Informazioni sui contenuti di sicurezza di watchOS 3.2
In questo documento vengono descritti i contenuti di sicurezza di watchOS 3.2.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle nuove versioni alla pagina Aggiornamenti di sicurezza Apple.
Per ulteriori informazioni sulla sicurezza, visita la pagina relativa alla Sicurezza dei prodotti Apple. Puoi codificare le comunicazioni con Apple usando la chiave PGP per la sicurezza dei prodotti Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano ID CVE per indicare le vulnerabilità.
watchOS 3.2
Audio
Disponibile per: tutti i modelli di Apple Watch
Impatto: l'elaborazione di un file audio pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore convalida dell'input.
CVE-2017-2430: un ricercatore anonimo in collaborazione con Zero Day Initiative di Trend Micro
CVE-2017-2462: un ricercatore anonimo in collaborazione con Zero Day Initiative di Trend Micro
Carbon
Disponibile per: tutti i modelli di Apple Watch
Impatto: l'elaborazione di un file con estensione .dfont pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: si verifica un overflow del buffer nella gestione dei file font. Questo problema viene risolto attraverso un migliore controllo dei limiti.
CVE-2017-2379: riusksk (泉哥) di Tencent Security Platform Department, John Villamil, Doyensec
CoreGraphics
Disponibile per: tutti i modelli di Apple Watch
Impatto: l'elaborazione di un'immagine pericolosa può causare l'interruzione del servizio
Descrizione: una ricorsione infinita è stata risolta tramite una migliore gestione dello stato.
CVE-2017-2417: riusksk (泉哥) di Tencent Security Platform Department
CoreGraphics
Disponibile per: tutti i modelli di Apple Watch
Impatto: l'elaborazione di un contenuto web pericoloso può causare l'esecuzione di codice arbitrario
Descrizione: diversi problemi di danneggiamento della memoria vengono risolti attraverso una migliore convalida dell'input.
CVE-2017-2444: Mei Wang di 360 GearTeam
CoreText
Disponibile per: tutti i modelli di Apple Watch
Impatto: l'elaborazione di un file di caratteri pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore convalida dell'input.
CVE-2017-2435: John Villamil, Doyensec
CoreText
Disponibile per: tutti i modelli di Apple Watch
Impatto: l'elaborazione di un font pericoloso può causare la divulgazione dei contenuti della memoria.
Descrizione: un problema di lettura non nei limiti è stato risolto mediante una migliore convalida degli input.
CVE-2017-2450: John Villamil, Doyensec
CoreText
Disponibile per: tutti i modelli di Apple Watch
Impatto: l'elaborazione di un messaggio di testo dannoso può causare l'interruzione del servizio di un'applicazione.
Descrizione: un problema di esaurimento delle risorse è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-2461: un ricercatore anonimo, Isaac Archambault di IDAoADI
FontParser
Disponibile per: tutti i modelli di Apple Watch
Impatto: l'elaborazione di un file di caratteri pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: diversi problemi di danneggiamento della memoria vengono risolti attraverso una migliore convalida dell'input.
CVE-2017-2487: riusksk (泉哥) di Tencent Security Platform Department
CVE-2017-2406: riusksk (泉哥) di Tencent Security Platform Department
FontParser
Disponibile per: tutti i modelli di Apple Watch
Impatto: l'elaborazione di un file di caratteri pericoloso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: diversi problemi di danneggiamento della memoria vengono risolti attraverso una migliore convalida dell'input.
CVE-2017-2407: riusksk (泉哥) di Tencent Security Platform Department
FontParser
Disponibile per: tutti i modelli di Apple Watch
Impatto: l'elaborazione di un font pericoloso può causare la divulgazione dei contenuti della memoria.
Descrizione: un problema di lettura non nei limiti è stato risolto mediante una migliore convalida degli input.
CVE-2017-2439: John Villamil, Doyensec
HTTPProtocol
Disponibile per: tutti i modelli di Apple Watch
Impatto: un server HTTP/2 pericoloso potrebbe causare un comportamento imprevisto.
Descrizione: nelle versioni di nghttp2 precedenti alla 1.17.0 esistevano diversi problemi, che sono stati risolti con l'aggiornamento di nghttp2 alla versione 1.17.0.
CVE-2017-2428
ImageIO
Disponibile per: tutti i modelli di Apple Watch
Impatto: l'elaborazione di un'immagine pericolosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore convalida dell'input.
CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) di KeenLab, Tencent
ImageIO
Disponibile per: tutti i modelli di Apple Watch
Impatto: la visualizzazione di un file JPEG dannoso può causare l'esecuzione di codice arbitrario
Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore convalida dell'input.
CVE-2017-2432: un ricercatore anonimo in collaborazione con Zero Day Initiative di Trend Micro
ImageIO
Disponibile per: tutti i modelli di Apple Watch
Impatto: l'elaborazione di un file dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore convalida dell'input.
CVE-2017-2467
ImageIO
Disponibile per: tutti i modelli di Apple Watch
Impatto: l'elaborazione di un'immagine pericolosa può causare la chiusura improvvisa dell'applicazione
Descrizione: nelle versioni di LibTIFF precedenti alla 4.0.7 esisteva un problema di lettura non nei limiti. È stato risolto con l'aggiornamento di LibTIFF in ImageIO alla versione 4.0.7.
CVE-2016-3619
Kernel
Disponibile per: tutti i modelli di Apple Watch
Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel
Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore convalida dell'input.
CVE-2017-2401: Lufeng Li di Qihoo 360 Vulcan Team
Kernel
Disponibile per: tutti i modelli di Apple Watch
Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel
Descrizione: un problema di overflow dei numeri interi è stato risolto mediante una migliore convalida degli input.
CVE-2017-2440: un ricercatore anonimo
Kernel
Disponibile per: tutti i modelli di Apple Watch
Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi root
Descrizione: una race condition è stata risolta tramite una migliore gestione della memoria.
CVE-2017-2456: lokihardt di Google Project Zero
Kernel
Disponibile per: tutti i modelli di Apple Watch
Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel
Descrizione: un problema di tipo use-after-free viene risolto attraverso una migliore gestione della memoria.
CVE-2017-2472: Ian Beer di Google Project Zero
Kernel
Disponibile per: tutti i modelli di Apple Watch
Impatto: un'applicazione pericolosa può eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria viene risolto attraverso una migliore convalida dell'input.
CVE-2017-2473: Ian Beer di Google Project Zero
Kernel
Disponibile per: tutti i modelli di Apple Watch
Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel
Descrizione: un problema di off-by-one è stata risolta attraverso un migliore controllo dei limiti.
CVE-2017-2474: Ian Beer di Google Project Zero
Kernel
Disponibile per: tutti i modelli di Apple Watch
Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel
Descrizione: una race condition è stata risolta mediante un blocco migliore.
CVE-2017-2478: Ian Beer di Google Project Zero
Kernel
Disponibile per: tutti i modelli di Apple Watch
Impatto: un'applicazione può eseguire codice arbitrario con privilegi kernel
Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-2482: Ian Beer di Google Project Zero
CVE-2017-2483: Ian Beer di Google Project Zero
Kernel
Disponibile per: tutti i modelli di Apple Watch
Impatto: un’applicazione può eseguire codice arbitrario con privilegi elevati
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-2490: Ian Beer di Google Project Zero, National Cyber Security Centre (NCSC) del Regno Unito
Tastiere
Disponibile per: tutti i modelli di Apple Watch
Impatto: un'applicazione può eseguire codice arbitrario
Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.
CVE-2017-2458: Shashank (@cyberboyIndia)
libarchive
Disponibile per: tutti i modelli di Apple Watch
Impatto: un utente malintenzionato locale può modificare le autorizzazioni del file system in directory arbitrarie
Descrizione: si verificava un problema di convalida nella gestione dei collegamenti simbolici. Questo problema è stato risolto attraverso una migliore convalida dei collegamenti simbolici.
CVE-2017-2390: Omer Medan di enSilo Ltd
libc++abi
Disponibile per: tutti i modelli di Apple Watch
Impatto: il demangling di un'applicazione C++ dannosa può causare l'esecuzione di codice arbitrario
Descrizione: un problema di tipo use-after-free viene risolto attraverso una migliore gestione della memoria.
CVE-2017-2441
libxslt
Disponibile per: tutti i modelli di Apple Watch
Impatto: si verificano diverse vulnerabilità in libxslt
Descrizione: diversi problemi di danneggiamento della memoria vengono risolti attraverso una migliore gestione della memoria.
CVE-2017-5029: Holger Fuhrmannek
Sicurezza
Disponibile per: tutti i modelli di Apple Watch
Impatto: un'applicazione può eseguire codice arbitrario con privilegi root.
Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.
CVE-2017-2451: Alex Radocea di Longterm Security, Inc.
Sicurezza
Disponibile per: tutti i modelli di Apple Watch
Impatto: l'elaborazione di un certificato x509 pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: si verificava un problema di danneggiamento della memoria durante l'analisi dei certificati. Questo problema viene risolto attraverso una migliore convalida dell'input.
CVE-2017-2485: Aleksandar Nikolic di Cisco Talos
WebKit
Disponibile per: tutti i modelli di Apple Watch
Impatto: l'elaborazione di un contenuto web pericoloso può causare l'esecuzione di codice arbitrario
Descrizione: un problema di confusione dei tipi viene risolto attraverso una migliore gestione della memoria.
CVE-2017-2415: Kai Kang di Tencent's Xuanwu Lab (tentcent.com)
WebKit
Disponibile per: tutti i modelli di Apple Watch
Impatto: l'elaborazione di contenuti web pericolosi può comportare un elevato utilizzo della memoria
Descrizione: un problema di utilizzo incontrollato delle risorse è stato risolto migliorando l'elaborazione regex.
CVE-2016-9643: Gustavo Grieco
WebKit
Disponibile per: tutti i modelli di Apple Watch
Impatto: l'elaborazione di un contenuto web pericoloso può causare l'esecuzione di codice arbitrario
Descrizione: un problema di tipo use-after-free viene risolto attraverso una migliore gestione della memoria.
CVE-2017-2471: Ivan Fratric di Google Project Zero
Riconoscimento aggiuntivo
XNU
Ringraziamo Lufeng Li di Qihoo 360 Vulcan Team per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.