Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle nuove versioni alla pagina Aggiornamenti di sicurezza Apple.
Per ulteriori informazioni sulla sicurezza, visita la pagina relativa alla sicurezza dei prodotti Apple. Puoi codificare le comunicazioni con Apple usando la chiave PGP per la sicurezza dei prodotti Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
watchOS 4
Data di rilascio: 19 settembre 2017
802.1X
Disponibile per: tutti i modelli di Apple Watch
Impatto: un utente malintenzionato può essere in grado di sfruttare le debolezze di TLS 1.0.
Descrizione: un problema di sicurezza del protocollo è stato risolto abilitando TLS 1.1 e TLS 1.2.
CVE-2017-13832: Doug Wussler della Florida State University
Voce aggiunta il 31 ottobre 2017, aggiornata il 10 novembre 2017
CFNetwork
Disponibile per: tutti i modelli di Apple Watch
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-13829: Niklas Baumstark e Samuel Gro in collaborazione con Zero Day Initiative di Trend Micro
CVE-2017-13833: Niklas Baumstark e Samuel Gro in collaborazione con Zero Day Initiative di Trend Micro
Voce aggiunta il 10 novembre 2017
Proxy CFNetwork
Disponibile per: tutti i modelli di Apple Watch
Impatto: un utente malintenzionato in una posizione privilegiata nella rete può essere in grado di causare un'interruzione del servizio.
Descrizione: diversi problemi di interruzione del servizio sono stati risolti attraverso una migliore gestione della memoria.
CVE-2017-7083: Abhinav Bansal di Zscaler Inc.
Voce aggiunta il 25 settembre 2017
CFString
Disponibile per: tutti i modelli di Apple Watch
Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.
Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.
CVE-2017-13821: Australian Cyber Security Centre – Australian Signals Directorate
Voce aggiunta il 31 ottobre 2017
CoreAudio
Disponibile per: tutti i modelli di Apple Watch
Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso l'aggiornamento a Opus 1.1.4.
CVE-2017-0381: V.E.O (@VYSEa) del Mobile Threat Research Team, Trend Micro
Voce aggiunta il 25 settembre 2017
CoreText
Disponibile per: tutti i modelli di Apple Watch
Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di consumo della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-13825: Australian Cyber Security Centre – Australian Signals Directorate
Voce aggiunta il 31 ottobre 2017, aggiornata il 16 novembre 2018
file
Disponibile per: tutti i modelli di Apple Watch
Impatto: diversi problemi presenti in file.
Descrizione: diversi problemi sono stati risolti con l'aggiornamento alla versione 5.31.
CVE-2017-13815: rilevato da OSS-Fuzz
Voce aggiunta il 31 ottobre 2017, aggiornata il 18 ottobre 2018
Font
Disponibile per: tutti i modelli di Apple Watch
Impatto: il rendering di testo non attendibile può causare lo spoofing.
Descrizione: un problema di interfaccia utente non coerente è stato risolto con una migliore gestione dello stato.
CVE-2017-13828: Leonard Grey e Robert Sesek di Google Chrome
Voce aggiunta il 31 ottobre 2017, aggiornata il 10 novembre 2017
HFS
Disponibile per: tutti i modelli di Apple Watch
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-13830: Sergej Schumilo, Ruhr-University Bochum
Voce aggiunta il 31 ottobre 2017
ImageIO
Disponibile per: tutti i modelli di Apple Watch
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-13814: Australian Cyber Security Centre – Australian Signals Directorate
Voce aggiunta il 31 ottobre 2017, aggiornata il 16 novembre 2018
ImageIO
Disponibile per: tutti i modelli di Apple Watch
Impatto: l'elaborazione di un'immagine dannosa può causare l'interruzione del servizio.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-13831: Glen Carmichael
Voce aggiunta il 31 ottobre 2017, aggiornata il 3 aprile 2019
Kernel
Disponibile per: tutti i modelli di Apple Watch
Impatto: un utente locale può essere in grado di leggere la memoria del kernel.
Descrizione: si verificava un problema di lettura non nei limiti che causava la divulgazione della memoria del kernel. è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-13817: Maxime Villard (m00nbsd)
Voce aggiunta il 31 ottobre 2017
Kernel
Disponibile per: tutti i modelli di Apple Watch
Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.
Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.
CVE-2017-13818: National Cyber Security Centre (NCSC) del Regno Unito
CVE-2017-13836: Vlad Tsyrklevich
CVE-2017-13841: Vlad Tsyrklevich
CVE-2017-13840: Vlad Tsyrklevich
CVE-2017-13842: Vlad Tsyrklevich
CVE-2017-13782: un ricercatore anonimo
Voce aggiunta il 31 ottobre 2017, aggiornata il 18 giugno 2018
Kernel
Disponibile per: tutti i modelli di Apple Watch
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-13843: un ricercatore anonimo, un ricercatore anonimo
Voce aggiunta il 31 ottobre 2017
Kernel
Disponibile per: tutti i modelli di Apple Watch
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-7114: Alex Plaskett di MWR InfoSecurity
Voce aggiunta il 25 settembre 2017
Kernel
Disponibile per: tutti i modelli di Apple Watch
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-13854: shrek_wzw del Nirvan Team di Qihoo 360
Voce aggiunta il 2 novembre 2017
Kernel
Disponibile per: tutti i modelli di Apple Watch
Impatto: l'elaborazione di un file binario Mach non corretto può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
CVE-2017-13834: Maxime Villard (m00nbsd)
Voce aggiunta il 10 novembre 2017
Kernel
Disponibile per: tutti i modelli di Apple Watch
Impatto: un'applicazione dannosa può essere in grado di acquisire informazioni sulla presenza e sul funzionamento di altre applicazioni sul dispositivo.
Descrizione: un'applicazione era in grado di accedere alle informazioni sull'attività di rete gestite dal sistema operativo senza restrizioni. Il problema è stato risolto riducendo le informazioni accessibili alle applicazioni di terze parti.
CVE-2017-13873: Xiaokuan Zhang e Yinqian Zhang della Ohio State University, Xueqiang Wang e XiaoFeng Wang dell'Indiana University Bloomington e Xiaolong Bai della Tsinghua University
Voce aggiunta il 30 novembre 2017
libarchive
Disponibile per: tutti i modelli di Apple Watch
Impatto: l'estrazione di un archivio dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-13813: rilevato da OSS-Fuzz
CVE-2017-13816: rilevato da OSS-Fuzz
Voce aggiunta il 31 ottobre 2017
libarchive
Disponibile per: tutti i modelli di Apple Watch
Impatto: l'estrazione di un archivio dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: si verificavano diversi problemi di danneggiamento della memoria in libarchive che sono stati risolti attraverso una migliore convalida dell'input.
CVE-2017-13812: rilevato da OSS-Fuzz
Voce aggiunta il 31 ottobre 2017
libc
Disponibile per: tutti i modelli di Apple Watch
Impatto: un utente malintenzionato remoto può essere in grado di provocare un'interruzione del servizio.
Descrizione: un problema di esaurimento delle risorse in glob() è stato risolto attraverso il miglioramento di un algoritmo.
CVE-2017-7086: Russ Cox di Google
Voce aggiunta il 25 settembre 2017
libc
Disponibile per: tutti i modelli di Apple Watch
Impatto: un'applicazione può essere in grado di causare un'interruzione del servizio.
Descrizione: un problema di consumo della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-1000373
Voce aggiunta il 25 settembre 2017
libexpat
Disponibile per: tutti i modelli di Apple Watch
Impatto: diversi problemi presenti in expat.
Descrizione: diversi problemi sono stati risolti con l'aggiornamento alla versione 2.2.1.
CVE-2016-9063
CVE-2017-9233
Voce aggiunta il 25 settembre 2017
libxml2
Disponibile per: tutti i modelli di Apple Watch
Impatto: l'elaborazione di un file XML dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-9049: Wei Lei e Liu Yang della Nanyang Technological University, Singapore
Voce aggiunta il 18 ottobre 2018
libxml2
Disponibile per: tutti i modelli di Apple Watch
Impatto: l'elaborazione di un file XML dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-7376: un ricercatore anonimo
CVE-2017-5130: un ricercatore anonimo
Voce aggiunta il 18 ottobre 2018
libxml2
Disponibile per: tutti i modelli di Apple Watch
Impatto: l'elaborazione di un file XML dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-9050: Mateusz Jurczyk (j00ru) di Google Project Zero
Voce aggiunta il 18 ottobre 2018
libxml2
Disponibile per: tutti i modelli di Apple Watch
Impatto: l'elaborazione di un file XML dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di dereferenziazione del puntatore null è stato risolto attraverso una migliore convalida.
CVE-2018-4302: Gustavo Grieco
Voce aggiunta il 18 ottobre 2018
Sicurezza
Disponibile per: tutti i modelli di Apple Watch
Impatto: un certificato revocato può risultare attendibile.
Descrizione: si verificava un problema di convalida dei certificati nella gestione dei dati di revoca che è stato risolto attraverso una migliore convalida.
CVE-2017-7080: un ricercatore anonimo, Sven Driemecker di adesso mobile solutions gmbh, un ricercatore anonimo, Rune Darrud (@theflyingcorpse) di Bærum kommune
Voce aggiunta il 25 settembre 2017
SQLite
Disponibile per: tutti i modelli di Apple Watch
Impatto: diversi problemi presenti in SQLite.
Descrizione: diversi problemi sono stati risolti con l'aggiornamento alla versione 3.19.3.
CVE-2017-10989: rilevato da OSS-Fuzz
CVE-2017-7128: rilevato da OSS-Fuzz
CVE-2017-7129: rilevato da OSS-Fuzz
CVE-2017-7130: rilevato da OSS-Fuzz
Voce aggiunta il 25 settembre 2017
SQLite
Disponibile per: tutti i modelli di Apple Watch
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-7127: un ricercatore anonimo
Voce aggiunta il 25 settembre 2017
Wi-Fi
Disponibile per: tutti i modelli di Apple Watch
Impatto: un codice dannoso in esecuzione sul chip Wi-Fi può essere in grado di eseguire codice arbitrario con privilegi kernel sul processore di applicazioni.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-7103: Gal Beniamini di Google Project Zero
CVE-2017-7105: Gal Beniamini di Google Project Zero
CVE-2017-7108: Gal Beniamini di Google Project Zero
CVE-2017-7110: Gal Beniamini di Google Project Zero
CVE-2017-7112: Gal Beniamini di Google Project Zero
Wi-Fi
Disponibile per: tutti i modelli di Apple Watch
Impatto: un codice dannoso in esecuzione sul chip Wi-Fi potrebbe essere in grado di leggere la memoria del kernel con restrizioni.
Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.
CVE-2017-7116: Gal Beniamini di Google Project Zero
zlib
Disponibile per: tutti i modelli di Apple Watch
Impatto: diversi problemi presenti in zlib.
Descrizione: diversi problemi sono stati risolti con l'aggiornamento alla versione 1.2.11.
CVE-2016-9840
CVE-2016-9841
CVE-2016-9842
CVE-2016-9843
Voce aggiunta il 25 settembre 2017
Altri riconoscimenti
Sicurezza
Ringraziamo Abhinav Bansal di Zscaler, Inc. per l'assistenza.