Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma problemi relativi alla sicurezza prima di aver completato un'indagine approfondita e preparato le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle nuove versioni alla pagina Versioni di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
watchOS 10.4
Rilasciato il 7 marzo 2024
Accessibility
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app dannosa può essere in grado di analizzare i dati dell'utente nelle voci di registro relative alle notifiche di accessibilità.
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2024-23291
AppleMobileFileIntegrity
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe riuscire a rendere i privilegi più elevati
Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.
CVE-2024-23288: Wojciech Regula di SecuRing (wojciechregula.blog) e Kirin (@Pwnrin)
CoreBluetooth - LE
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app può accedere ai microfoni connessi tramite Bluetooth senza l'autorizzazione dell'utente.
Descrizione: un problema di accesso è stato risolto attraverso migliori restrizioni di accesso.
CVE-2024-23250: Guilherme Rambo di Best Buddy Apps (rambo.codes)
file
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'elaborazione di un file potrebbe causare l'interruzione del servizio o la divulgazione di contenuti presenti in memoria.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2022-48554
ImageIO
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'elaborazione di un'immagine può causare l'esecuzione di un codice arbitrario.
Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.
CVE-2024-23286: Junsung Lee in collaborazione con Zero Day Initiative di Trend Micro, Amir Bazine e Karsten König di CrowdStrike Counter Adversary Operations, Dohyun Lee (@l33d0hyun), nonché Lyutoon e Mr.R
Voce aggiornata il 31 maggio 2024
Kernel
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: una race condition è stata risolta con un'ulteriore convalida.
CVE-2024-23235
Kernel
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe causare l'arresto improvviso del sistema o scrivere sulla memoria del kernel
Descrizione: una vulnerabilità al danneggiamento della memoria è stata risolta attraverso un blocco migliore.
CVE-2024-23265: Xinru Chi di Pangu Lab
Kernel
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un malintenzionato con funzionalità di lettura e scrittura arbitraria potrebbe riuscire a bypassare le protezioni della memoria del kernel. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
CVE-2024-23225
libxpc
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe essere in grado di uscire dalla sandbox
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2024-23278: un ricercatore anonimo
libxpc
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app può eseguire codice arbitrario al di fuori della sandbox o con determinati privilegi elevati.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2024-0258: ali yabuz
MediaRemote
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'applicazione dannosa può accedere a informazioni private.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2024-23297: scj643
Messages
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: un problema di privacy è stato risolto attraverso una migliore gestione dei file temporanei.
CVE-2024-23287: Kirin (@Pwnrin)
RTKit
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un malintenzionato con funzionalità di lettura e scrittura arbitraria potrebbe riuscire a bypassare le protezioni della memoria del kernel. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
CVE-2024-23296
Sandbox
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe divulgare informazioni sensibili degli utenti
Descrizione: una race condition è stata risolta attraverso una migliore gestione dello stato.
CVE-2024-23239: Mickey Jin (@patch1t)
Sandbox
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.
CVE-2024-23290: Wojciech Regula di SecuRing (wojciechregula.blog)
Share Sheet
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2024-23231: Kirin (@Pwnrin) e luckyu (@uuulucky)
Siri
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: una persona con accesso fisico a un dispositivo può essere in grado di usare Siri per accedere alle informazioni private del calendario.
Descrizione: un problema della schermata di blocco è stato risolto con una migliore gestione dello stato.
CVE-2024-23289: Lewis Hardy
Siri
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un utente malintenzionato con accesso fisico potrebbe essere in grado di usare Siri per accedere ai dati sensibili dell'utente
Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2024-23293: Bistrit Dahal
UIKit
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe essere in grado di uscire dalla sandbox
Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.
CVE-2024-23246: Deutsche Telekom Security GmbH con la sponsorizzazione di Bundesamt für Sicherheit in der Informationstechnik (agenzia federale tedesca per la sicurezza informatica)
WebKit
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto migliorando la gestione della memoria.
WebKit Bugzilla: 259694
CVE-2024-23226: Pwn2car
WebKit
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un sito web dannoso può causare l'esfiltrazione dei dati audio multiorigine.
Descrizione: il problema è stato risolto attraverso una migliore gestione dell'interfaccia utente.
WebKit Bugzilla: 263795
CVE-2024-23254: James Lee (@Windowsrcer)
WebKit
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'elaborazione di contenuti web pericolosi potrebbe impedire l'applicazione della Content Security Policy.
Descrizione: un problema logico è stato risolto attraverso una migliore convalida.
WebKit Bugzilla: 264811
CVE-2024-23263: Johan Carlsson (joaxcar)
WebKit
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: una pagina web dannosa potrebbe essere in grado di creare una rappresentazione univoca dell'utente.
Descrizione: un problema di injection è stato risolto attraverso una migliore convalida.
WebKit Bugzilla: 266703
CVE-2024-23280: un ricercatore anonimo
WebKit
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'elaborazione di contenuti web pericolosi potrebbe impedire l'applicazione della Content Security Policy.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
WebKit Bugzilla: 267241
CVE-2024-23284: Georg Felber e Marco Squarcina
Altri riconoscimenti
CoreAnimation
Ringraziamo Junsung Lee per l'assistenza.
CoreMotion
Ringraziamo Eric Dorphy di Twin Cities App Dev LLC per l'assistenza.
Find My
Ringraziamo Meng Zhang (鲸落) di NorthSea per l'assistenza.
Kernel
Ringraziamo Tarek Joumaa (@tjkr0wn) per l'assistenza.
libxml2
Ringraziamo OSS-Fuzz e Ned Williamson di Google Project Zero per l'assistenza.
libxpc
Ringraziamo Rasmus Sten, F-Secure (Mastodon: @pajp@blog.dll.nu) e un ricercatore anonimo per l'assistenza.
Power Management
Ringraziamo Pan ZhenPeng (@Peterpan0927) di STAR Labs SG Pte. Ltd. per l'assistenza.
Sandbox
Ringraziamo Zhongquan Li (@Guluisacat) per l'assistenza.
Siri
Ringraziamo Bistrit Dahal per l'assistenza.
Software Update
Ringraziamo Bin Zhang della Dublin City University per l'assistenza.
WebKit
Ringraziamo Nan Wang (@eternalsakura13) di 360 Vulnerability Research Institute, Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina e Lorenzo Veronese dell'Università tecnica di Vienna per l'assistenza.