Informazioni sui contenuti di sicurezza di watchOS 10.6
In questo documento vengono descritti i contenuti di sicurezza di watchOS 10.6.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle versioni più recenti alla pagina Versioni di sicurezza Apple.
Quando possibile, i documenti sulla sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consultare questo articolo sulla sicurezza dei prodotti Apple.
watchOS 10.6
Data di rilascio: 29 luglio 2024
AppleMobileFileIntegrity
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe bypassare le preferenze sulla privacy
Descrizione: un problema di downgrade è stato risolto con ulteriori restrizioni di firma del codice.
CVE-2024-40774: Mickey Jin (@patch1t)
CoreGraphics
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'elaborazione di un file dannoso potrebbe causare la chiusura improvvisa dell'applicazione.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2024-40799: D4m0n
dyld
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un utente malintenzionato con funzionalità di lettura e scrittura arbitraria potrebbe riuscire a bypassare l'autenticazione del puntatore.
Descrizione: una race condition è stata risolta con un'ulteriore convalida.
CVE-2024-40815: w0wbox
Family Sharing
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: il problema è stato risolto attraverso una migliore protezione dei dati.
CVE-2024-40795: Csaba Fitzl (@theevilbit) di Kandji
ImageIO
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'elaborazione di un'immagine potrebbe causare l'interruzione del servizio
Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.
CVE-2023-6277
CVE-2023-52356
ImageIO
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'elaborazione di un file dannoso potrebbe causare la chiusura improvvisa dell'applicazione.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2024-40806: Yisumi
ImageIO
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'elaborazione di un file dannoso potrebbe causare la chiusura improvvisa dell'applicazione.
Descrizione: un problema di accesso non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2024-40777: Junsung Lee in collaborazione con Zero Day Initiative di Trend Micro e Amir Bazine e Karsten König di CrowdStrike Counter Adversary Operations
ImageIO
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'elaborazione di un file dannoso potrebbe causare la chiusura improvvisa dell'applicazione.
Descrizione: un problema di overflow dei numeri interi è stato risolto attraverso una migliore convalida dell'input.
CVE-2024-40784: Junsung Lee in collaborazione con Zero Day Initiative di Trend Micro e Gandalf4a
Kernel
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un utente malintenzionato locale potrebbe essere in grado di determinare il layout della memoria del kernel.
Descrizione: un problema di divulgazione delle informazioni è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2024-27863: CertiK SkyFall Team
Kernel
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un utente malintenzionato locale potrebbe causare un arresto imprevisto del sistema.
Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.
CVE-2024-40788: Minghao Lin e Jiaxun Zhu della Zhejiang University
libxpc
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe bypassare le preferenze sulla privacy.
Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.
CVE-2024-40805
Phone
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un utente malintenzionato con accesso fisico potrebbe essere in grado di usare Siri per accedere ai dati sensibili dell'utente.
Descrizione: un problema della schermata di blocco è stato risolto con una migliore gestione dello stato.
CVE-2024-40813: Jacob Braun
Sandbox
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe bypassare le preferenze sulla privacy
Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2024-40824: Wojciech Regula di SecuRing (wojciechregula.blog) e Zhongquan Li (@Guluisacat) di Dawn Security Lab di JingDong
Shortcuts
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un comando rapido può essere in grado di utilizzare dati sensibili con determinate azioni senza richiedere l'autorizzazione dell'utente.
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2024-40835: un ricercatore anonimo
CVE-2024-40836: un ricercatore anonimo
Shortcuts
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un comando rapido potrebbe riuscire a bypassare i requisiti per le autorizzazioni internet.
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2024-40809: un ricercatore anonimo
CVE-2024-40812: un ricercatore anonimo
Shortcuts
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un comando rapido potrebbe riuscire a bypassare i requisiti per le autorizzazioni internet.
Descrizione: questo problema è stato risolto aggiungendo una richiesta aggiuntiva di consenso dell'utente.
CVE-2024-40787: un ricercatore anonimo
Shortcuts
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.
CVE-2024-40793: Kirin (@Pwnrin)
Siri
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un utente malintenzionato con accesso fisico potrebbe essere in grado di usare Siri per accedere ai dati sensibili dell'utente
Descrizione: il problema è stato risolto limitando le opzioni offerte su un dispositivo bloccato.
CVE-2024-40818: Bistrit Dahal e Srijan Poudel
Siri
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un malintenzionato con accesso fisico a un dispositivo potrebbe essere in grado di accedere ai contatti dalla schermata di blocco.
Descrizione: il problema è stato risolto limitando le opzioni offerte su un dispositivo bloccato.
CVE-2024-40822: Srijan Poudel
VoiceOver
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un malintenzionato potrebbe visualizzare i contenuti con restrizioni dalla schermata di blocco.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2024-40829: Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology Bhopal India
WebKit
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.
Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.
WebKit Bugzilla: 273176
CVE-2024-40776: Huang Xilin di Ant Group Light-Year Security Lab
WebKit Bugzilla: 268770
CVE-2024-40782: Maksymilian Motyl
WebKit
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
WebKit Bugzilla: 275431
CVE-2024-40779: Huang Xilin di Ant Group Light-Year Security Lab
WebKit Bugzilla: 275273
CVE-2024-40780: Huang Xilin di Ant Group Light-Year Security Lab
WebKit
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'elaborazione di contenuti web dannosi può causare un attacco di scripting cross-site.
Descrizione: il problema è stato risolto attraverso migliori controlli.
WebKit Bugzilla: 273805
CVE-2024-40785: Johan Carlsson (joaxcar)
WebKit
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.
Descrizione: un problema di accesso non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2024-40789: Seunghyun Lee (@0x10n) di KAIST Hacking Lab in collaborazione con Zero Day Initiative di Trend Micro
WebKit
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.
Descrizione: il problema è stato risolto con controlli migliori.
WebKit Bugzilla: 276097
CVE-2024-44185: Gary Kwong
Voce aggiunta il 15 ottobre 2024
WebKit
Disponibile per: Apple Watch Series 4 e modelli successivi
Impatto: un utente potrebbe aggirare alcune restrizioni per i contenuti web
Descrizione: un problema nella gestione dei protocolli URL è stato risolto attraverso una logica migliorata.
WebKit Bugzilla: 280765
CVE-2024-44206: Andreas Jaegersberger e Ro Achterberg
Voce aggiunta il 15 ottobre 2024
Altri riconoscimenti
Shortcuts
Ringraziamo un ricercatore anonimo per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.