Informazioni sui contenuti di sicurezza di watchOS 8.6
In questo documento vengono descritti i contenuti di sicurezza di watchOS 8.6.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
watchOS 8.6
AppleAVD
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2022-26702: un ricercatore anonimo, Antonio Zekic (@antoniozekic) e John Aakerblom (@jaakerblom)
AppleAVD
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: un'applicazione potrebbe essere in grado di eseguire codice arbitrario con privilegi kernel. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente.
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2022-22675: un ricercatore anonimo
DriverKit
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di accesso non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2022-26763: Linus Henze di Pinauten GmbH (pinauten.de)
ImageIO
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di overflow dei numeri interi è stato risolto attraverso una migliore convalida dell'input.
CVE-2022-26711: actae0n di Blacksun Hackers Club in collaborazione con Trend Micro Zero Day Initiative
IOMobileFrameBuffer
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-26768: un ricercatore anonimo
IOSurfaceAccelerator
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-26771: un ricercatore anonimo
Kernel
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) di STAR Labs (@starlabs_sg)
Kernel
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2022-26757: Ned Williamson di Google Project Zero
Kernel
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: un utente malintenzionato che ha già ottenuto l'esecuzione del codice kernel può essere in grado di bypassare le mitigazioni della memoria del kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
CVE-2022-26764: Linus Henze di Pinauten GmbH (pinauten.de)
Kernel
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: un utente malintenzionato con funzionalità di lettura e scrittura arbitraria potrebbe riuscire a bypassare l'autenticazione del puntatore.
Descrizione: una race condition è stata risolta attraverso una migliore gestione dello stato.
CVE-2022-26765: Linus Henze di Pinauten GmbH (pinauten.de)
LaunchServices
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: un processo sandbox può essere in grado di eludere le restrizioni della sandbox.
Descrizione: un problema di accesso è stato risolto attraverso restrizioni della sandbox aggiuntive su applicazioni di terze parti.
CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or di Microsoft
libresolv
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: un utente malintenzionato può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di overflow dei numeri interi è stato risolto attraverso una migliore convalida dell'input.
CVE-2022-26775: Max Shavrick (@_mxms) del Google Security Team
libresolv
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: un utente malintenzionato può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2022-26708: Max Shavrick (@_mxms) del Google Security Team
libresolv
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: un utente collegato in remoto potrebbe causare l'interruzione del servizio.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2022-32790: Max Shavrick (@_mxms) del Google Security Team
libresolv
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: un utente malintenzionato può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2022-26776: Max Shavrick (@_mxms) del Google Security Team, Zubair Ashraf di Crowdstrike
libxml2
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2022-23308
Security
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: un'app dannosa può essere in grado di bypassare la convalida della firma.
Descrizione: un problema di analisi dei certificati è stato risolto con migliori controlli.
CVE-2022-26766: Linus Henze di Pinauten GmbH (pinauten.de)
TCC
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: un'app può essere in grado di acquisire la schermata dell'utente.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2022-26726: Antonio Cheong Yu Xuan di YCISCQ
WebKit
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-26700: ryuzaki
WebKit
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2022-26709: Chijin Zhou di ShuiMuYuLin Ltd e Tsinghua wingtecher lab
CVE-2022-26710: Chijin Zhou di ShuiMuYuLin Ltd e Tsinghua wingtecher lab
CVE-2022-26717: Jeonghoon Shin di Theori
WebKit
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-26716: SorryMybad (@S0rryMybad) di Kunlun Lab
CVE-2022-26719: Dongzhuo Zhao in collaborazione con ADLab di Venustech
Wi-Fi
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: un'applicazione dannosa può causare la divulgazione della memoria con restrizioni.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
CVE-2022-26745: Scarlet Raine
Wi-Fi
Disponibile per: Apple Watch Series 3 e modelli successivi
Impatto: un'applicazione dannosa può causare la divulgazione della memoria con restrizioni.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
CVE-2022-26745: un ricercatore anonimo
Altri riconoscimenti
AppleMobileFileIntegrity
Ringraziamo Wojciech Reguła (@_r3ggi) di SecuRing per l'assistenza.
WebKit
Ringraziamo James Lee e un ricercatore anonimo per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.