Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
watchOS 7.5
Data di rilascio: 24 maggio 2021
Audio
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: l'elaborazione di un file audio dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-30707: hjy79425575 in collaborazione con Zero Day Initiative di Trend Micro
Audio
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: l'analisi di un file audio dannoso può causare la divulgazione delle informazioni utente.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-30685: Mickey Jin (@patch1t) di Trend Micro
Core Services
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: un'applicazione dannosa può essere in grado di ottenere privilegi root.
Descrizione: si verificava un problema di convalida nella gestione dei link simbolici. Questo problema è stato risolto attraverso una migliore convalida dei link simbolici.
CVE-2021-30681: Zhongcheng Li (CK01)
CoreAudio
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: l'elaborazione di un file audio pericoloso può divulgare la memoria con restrizioni
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2021-30686: Mickey Jin di Trend Micro
CoreText
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input
Descrizione: l'elaborazione di un font dannoso può causare la divulgazione della memoria dei processi.
CVE-2021-30753: Xingwei Lin di Ant Security Light-Year Lab
CVE-2021-30733: Sunglin dal Knownsec 404
Voce aggiunta il 21 luglio 2021
Crash Reporter
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: un'applicazione dannosa può essere in grado di modificare parti protette del file system
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30727: Cees Elzinga
CVMS
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-30724: Mickey Jin (@patch1t) di Trend Micro
FontParser
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2021-30771: Mickey Jin (@patch1t) di Trend Micro, CFF di Topsec Alpha Team
Voce aggiunta il 19 gennaio 2022
FontParser
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input
Descrizione: l'elaborazione di un font dannoso può causare la divulgazione della memoria dei processi.
CVE-2021-30755: Xingwei Lin di Ant Security Light-Year Lab
Voce aggiunta il 21 luglio 2021
Heimdal
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: un utente locale può essere in grado di divulgare informazioni sensibili degli utenti.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30697: Gabe Kirkpatrick (@gabe_k)
Heimdal
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: un'applicazione dannosa può causare una negazione del servizio o la divulgazione di contenuti presenti in memoria.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30710: Gabe Kirkpatrick (@gabe_k)
ImageIO
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: l'elaborazione di un'immagine dannosa può causare la divulgazione delle informazioni utente.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2021-30687: Hou JingYi (@hjy79425575) di Qihoo 360
ImageIO
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: l'elaborazione di un'immagine dannosa può causare la divulgazione delle informazioni utente.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-30700: Ye Zhang (@co0py_Cat) di Baidu Security
ImageIO
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-30701: Mickey Jin (@patch1t) di Trend Micro e Ye Zhang di Baidu Security
ImageIO
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: l'elaborazione di un file ASTC dannoso può causare la divulgazione di contenuti presenti in memoria.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-30705: Ye Zhang di Baidu Security
ImageIO
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: il problema è stato risolto attraverso migliori controlli.
Descrizione: l'elaborazione di un'immagine dannosa può causare la divulgazione delle informazioni utente.
CVE-2021-30706: anonimo in collaborazione con Zero Day Initiative di Trend Micro, Jzhu in collaborazione con Zero Day Initiative di Trend Micro
Voce aggiunta il 21 luglio 2021
Kernel
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema logico è stato risolto attraverso una migliore convalida.
CVE-2021-30740: Linus Henze (pinauten.de)
Kernel
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30704: un ricercatore anonimo
Kernel
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: l'elaborazione di un messaggio dannoso può causare una negazione del servizio.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30715: National Cyber Security Centre (NCSC) del Regno Unito
Kernel
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un overflow del buffer è stato risolto attraverso una migliore convalida delle dimensioni.
CVE-2021-30736: Ian Beer di Google Project Zero
Kernel
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: un problema di tipo double free è stato risolto attraverso una migliore gestione della memoria.
Descrizione: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
CVE-2021-30703: un ricercatore anonimo
Voce aggiunta il 21 luglio 2021
LaunchServices
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: un'applicazione dannosa potrebbe essere in grado di uscire dalla sandbox.
Descrizione: il problema è stato risolto attraverso una migliore sanitizzazione dell'ambiente.
CVE-2021-30677: Ron Waisberg (@epsilan)
Security
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: l'elaborazione di un certificato dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria nel decodificatore ASN.1 è stato risolto rimuovendo il codice vulnerabile.
CVE-2021-30737: xerub
WebKit
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: l'elaborazione di contenuti web dannosi può causare il cross-site scripting universale.
Descrizione: un problema multiorigine con gli elementi iFrame è stato risolto attraverso un migliore monitoraggio delle origini di sicurezza.
CVE-2021-30744: Dan Hite di jsontop
WebKit
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2021-21779: Marcin Towalski di Cisco Talos
WebKit
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: un'applicazione dannosa può essere in grado di divulgare informazioni sensibili degli utenti.
Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.
CVE-2021-30682: un ricercatore anonimo e 1lastBr3ath
WebKit
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: l'elaborazione di contenuti web dannosi può causare il cross-site scripting universale.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2021-30689: un ricercatore anonimo
WebKit
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.
CVE-2021-30749: un ricercatore anonimo e mipu94 di SEFCOM lab (ASU) in collaborazione con Zero Day Initiative di Trend Micro
CVE-2021-30734: Jack Dates di RET2 Systems, Inc. (@ret2systems) in collaborazione con Zero Day Initiative di Trend Micro
WebKit
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: un sito web dannoso può essere in grado di accedere a porte con restrizioni su server arbitrari.
Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.
CVE-2021-30720: David Schütz (@xdavidhu)
Altri riconoscimenti
CommCenter
Ringraziamo CHRISTIAN MINA per l'assistenza.
ImageIO
Ringraziamo Jzhu che collabora con Zero Day Initiative di Trend Micro e un ricercatore anonimo per l'assistenza.
Mail Drafts
Ringraziamo Lauritz Holtmann (@_lauritz_) per l'assistenza.
WebKit
Ringraziamo Chris Salls (@salls) di Makai Security per l'assistenza.