Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
watchOS 9
Data di rilascio: 12 settembre 2022
Accelerate Framework
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di consumo della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2022-42795: ryuzaki
AppleAVD
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2022-32907: Natalie Silvanovich di Google Project Zero, Antonio Zekic (@antoniozekic) e John Aakerblom (@jaakerblom), ABC Research s.r.o, Yinyi Wu, Tommaso Bianco (@cutesmilee__)
Apple Neural Engine
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe divulgare lo stato sensibile del kernel
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2022-32858: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2022-32898: Mohamed Ghannam (@_simo36)
CVE-2022-32899: Mohamed Ghannam (@_simo36)
CVE-2022-32889: Mohamed Ghannam (@_simo36)
Contacts
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe bypassare le preferenze sulla privacy.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2022-32854: Holger Fuhrmannek di Deutsche Telekom Security
Exchange
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un utente in una posizione privilegiata nella rete potrebbe intercettare le credenziali della posta.
Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.
CVE-2022-32928: Jiří Vinopal (@vinopaljiri) di Check Point Research
Voce aggiornata l'8 giugno 2023
GPU Drivers
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2022-32903: un ricercatore anonimo
ImageIO
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'elaborazione di un'immagine potrebbe causare l'interruzione del servizio
Descrizione: un problema di interruzione del servizio è stato risolto attraverso una migliore convalida.
CVE-2022-1622
Image Processing
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'applicazione sandbox potrebbe essere in grado di determinare quale app utilizza la fotocamera.
Descrizione: il problema è stato risolto attraverso restrizioni aggiuntive sull'osservabilità degli stati delle app.
CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)
Kernel
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe rivelare la memoria kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2022-32864: Linus Henze di Pinauten GmbH (pinauten.de)
Kernel
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2022-32866: Linus Henze di Pinauten GmbH (pinauten.de)
CVE-2022-32911: Zweig di Kunlun Lab
Kernel
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2022-32914: Zweig di Kunlun Lab
Kernel
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'applicazione può causare l'esecuzione di codice arbitrario con privilegi kernel. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente.
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2022-32894: un ricercatore anonimo
Maps
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.
CVE-2022-32883: Ron Masas di breakpointhq.com
MediaLibrary
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un utente può essere in grado di rendere più elevati i privilegi.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2022-32908: un ricercatore anonimo
Notifications
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: una utente con accesso fisico a un dispositivo può essere in grado di accedere ai contatti dalla schermata di blocco.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-32879: Ubeydullah Sümer
Sandbox
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.
CVE-2022-32881: Csaba Fitzl (@theevilbit) di Offensive Security
Siri
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un utente con accesso fisico a un dispositivo può essere in grado di usare Siri per ottenere alcune informazioni sulla cronologia delle chiamate.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-32870: Andrew Goldberg della McCombs School of Business della University of Texas di Austin (linkedin.com/in/andrew-goldberg-/)
SQLite
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un utente collegato in remoto potrebbe causare l'interruzione del servizio.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-36690
Watch app
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un utente locale può essere in grado di leggere un identificatore di dispositivi persistente.
Descrizione: questo problema è stato risolto attraverso migliori autorizzazioni.
CVE-2022-32835: Guilherme Rambo di Best Buddy Apps (rambo.codes)
Weather
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-32875: un ricercatore anonimo
WebKit
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.
WebKit Bugzilla: 241969
CVE-2022-32886: P1umer (@p1umer), afang (@afang5472), xmzyshypnc (@xmzyshypnc1)
WebKit
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)
WebKit
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a) di Theori in collaborazione con Zero Day Initiative di Trend Micro
WebKit
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'accesso a un sito web che presenta contenuti dannosi potrebbe causare lo spoofing dell'interfaccia utente.
Descrizione: il problema è stato risolto attraverso una migliore gestione dell'interfaccia utente.
WebKit Bugzilla: 243236
CVE-2022-32891: @real_as3617, un ricercatore anonimo
WebKit
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'elaborazione di un contenuto web pericoloso potrebbe causare l'esecuzione di codice arbitrario. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente.
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
WebKit Bugzilla: 243557
CVE-2022-32893: un ricercatore anonimo
Wi-Fi
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-46709: Wang Yu di Cyberserval
Voce aggiunta l'8 giugno 2023
Wi-Fi
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe causare l'arresto improvviso del sistema o scrivere sulla memoria del kernel
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2022-32925: Wang Yu di Cyberserval
Altri riconoscimenti
AppleCredentialManager
Ringraziamo @jonathandata1 per l'assistenza.
FaceTime
Ringraziamo un ricercatore anonimo per l'assistenza.
Kernel
Ringraziamo un ricercatore anonimo per l'assistenza.
Ringraziamo un ricercatore anonimo per l'assistenza.
Safari
Ringraziamo Scott Hatfield di Sub-Zero Group per l'assistenza.
Voce aggiunta l'8 giugno 2023
Sandbox
Ringraziamo Csaba Fitzl (@theevilbit) di Offensive Security per l'assistenza.
UIKit
Ringraziamo Aleczander Ewing per l'assistenza.
WebKit
Ringraziamo un ricercatore anonimo per l'assistenza.
WebRTC
Ringraziamo un ricercatore anonimo per l'assistenza.