Informazioni sui contenuti di sicurezza di watchOS 10.3

In questo documento vengono descritti i contenuti di sicurezza di watchOS 10.3.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma problemi relativi alla sicurezza prima di aver completato un'indagine approfondita e preparato le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle nuove versioni alla pagina Versioni di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

watchOS 10.3

Data di rilascio 22 gennaio 2024

Apple Neural Engine

Disponibile per dispositivi con Apple Neural Engine: Apple Watch Series 9 e Apple Watch Ultra 2

Impatto: un'app potrebbe essere in grado di eseguire codice arbitrario con privilegi kernel

Descrizione: il problema è stato risolto migliorando la gestione della memoria.

CVE-2024-23212: Ye Zhang di Baidu Security

CoreCrypto

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un utente malintenzionato potrebbe riuscire a decrittografare i testi cifrati con chiave RSA PKCS#1 v1.5 legacy senza disporre della chiave privata

Descrizione: un problema side-channel che sfrutta il tempo è stato risolto migliorando il calcolo del tempo costante nelle funzioni di crittografia.

CVE-2024-23218: Clemens Lang

Kernel

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: il problema è stato risolto migliorando la gestione della memoria.

CVE-2024-23208: fmyy(@binary_fmyy) e lime del TIANGONG Team di Legendsec presso QI-ANXIN Group

libxpc

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app potrebbe causare l'interruzione del servizio.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2024-23201: Koh M. Nakagawa di FFRI Security, Inc. e un ricercatore anonimo

Voce aggiunta il 7 marzo 2024

Mail Search

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.

CVE-2024-23207: Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab) e Ian de Marcellus

NSSpellChecker

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: un problema di privacy è stato risolto migliorando la gestione dei file.

CVE-2024-23223: Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab)

Safari

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: l'attività di navigazione privata di un utente potrebbe essere visibile in Impostazioni

Descrizione: un problema di privacy è stato risolto attraverso una migliore gestione delle preferenze dell'utente.

CVE-2024-23211: Mark Bowers

Shortcuts

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un comando rapido può essere in grado di utilizzare dati sensibili con determinate azioni senza richiedere l'autorizzazione dell'utente.

Descrizione: il problema è stato risolto attraverso maggiori controlli dei permessi.

CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)

Shortcuts

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app potrebbe bypassare alcune preferenze sulla privacy

Descrizione: un problema di privacy è stato risolto attraverso una migliore gestione dei file temporanei.

CVE-2024-23217: Kirin (@Pwnrin)

TCC

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente

Descrizione: un problema è stato risolto migliorando la gestione dei file temporanei.

CVE-2024-23215: Zhongquan Li (@Guluisacat)

Time Zone

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app potrebbe riuscire a visualizzare il numero di telefono di un utente nei log di sistema

Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.

CVE-2024-23210: Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab)

WebKit

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: una pagina web dannosa potrebbe essere in grado di acquisire l'impronta digitale dell'utente

Descrizione: un problema di accesso è stato risolto migliorando le restrizioni di accesso.

WebKit Bugzilla: 262699
CVE-2024-23206: un ricercatore anonimo

WebKit

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto migliorando la gestione della memoria.

WebKit Bugzilla: 266619
CVE-2024-23213: Wangtaiyu di Zhongfu info

WebKit

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un sito web dannoso può causare un comportamento multiorigine inaspettato.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

WebKit Bugzilla: 265812
CVE-2024-23271: James Lee (@Windowsrcer)

Voce aggiunta il 24 aprile 2024

 

Altri riconoscimenti

NetworkExtension

Ringraziamo Nils Rollshausen per l'assistenza.

Voce aggiunta il 24 aprile 2024

 

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: