Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
watchOS 6.2.5
Data di rilascio: 18 maggio 2020
Account
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un malintenzionato collegato in remoto può causare un'interruzione del servizio.
Descrizione: un problema di negazione del servizio è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-9827: Jannik Lorenz di SEEMOO presso TU Darmstadt
AppleMobileFileIntegrity
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un'applicazione dannosa potrebbe interagire con i processi di sistema per accedere a informazioni private ed eseguire azioni privilegiate.
Descrizione: un problema di analisi delle autorizzazioni è stato risolto attraverso una migliore analisi.
CVE-2020-9842: Linus Henze (pinauten.de)
Audio
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: l'elaborazione di un file audio dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2020-9815: Yu Zhou (@yuzhou6666) in collaborazione con Zero Day Initiative di Trend Micro
Audio
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: l'elaborazione di un file audio dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-9791: Yu Zhou (@yuzhou6666) in collaborazione con Zero Day Initiative di Trend Micro
CoreText
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: l'elaborazione di un messaggio di testo dannoso può causare l'interruzione del servizio di un'applicazione.
Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.
CVE-2020-9829: Aaron Perris (@aaronp613), due ricercatori anonimi, Carlos S Tech, Sam Menzies di Sam's Lounge, Sufiyan Gouri di Lovely Professional University, India, Suleman Hasan Rathor di Arabic-Classroom.com
FontParser
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: l'apertura di un file PDF dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2020-9816: Peter Nguyen Vu Hoang di STAR Labs in collaborazione con Zero Day Initiative di Trend Micro
ImageIO
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-3878: Samuel Groß di Google Project Zero
ImageIO
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2020-9789: Wenchao Li di VARAS@IIE
CVE-2020-9790: Xingwei Lin di Ant-financial Light-Year Security Lab
Kernel
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2020-9821: Xinru Chi e Tielei Wang di Pangu Lab
Kernel
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un'applicazione dannosa può essere in grado di determinare il layout di memoria di un'altra applicazione
Descrizione: un problema di divulgazione delle informazioni è stato risolto rimuovendo il codice vulnerabile.
CVE-2020-9797: un ricercatore anonimo
Kernel
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di overflow dei numeri interi è stato risolto mediante una migliore convalida degli input.
CVE-2020-9852: Tao Huang e Tielei Wang di Pangu Lab
Kernel
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2020-9795: Zhuo Liang di Qihoo 360 Vulcan Team
Kernel
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un'applicazione può essere in grado di causare l'arresto improvviso del sistema o scrivere sulla memoria del kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2020-9808: Xinru Chi e Tielei Wang di Pangu Lab
Kernel
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un utente locale può essere in grado di leggere la memoria del kernel.
Descrizione: un problema di divulgazione delle informazioni è stato risolto attraverso una migliore gestione dello stato.
CVE-2020-9811: Tielei Wang di Pangu Lab
CVE-2020-9812: derrek (@derrekr6)
Kernel
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.
Descrizione: si verificava un problema logico che provocava il danneggiamento della memoria. Il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2020-9813: Xinru Chi di Pangu Lab
CVE-2020-9814: Xinru Chi e Tielei Wang di Pangu Lab
Kernel
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un'applicazione dannosa può essere in grado di determinare il layout della memoria del kernel.
Descrizione: un problema di divulgazione delle informazioni è stato risolto attraverso una migliore gestione dello stato.
CVE-2020-9809: Benjamin Randazzo (@____benjamin)
libxpc
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un'applicazione dannosa può sovrascrivere file arbitrari.
Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.
CVE-2020-9994: Apple
Voce aggiunta il 21 settembre 2020
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: l'elaborazione di un messaggio di posta dannoso può causare un danno alla memoria heap
Descrizione: un problema di consumo della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2020-9819: ZecOps.com
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: l'elaborazione di un messaggio di posta dannoso può causare in modo improvviso la modifica della memoria o la chiusura dell'applicazione
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2020-9818: ZecOps.com
rsync
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un utente malintenzionato collegato in remoto può essere in grado di sovrascrivere i file esistenti.
Descrizione: si verificava un problema di convalida nella gestione dei link simbolici. Questo problema è stato risolto attraverso una migliore convalida dei link simbolici.
CVE-2014-9512: gaojianfeng
Voce aggiunta il 28 luglio 2020
SQLite
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un'applicazione dannosa può causare una negazione del servizio o la divulgazione di contenuti presenti in memoria
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2020-9794
Preferenze di Sistema
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.
Descrizione: una race condition è stata risolta attraverso una migliore gestione dello stato.
CVE-2020-9839: @jinmo123, @setuid0x0_ e @insu_yun_en di @SSLab_Gatech in collaborazione con Zero Day Initiative di Trend Micro
WebKit
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: l'elaborazione di contenuti web dannosi può causare il cross-site scripting universale.
Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.
CVE-2020-9805: un ricercatore anonimo
WebKit
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.
CVE-2020-9802: Samuel Groß di Google Project Zero
WebKit
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: un utente malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario.
Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.
CVE-2020-9850: @jinmo123, @setuid0x0_ e @insu_yun_en di @SSLab_Gatech in collaborazione con Zero Day Initiative di Trend Micro
WebKit
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: l'elaborazione di contenuti web dannosi può causare un attacco di scripting cross-site.
Descrizione: un problema di convalida dell'input è stato risolto attraverso una migliore gestione dell'input.
CVE-2020-9843: Ryan Pickren (ryanpickren.com)
WebKit
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
CVE-2020-9803: Wen Xu di SSLab del Georgia Tech
WebKit
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2020-9806: Wen Xu di SSLab del Georgia Tech
CVE-2020-9807: Wen Xu di SSLab del Georgia Tech
WebKit
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.
CVE-2020-9800: Brendan Draper (@6r3nd4n) in collaborazione con Zero Day Initiative di Trend Micro
WebRTC
Disponibile per: Apple Watch Series 1 e modelli successivi
Impatto: l'elaborazione di contenuti web dannosi può causare la divulgazione della memoria dei processi.
Descrizione: un problema di accesso è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-20503: natashenka di Google Project Zero
Altri riconoscimenti
CoreText
Ringraziamo Jiska Classen (@naehrdine) e Dennis Heinze (@ttdennis) di Secure Mobile Networking Lab per l'assistenza.
ImageIO
Ringraziamo Lei Sun per l'assistenza.
IOHIDFamily
Ringraziamo Andy Davis di NCC Group per l'assistenza.
Kernel
Ringraziamo Brandon Azad di Google Project Zero per l'assistenza.
Safari
Ringraziamo Luke Walker della Manchester Metropolitan University per l'assistenza.
WebKit
Ringraziamo Aidan Dunlap della UT Austin per l'assistenza.