stato risolto con l'aggiornamento di LibTIFF in ImageIO alla versione 4.0.7.

CVE-2016-3619

Kernel

Disponibile per: tutti i modelli di Apple Watch

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore convalida dell'input.

CVE-2017-2401: Lufeng Li di Qihoo 360 Vulcan Team

Kernel

Disponibile per: tutti i modelli di Apple Watch

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

Descrizione: un problema di overflow dei numeri interi è stato risolto mediante una migliore convalida degli input.

CVE-2017-2440: un ricercatore anonimo

Kernel

Disponibile per: tutti i modelli di Apple Watch

Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi root

Descrizione: una race condition è stata risolta tramite una migliore gestione della memoria.

CVE-2017-2456: lokihardt di Google Project Zero

Kernel

Disponibile per: tutti i modelli di Apple Watch

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

Descrizione: un problema di tipo use-after-free viene risolto attraverso una migliore gestione della memoria.

CVE-2017-2472: Ian Beer di Google Project Zero

Kernel

Disponibile per: tutti i modelli di Apple Watch

Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore convalida dell'input.

CVE-2017-2473: Ian Beer di Google Project Zero

Kernel

Disponibile per: tutti i modelli di Apple Watch

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

Descrizione: un problema di off-by-one è stata risolta attraverso un migliore controllo dei limiti.

CVE-2017-2474: Ian Beer di Google Project Zero

Kernel

Disponibile per: tutti i modelli di Apple Watch

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

Descrizione: una race condition è stata risolta mediante un blocco migliore.

CVE-2017-2478: Ian Beer di Google Project Zero

Kernel

Disponibile per: tutti i modelli di Apple Watch

Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel

Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-2482: Ian Beer di Google Project Zero

CVE-2017-2483: Ian Beer di Google Project Zero

Kernel

Disponibile per: tutti i modelli di Apple Watch

Impatto: un’applicazione può eseguire codice arbitrario con privilegi elevati

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-2490: Ian Beer di Google Project Zero, National Cyber Security Centre (NCSC) del Regno Unito

Voce aggiunta il 31 marzo 2017

Tastiere

Disponibile per: tutti i modelli di Apple Watch

Impatto: un'applicazione può eseguire codice arbitrario

Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.

CVE-2017-2458: Shashank (@cyberboyIndia)

libarchive

Disponibile per: tutti i modelli di Apple Watch

Impatto: un utente malintenzionato locale può modificare le autorizzazioni del file system in directory arbitrarie

Descrizione: si verificava un problema di convalida nella gestione dei collegamenti simbolici. Questo problema è stato risolto attraverso una migliore convalida dei collegamenti simbolici.

CVE-2017-2390: Omer Medan di enSilo Ltd

libc++abi

Disponibile per: tutti i modelli di Apple Watch

Impatto: il demangling di un'applicazione C++ dannosa può causare l'esecuzione di codice arbitrario

Descrizione: un problema di tipo use-after-free viene risolto attraverso una migliore gestione della memoria.

CVE-2017-2441

libxslt

Disponibile per: tutti i modelli di Apple Watch

Impatto: si verificano diverse vulnerabilità in libxslt

Descrizione: diversi problemi di danneggiamento della memoria vengono risolti attraverso una migliore gestione della memoria.

CVE-2017-5029: Holger Fuhrmannek

Voce aggiunta il 28 marzo 2017

Sicurezza

Disponibile per: tutti i modelli di Apple Watch

Impatto: un'applicazione può eseguire codice arbitrario con privilegi root.

Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.

CVE-2017-2451: Alex Radocea di Longterm Security, Inc.

Sicurezza

Disponibile per: tutti i modelli di Apple Watch

Impatto: l'elaborazione di un certificato x509 pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: si verificava un problema di danneggiamento della memoria durante l'analisi dei certificati. Questo problema viene risolto attraverso una migliore convalida dell'input.

CVE-2017-2485: Aleksandar Nikolic di Cisco Talos

WebKit

Disponibile per: tutti i modelli di Apple Watch

Impatto: l'elaborazione di un contenuto web pericoloso può causare l'esecuzione di codice arbitrario

Descrizione: un problema di confusione dei tipi viene risolto attraverso una migliore gestione della memoria.

CVE-2017-2415: Kai Kang di Tencent's Xuanwu Lab (tentcent.com)

WebKit

Disponibile per: tutti i modelli di Apple Watch

Impatto: l'elaborazione di contenuti web pericolosi può comportare un elevato utilizzo della memoria

Descrizione: un problema di utilizzo incontrollato delle risorse è stato risolto migliorando l'elaborazione regex.

CVE-2016-9643: Gustavo Grieco

WebKit

Disponibile per: tutti i modelli di Apple Watch

Impatto: l'elaborazione di un contenuto web pericoloso può causare l'esecuzione di codice arbitrario

Descrizione: un problema di tipo use-after-free viene risolto attraverso una migliore gestione della memoria.

CVE-2017-2471: Ivan Fratric di Google Project Zero

Riconoscimento aggiuntivo

XNU

Ringraziamo Lufeng Li di Qihoo 360 Vulcan Team per l'assistenza.

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Data di pubblicazione: