Informazioni sui contenuti di sicurezza di watchOS 8.6

In questo documento vengono descritti i contenuti di sicurezza di watchOS 8.6.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

watchOS 8.6

Data di rilascio: 16 maggio 2022

AppleAVD

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2022-26702: un ricercatore anonimo, Antonio Zekic (@antoniozekic) e John Aakerblom (@jaakerblom)

Voce aggiornata il 6 giugno 2023

AppleAVD

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un'applicazione potrebbe essere in grado di eseguire codice arbitrario con privilegi kernel. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2022-22675: un ricercatore anonimo

DriverKit

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di accesso non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2022-26763: Linus Henze di Pinauten GmbH (pinauten.de)

ImageIO

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di overflow dei numeri interi è stato risolto attraverso una migliore convalida dell'input.

CVE-2022-26711: actae0n di Blacksun Hackers Club in collaborazione con Trend Micro Zero Day Initiative

IOMobileFrameBuffer

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2022-26768: un ricercatore anonimo

IOSurfaceAccelerator

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2022-26771: un ricercatore anonimo

Kernel

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.

CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) di STAR Labs (@starlabs_sg)

Kernel

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2022-26757: Ned Williamson di Google Project Zero

Kernel

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un utente malintenzionato che ha già ottenuto l'esecuzione del codice kernel può essere in grado di bypassare le mitigazioni della memoria del kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.

CVE-2022-26764: Linus Henze di Pinauten GmbH (pinauten.de)

Kernel

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un utente malintenzionato con funzionalità di lettura e scrittura arbitraria potrebbe riuscire a bypassare l'autenticazione del puntatore.

Descrizione: una race condition è stata risolta attraverso una migliore gestione dello stato.

CVE-2022-26765: Linus Henze di Pinauten GmbH (pinauten.de)

LaunchServices

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un processo sandbox può essere in grado di eludere le restrizioni della sandbox.

Descrizione: un problema di accesso è stato risolto attraverso restrizioni della sandbox aggiuntive su applicazioni di terze parti.

CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or di Microsoft

Voce aggiornata il 6 luglio 2022

libresolv

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un utente malintenzionato può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di overflow dei numeri interi è stato risolto attraverso una migliore convalida dell'input.

CVE-2022-26775: Max Shavrick (@_mxms) del Google Security Team

Voce aggiunta il 21 giugno 2022

libresolv

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un utente malintenzionato può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2022-26708: Max Shavrick (@_mxms) del Google Security Team

Voce aggiunta il 21 giugno 2022

libresolv

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un utente collegato in remoto potrebbe causare l'interruzione del servizio.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2022-32790: Max Shavrick (@_mxms) del Google Security Team

Voce aggiunta il 21 giugno 2022

libresolv

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un utente malintenzionato può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2022-26776: Max Shavrick (@_mxms) del Google Security Team, Zubair Ashraf di Crowdstrike

Voce aggiunta il 21 giugno 2022

libxml2

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2022-23308

Security

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un'app dannosa può essere in grado di bypassare la convalida della firma.

Descrizione: un problema di analisi dei certificati è stato risolto con migliori controlli.

CVE-2022-26766: Linus Henze di Pinauten GmbH (pinauten.de)

TCC

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un'app può essere in grado di acquisire la schermata dell'utente.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2022-26726: Antonio Cheong Yu Xuan di YCISCQ

Voce aggiornata il 6 giugno 2023

WebKit

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

WebKit Bugzilla: 238178

CVE-2022-26700: ryuzaki

WebKit

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

WebKit Bugzilla: 236950

CVE-2022-26709: Chijin Zhou di ShuiMuYuLin Ltd e Tsinghua wingtecher lab

WebKit Bugzilla: 237475

CVE-2022-26710: Chijin Zhou di ShuiMuYuLin Ltd e Tsinghua wingtecher lab

WebKit Bugzilla: 238171

CVE-2022-26717: Jeonghoon Shin di Theori

WebKit

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

WebKit Bugzilla: 238183

CVE-2022-26716: SorryMybad (@S0rryMybad) di Kunlun Lab

WebKit Bugzilla: 238699

CVE-2022-26719: Dongzhuo Zhao in collaborazione con ADLab di Venustech

Wi-Fi

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un'applicazione dannosa può causare la divulgazione della memoria con restrizioni.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.

CVE-2022-26745: Scarlet Raine

Voce aggiunta il 6 luglio 2022

Wi-Fi

Disponibile per: Apple Watch Series 3 e modelli successivi

Impatto: un'applicazione dannosa può causare la divulgazione della memoria con restrizioni.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.

CVE-2022-26745: un ricercatore anonimo

Altri riconoscimenti

AppleMobileFileIntegrity

Ringraziamo Wojciech Reguła (@_r3ggi) di SecuRing per l'assistenza.

WebKit

Ringraziamo James Lee e un ricercatore anonimo per l'assistenza.

Voce aggiornata il 25 maggio 2022

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: