Informazioni sui contenuti di sicurezza di watchOS 11.2

In questo documento vengono descritti i contenuti di sicurezza di watchOS 11.2.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle versioni più recenti alla pagina Versioni di sicurezza Apple.

Quando possibile, i documenti sulla sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consultare questo articolo sulla sicurezza dei prodotti Apple.

watchOS 11.2

Data di rilascio: 11 dicembre 2024

APFS

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2024-54541: Arsenii Kostromin (0x3c3e) e un ricercatore anonimo

Voce aggiunta il 27 gennaio 2025

AppleMobileFileIntegrity

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un'app dannosa potrebbe accedere a informazioni private

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-54526: Mickey Jin (@patch1t), Arsenii Kostromin (0x3c3e)

AppleMobileFileIntegrity

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2024-54527: Mickey Jin (@patch1t)

Crash Reporter

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2024-54513: un ricercatore anonimo

Face Gallery

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un sistema binario potrebbe essere usato per accedere all'Apple Account di un utente.

Descrizione: il problema è stato risolto rimuovendo i flag rilevanti.

CVE-2024-54512: Bistrit Dahal

Voce aggiunta il 27 gennaio 2025

FontParser

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: l'elaborazione di un font dannoso può causare la divulgazione della memoria dei processi.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-54486: Hossein Lotfi (@hosselot) di Trend Micro Zero Day Initiative

ICU

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: un problema di accesso non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2024-54478: Gary Kwong

Voce aggiunta il 27 gennaio 2025

ImageIO

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2024-54499: anonimo in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiunta il 27 gennaio 2025

ImageIO

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: l'elaborazione di un'immagine dannosa potrebbe causare la divulgazione dei contenuti della memoria dei processi

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-54500: Junsung Lee in collaborazione con Zero Day Initiative di Trend Micro

IOMobileFrameBuffer

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un'app potrebbe danneggiare la memoria del coprocessore.

Descrizione: il problema è stato risolto con migliori controlli dei limiti.

CVE-2024-54517: Ye Zhang (@VAR10CK) di Baidu Security

CVE-2024-54518: Ye Zhang (@VAR10CK) di Baidu Security

CVE-2024-54522: Ye Zhang (@VAR10CK) di Baidu Security

CVE-2024-54523: Ye Zhang (@VAR10CK) di Baidu Security

Voce aggiunta il 27 gennaio 2025

Kernel

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un'app potrebbe essere in grado di uscire dalla sandbox.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-54468: un ricercatore anonimo

Voce aggiunta il 27 gennaio 2025

Kernel

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un utente malintenzionato può essere in grado di creare una mappatura di memoria di sola lettura che può essere scritta

Descrizione: una race condition è stata risolta con un'ulteriore convalida.

CVE-2024-54494: sohybbyk

Kernel

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un'app potrebbe divulgare lo stato sensibile del kernel

Descrizione: una race condition è stata risolta attraverso un blocco migliore.

CVE-2024-54510: Joseph Ravichandran (@0xjprx) di MIT CSAIL

libexpat

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un utente malintenzionato in remoto potrebbe causare la chiusura improvvisa di un'applicazione o l'esecuzione di codice arbitrario.

Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.

CVE-2024-45490

libxpc

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un'app potrebbe essere in grado di uscire dalla sandbox.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-54514: un ricercatore anonimo

libxpc

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un'app potrebbe riuscire ad acquisire privilegi elevati

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2024-44225: 风沐云烟(@binary_fmyy)

Passkey

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: Inserimento automatico password potrebbe immettere password anche dopo un'autenticazione fallita

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-54530: Abhay Kailasia (@abhay_kailasia) di C-DAC Thiruvananthapuram India, Rakeshkumar Talaviya

Voce aggiunta il 27 gennaio 2025

QuartzCore

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: l'elaborazione di contenuti web potrebbe causare l'interruzione del servizio.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-54497: anonimo in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiunta il 27 gennaio 2025

Safari Private Browsing

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: potrebbero verificarsi accessi senza autenticazione alle schede di navigazione private.

Descrizione: un problema di autenticazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2024-54542: Rei (@reizydev), Kenneth Chew

Voce aggiunta il 27 gennaio 2025

SceneKit

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: l'elaborazione di un file dannoso può causare una negazione del servizio.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-54501: Michael DePlante (@izobashi) di Zero Day Initiative di Trend Micro

Vim

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: l'elaborazione di un file dannoso può danneggiare la memoria heap.

Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.

CVE-2024-45306

Voce aggiunta il 27 gennaio 2025

WebKit

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: il problema è stato risolto con controlli migliori.

WebKit Bugzilla: 278497

CVE-2024-54479: Seunghyun Lee

WebKit Bugzilla: 281912

CVE-2024-54502: Brendon Tiszka di Google Project Zero

WebKit

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

WebKit Bugzilla: 282180

CVE-2024-54508: linjy di HKUS3Lab e chluo di WHUSecLab, Xiangwei Zhang di Tencent Security YUNDING LAB

WebKit

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: l'elaborazione di contenuti web pericolosi può comportare il danneggiamento della memoria.

Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.

WebKit Bugzilla: 282661

CVE-2024-54505: Gary Kwong

WebKit

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: l'elaborazione di contenuti web pericolosi può comportare il danneggiamento della memoria.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

WebKit Bugzilla: 277967

CVE-2024-54534: Tashita Software Security

WebKit Bugzilla: 282450

CVE-2024-54543: Lukas Bernhard, Gary Kwong e un ricercatore anonimo

Voce aggiornata il 27 gennaio 2025

Altri riconoscimenti

FaceTime

Ringraziamo 椰椰 per l'assistenza.

Proximity

Ringraziamo Junming C. (@Chapoly1305) e il Prof. Qiang Zeng della George Mason University per l'assistenza.

Swift

Ringraziamo Marc Schoenefeld, Dr. rer. nat. per l'assistenza.

WebKit

Ringraziamo Hafiizh per l'assistenza.

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: