Informazioni sui contenuti di sicurezza di watchOS 6.1.2
In questo documento vengono descritti i contenuti di sicurezza di watchOS 6.1.2.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
watchOS 6.1.2
AnnotationKit
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-3877: un ricercatore anonimo in collaborazione con Zero Day Initiative di Trend Micro
Audio
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2020-3857: Zhuo Liang del Vulcan Team di Qihoo 360
files
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un'applicazione dannosa può sovrascrivere file arbitrari.
Descrizione: un problema di accesso è stato risolto attraverso migliori restrizioni di accesso.
CVE-2020-3855: Csaba Fitzl (@theevilbit)
ImageIO
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-3826: Samuel Groß di Google Project Zero
CVE-2020-3870
CVE-2020-3878: Samuel Groß di Google Project Zero
CVE-2020-3880: Samuel Groß di Google Project Zero
IOAcceleratorFamily
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2020-3837: Brandon Azad di Google Project Zero
IOUSBDeviceFamily
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8836: Xiaolong Bai e Min (Spark) Zheng di Alibaba Inc. e Luyi Xing dell'Indiana University Bloomington
Voce aggiunta il 22 giugno 2020
Kernel
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.
Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.
CVE-2020-3875: Brandon Azad di Google Project Zero
Kernel
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un'applicazione dannosa può essere in grado di determinare il layout della memoria del kernel.
Descrizione: un problema di accesso è stato risolto attraverso una migliore gestione della memoria.
CVE-2020-3836: Brandon Azad di Google Project Zero
Kernel
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.
Descrizione: un problema di inizializzazione della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2020-3872: Haakon Garseg Mørk e Cim Stordal di Cognite
Kernel
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2020-3842: Ned Williamson in collaborazione con Google Project Zero
Kernel
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2020-3834: Xiaolong Bai e Min (Spark) Zheng di Alibaba Inc, Luyi Xing dell'Indiana University Bloomington
Kernel
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-3860: Proteas del Nirvan Team di Qihoo 360
Kernel
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.
CVE-2020-3853: Brandon Azad di Google Project Zero
libxml2
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: l'elaborazione di un file XML dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un overflow del buffer è stato risolto attraverso una migliore convalida delle dimensioni.
CVE-2020-3846: Ranier Vilela
libxpc
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: l'elaborazione di una stringa dannosa può danneggiare la memoria heap.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-3856: Ian Beer di Google Project Zero
libxpc
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2020-3829: Ian Beer di Google Project Zero
wifivelocityd
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: il problema è stato risolto attraverso una migliore logica delle autorizzazioni.
CVE-2020-3838: Dayton Pidhirney (@_watbulb)
Altri riconoscimenti
IOSurface
Ringraziamo Liang Chen (@chenliang0817) per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.