Informazioni sui contenuti di sicurezza di watchOS 5.3

In questo documento vengono descritti i contenuti di sicurezza di watchOS 5.3.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle nuove versioni alla pagina Aggiornamenti di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, visita la pagina relativa alla sicurezza dei prodotti Apple.

watchOS 5.3

Data di rilascio: 22 luglio 2019

Core Data

Disponibile per: Apple Watch Series 1 e modelli successivi

Impatto: un utente malintenzionato collegato in remoto può causare una perdita di memoria.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8646: Natalie Silvanovich di Google Project Zero

Core Data

Disponibile per: Apple Watch Series 1 e modelli successivi

Impatto: un utente malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8647: Samuel Groß e Natalie Silvanovich di Google Project Zero

Core Data

Disponibile per: Apple Watch Series 1 e modelli successivi

Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8660: Samuel Groß e Natalie Silvanovich di Google Project Zero

Digital Touch

Disponibile per: Apple Watch Series 1 e modelli successivi

Impatto: un utente malintenzionato collegato in remoto può causare una perdita di memoria.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8624: Natalie Silvanovich di Google Project Zero

FaceTime

Disponibile per: Apple Watch Series 1 e modelli successivi

Impatto: un utente malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8648: Tao Huang e Tielei Wang di Team Pangu

Foundation

Disponibile per: Apple Watch Series 1 e modelli successivi

Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8641: Samuel Groß e Natalie Silvanovich di Google Project Zero

Heimdal

Disponibile per: Apple Watch Series 1 e modelli successivi

Impatto: si verificava un problema in Samba che poteva consentire a utenti malintenzionati di eseguire azioni non autorizzate intercettando comunicazioni tra i servizi

Descrizione: questo problema è stato risolto attraverso migliori controlli in modo da evitare azioni non autorizzate.

CVE-2018-16860: Isaac Boukris e Andrew Bartlett del team Samba e Catalyst

libxslt

Disponibile per: Apple Watch Series 1 e modelli successivi

Impatto: un utente malintenzionato collegato in remoto può essere in grado di visualizzare informazioni riservate

Descrizione: un problema di tipo stack overflow è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-13118: rilevato da OSS-Fuzz

Messaggi

Disponibile per: Apple Watch Series 1 e modelli successivi

Impatto: gli utenti rimossi da una conversazione iMessage potrebbero essere ancora in grado di modificare lo stato

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2019-8659: Ryan Kontos (@ryanjkontos), Will Christensen dell'Università dell'Oregon

Messaggi

Disponibile per: Apple Watch Series 1 e modelli successivi

Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione

Descrizione: un problema di interruzione del servizio è stato risolto attraverso una migliore convalida.

CVE-2019-8665: Michael Hernandez di XYZ Marketing

QuickLook

Disponibile per: Apple Watch Series 1 e modelli successivi

Impatto: un utente malintenzionato potrebbe essere in grado di innescare una vulnerabilità use after free in un'applicazione deserializzando un NSDictionary non attendibile

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2019-8662: Natalie Silvanovich e Samuel Groß di Google Project Zero

Siri

Disponibile per: Apple Watch Series 1 e modelli successivi

Impatto: un utente malintenzionato collegato in remoto può causare una perdita di memoria.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8646: Natalie Silvanovich di Google Project Zero

UIFoundation

Disponibile per: Apple Watch Series 1 e modelli successivi

Impatto: l'analisi di un documento Microsoft Office dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8657: riusksk di VulWar Corp in collaborazione con Zero Day Initiative di Trend Micro

Wallet

Disponibile per: Apple Watch Series 1 e modelli successivi

Impatto: un utente potrebbe involontariamente effettuare un acquisto in-app quando utilizza la schermata di blocco

Descrizione: il problema è stato risolto attraverso una migliore gestione dell'interfaccia utente.

CVE-2019-8682: Jeff Braswell (JeffBraswell.com)

WebKit

Disponibile per: Apple Watch Series 1 e modelli successivi

Impatto: l'elaborazione di contenuti web dannosi può causare cross-site scripting universale

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8658: akayn in collaborazione con Zero Day Initiative di Trend Micro

WebKit

Disponibile per: Apple Watch Series 1 e modelli successivi

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.

CVE-2019-8669: akayn in collaborazione con Zero Day Initiative di Trend Micro

CVE-2019-8672: Samuel Groß di Google Project Zero

CVE-2019-8676: Soyeon Park e Wen Xu di SSLab presso Georgia Tech

CVE-2019-8683: lokihardt di Google Project Zero

CVE-2019-8684: lokihardt di Google Project Zero

CVE-2019-8685: akayn, Dongzhuo Zhao in collaborazione con ADLab di Venustech, Ken Wong (@wwkenwong) di VXRL, Anthony Lai (@darkfloyd1014) di VXRL ed Eric Lung (@Khlung1) di VXRL

CVE-2019-8688: Insu Yun di SSLab presso Georgia Tech

CVE-2019-8689: lokihardt di Google Project Zero

Altri riconoscimenti

MobileInstallation

Ringraziamo Dany Lisiansky (@DanyL931) per l'assistenza fornita.

 

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Data di pubblicazione: