Informazioni sui contenuti di sicurezza di watchOS 10.5

In questo documento vengono descritti i contenuti di sicurezza di watchOS 10.5.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma problemi relativi alla sicurezza prima di aver completato un'indagine approfondita e preparato le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle nuove versioni alla pagina Versioni di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

watchOS 10.5

Data di rilascio: 13 maggio 2024

AppleAVD

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app potrebbe causare l'arresto improvviso del sistema

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)

Voce aggiornata il 15 maggio 2024

AppleMobileFileIntegrity

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un utente malintenzionato potrebbe accedere ai dati degli utenti

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2024-27816: Mickey Jin (@patch1t)

Core Data

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: un problema è stato risolto con una migliore convalida delle variabili ambientali.

CVE-2024-27805: Kirin (@Pwnrin) e 小来来 (@Smi1eSEC)

Voce aggiunta il 10 giugno 2024

Disk Images

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app potrebbe riuscire a rendere i privilegi più elevati

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-27832: un ricercatore anonimo

Voce aggiunta il 10 giugno 2024

Foundation

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app potrebbe riuscire a rendere i privilegi più elevati

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-27801: CertiK SkyFall Team

Voce aggiunta il 10 giugno 2024

IOSurface

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: il problema è stato risolto migliorando la gestione della memoria.

CVE-2024-27828: Pan ZhenPeng (@Peterpan0927) di STAR Labs SG Pte. Ltd.

Voce aggiunta il 10 giugno 2024

Kernel

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un utente malintenzionato che ha già ottenuto l'esecuzione del codice kernel può essere in grado di bypassare le protezioni della memoria del kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2024-27840: un ricercatore anonimo

Voce aggiunta il 10 giugno 2024

Kernel

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2024-27815: un ricercatore anonimo e Joseph Ravichandran (@0xjprx) di MIT CSAIL

Voce aggiunta il 10 giugno 2024

libiconv

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app potrebbe riuscire a rendere i privilegi più elevati

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-27811: Nick Wellnhofer

Voce aggiunta il 10 giugno 2024

Mail

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un utente malitenzionato che può accedere fisicamente potrebbe divulgare le credenziali per l'account di Mail.

Descrizione: un problema di autenticazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2024-23251: Gil Pedersen

Voce aggiunta il 10 giugno 2024

Mail

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'email pericolosa potrebbe avviare chiamate FaceTime senza autorizzazione dell'utente.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-23282: Dohyun Lee (@l33d0hyun)

Voce aggiunta il 10 giugno 2024

Maps

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.

Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.

CVE-2024-27810: LFY@secsys dell'Università Fudan di Shangai

Messages

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: l'elaborazione di un messaggio pericoloso potrebbe causare un'interruzione del servizio.

Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.

CVE-2024-27800: Daniel Zajork e Joshua Zajork

Voce aggiunta il 10 giugno 2024

Phone

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: una persona con accesso fisico a un dispositivo può essere in grado di visualizzare le informazioni di contatto dalla schermata di blocco.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2024-27814: Dalibor Milanovic

Voce aggiunta il 10 giugno 2024

RemoteViewServices

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un utente malintenzionato potrebbe accedere ai dati degli utenti

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2024-27816: Mickey Jin (@patch1t)

Shortcuts

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'abbreviazione potrebbe esporre dati sensibili dell'utente senza consenso.

Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.

CVE-2024-27821: Kirin (@Pwnrin), zbleet e Csaba Fitzl (@theevilbit) di Kandji

Spotlight

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: il problema è stato risolto attraverso una migliore sanitizzazione dell'ambiente.

CVE-2024-27806

Voce aggiunta il 10 giugno 2024

WebKit

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un utente malintenzionato con capacità arbitraria di lettura e scrittura potrebbe riuscire a bypassare l'autenticazione del puntatore

Descrizione: il problema è stato risolto con controlli migliori.

WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) in collaborazione con Zero Day Initiative di Trend Micro

WebKit

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: una pagina web dannosa potrebbe essere in grado di creare una rappresentazione univoca dell'utente.

Descrizione: il problema è stato risolto mediante l'aggiunta di ulteriore logica.

WebKit Bugzilla: 262337
CVE-2024-27838: Emilio Cobos di Mozilla

Voce aggiunta il 10 giugno 2024

WebKit

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto migliorando la gestione della memoria.

WebKit Bugzilla: 268221
CVE-2024-27808: Lukas Bernhard di CISPA Helmholtz Center for Information Security

Voce aggiunta il 10 giugno 2024

WebKit

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto con migliori controlli dei limiti.

WebKit Bugzilla: 272106
CVE-2024-27851: Nan Wang (@eternalsakura13) di 360 Vulnerability Research Institute

Voce aggiunta il 10 giugno 2024

WebKit

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: un utente malintenzionato con funzionalità di lettura e scrittura arbitraria potrebbe riuscire a bypassare l'autenticazione del puntatore.

Descrizione: il problema è stato risolto con controlli migliori.

WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiunta il 10 giugno 2024

WebKit Canvas

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: una pagina web dannosa potrebbe essere in grado di creare una rappresentazione univoca dell'utente.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

WebKit Bugzilla: 271159
CVE-2024-27830: Joe Rutkowski (@Joe12387) di Crawless e @abrahamjuliot

Voce aggiunta il 10 giugno 2024

WebKit Web Inspector

Disponibile per: Apple Watch Series 4 e modelli successivi

Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto migliorando la gestione della memoria.

WebKit Bugzilla: 270139
CVE-2024-27820: Jeff Johnson di underpassapp.com

Voce aggiunta il 10 giugno 2024

 

Altri riconoscimenti

App Store

Ringraziamo un ricercatore anonimo per l'assistenza.

AppleMobileFileIntegrity

Ringraziamo Mickey Jin (@patch1t) per l'assistenza.

Voce aggiunta il 10 giugno 2024

CoreHAP

Ringraziamo Adrian Cable per l'assistenza.

Disk Images

Ringraziamo Mickey Jin (@patch1t) per l'assistenza.

Voce aggiunta il 10 giugno 2024

HearingCore

Ringraziamo un ricercatore anonimo per l'assistenza.

ImageIO

Ringraziamo un ricercatore anonimo per l'assistenza.

Voce aggiunta il 10 giugno 2024

Managed Configuration

Ringraziamo 遥遥领先 (@晴天组织) per l'assistenza.

Siri

Ringraziamo Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology Bhopal India per l'assistenza.

Voce aggiunta il 10 giugno 2024

Transparency

Ringraziamo Mickey Jin (@patch1t) per l'assistenza.

Voce aggiunta il 10 giugno 2024

 

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: