Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
watchOS 5.3
Data di rilascio: 22 luglio 2019
Bluetooth
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un utente malintenzionato in una posizione di rete privilegiata può essere in grado di intercettare il traffico Bluetooth (Key Negotiation of Bluetooth - KNOB).
Descrizione: esisteva un problema di convalida dell'input relativo al Bluetooth. Il problema è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-9506: Daniele Antonioli di SUTD, Singapore, Dr. Nils Ole Tippenhauer di CISPA, Germania, e Prof. Kasper Rasmussen della University of Oxford, Inghilterra
Le modifiche a questo problema limitano CVE-2020-10135.
Voce aggiunta il 13 agosto 2019 e aggiornata il 25 giugno 2020
Core Data
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un utente malintenzionato remoto può causare una perdita di memoria.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-8646: natashenka di Google Project Zero
Core Data
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un utente malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8647: Samuel Groß e natashenka di Google Project Zero
Core Data
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-8660: Samuel Groß e natashenka di Google Project Zero
Digital Touch
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un utente malintenzionato remoto può causare una perdita di memoria.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-8624: natashenka di Google Project Zero
FaceTime
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un utente malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-8648: Tao Huang e Tielei Wang di Team Pangu
Heimdal
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un problema in Samba può consentire a utenti malintenzionati di eseguire azioni non autorizzate intercettando le comunicazioni tra i servizi.
Descrizione: questo problema è stato risolto attraverso migliori controlli in modo da evitare azioni non autorizzate.
CVE-2018-16860: Isaac Boukris e Andrew Bartlett di Samba Team e Catalyst
Elaborazione delle immagini
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: l'elaborazione di un'immagine dannosa può causare l'interruzione del servizio.
Descrizione: un problema di negazione del servizio è stato risolto attraverso una migliore convalida.
CVE-2019-8668: un ricercatore anonimo
Voce aggiunta l'8 ottobre 2019
Kernel
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.
Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.
CVE-2019-8633: Zhuo Liang del Vulcan Team di Qihoo 360
Voce aggiunta il 17 settembre 2019
libxslt
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un utente malintenzionato collegato in remoto può essere in grado di visualizzare dati sensibili.
Descrizione: un overflow dello stack è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-13118: rilevato da OSS-Fuzz
Messaggi
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: gli utenti rimossi da una conversazione iMessage potrebbero essere ancora in grado di modificare lo stato
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2019-8659: Ryan Kontos (@ryanjkontos), Will Christensen della University of Oregon
Messaggi
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione.
Descrizione: un problema di interruzione del servizio è stato risolto attraverso una migliore convalida.
CVE-2019-8665: Michael Hernandez di XYZ Marketing
QuickLook
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un utente malintenzionato può attivare una vulnerabilità use-after-free in un'applicazione deserializzando un NSDictionary non attendibile.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2019-8662: natashenka e Samuel Groß di Google Project Zero
Siri
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un utente malintenzionato remoto può causare una perdita di memoria.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-8646: natashenka di Google Project Zero
UIFoundation
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: l'analisi di un documento Microsoft Office dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-8657: riusksk di VulWar Corp in collaborazione con Zero Day Initiative di Trend Micro
Wallet
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un utente potrebbe involontariamente effettuare un acquisto in-app mentre si trova sul blocco schermo
Descrizione: il problema è stato risolto attraverso una migliore gestione dell'interfaccia utente.
CVE-2019-8682: Jeff Braswell (JeffBraswell.com)
WebKit
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: l'elaborazione di contenuti web dannosi può causare il cross-site scripting universale.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2019-8658: akayn in collaborazione con Zero Day Initiative di Trend Micro
WebKit
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.
CVE-2019-8669: akayn in collaborazione con Zero Day Initiative di Trend Micro
CVE-2019-8672: Samuel Groß di Google Project Zero
CVE-2019-8676: Soyeon Park e Wen Xu di SSLab del Georgia Tech
CVE-2019-8683: lokihardt di Google Project Zero
CVE-2019-8684: lokihardt di Google Project Zero
CVE-2019-8685: akayn, Dongzhuo Zhao in collaborazione con ADLab di Venustech, Ken Wong (@wwkenwong) di VXRL, Anthony Lai (@darkfloyd1014) di VXRL ed Eric Lung (@Khlung1) di VXRL
CVE-2019-8688: Insu Yun di SSLab del Georgia Tech
CVE-2019-8689: lokihardt di Google Project Zero
Altri riconoscimenti
MobileInstallation
Ringraziamo Dany Lisiansky (@DanyL931) per l'assistenza.