Informazioni sui contenuti di sicurezza di watchOS 11.2

In questo documento vengono descritti i contenuti di sicurezza di watchOS 11.2.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle versioni più recenti alla pagina Versioni di sicurezza Apple.

Quando possibile, i documenti sulla sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consultare questo articolo sulla sicurezza dei prodotti Apple.

watchOS 11.2

AppleMobileFileIntegrity

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un'app dannosa potrebbe accedere a informazioni private

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-54526: Mickey Jin (@patch1t), Arsenii Kostromin (0x3c3e)

AppleMobileFileIntegrity

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2024-54527: Mickey Jin (@patch1t)

Crash Reporter

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2024-54513: un ricercatore anonimo

FontParser

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: l'elaborazione di un font dannoso può causare la divulgazione della memoria dei processi.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-54486: Hossein Lotfi (@hosselot) di Trend Micro Zero Day Initiative

ImageIO

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: l'elaborazione di un'immagine dannosa potrebbe causare la divulgazione dei contenuti della memoria dei processi

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-54500: Junsung Lee in collaborazione con Trend Micro Zero Day Initiative

Kernel

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un utente malintenzionato potrebbe riuscire a creare una mappatura della memoria di sola lettura che può essere scritta su

Descrizione: una race condition è stata risolta con un'ulteriore convalida.

CVE-2024-54494: sohybbyk

Kernel

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un'app potrebbe divulgare lo stato sensibile del kernel

Descrizione: una race condition è stata risolta attraverso un blocco migliore.

CVE-2024-54510: Joseph Ravichandran (@0xjprx) di MIT CSAIL

libexpat

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un utente malintenzionato in remoto potrebbe causare la chiusura improvvisa di un'applicazione o l'esecuzione di codice arbitrario.

Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.

CVE-2024-45490

libxpc

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un'app potrebbe essere in grado di uscire dalla sandbox.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-54514: un ricercatore anonimo

libxpc

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: un'app potrebbe riuscire ad acquisire privilegi elevati

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2024-44225: 风沐云烟(@binary_fmyy)

SceneKit

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: l'elaborazione di un file dannoso può causare una negazione del servizio.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-54501: Michael DePlante (@izobashi) di Trend Micro's Zero Day Initiative

WebKit

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-54479: Seunghyun Lee

CVE-2024-54502: Brendon Tiszka di Google Project Zero

WebKit

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2024-54508: linjy di HKUS3Lab e chluo di WHUSecLab, Xiangwei Zhang di Tencent Security YUNDING LAB

WebKit

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: l'elaborazione di contenuti web pericolosi può causare la corruzione della memoria

Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.

CVE-2024-54505: Gary Kwong

WebKit

Disponibile per: Apple Watch Series 6 e modelli successivi

Impatto: l'elaborazione di contenuti web pericolosi può causare la corruzione della memoria

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2024-54534: Tashita Software Security

Altri riconoscimenti

FaceTime

Ringraziamo 椰椰 per l'assistenza.

Prossimità

Ringraziamo Junming C. (@Chapoly1305) e il Prof. Qiang Zeng della George Mason University per la loro assistenza.

Swift

Ringraziamo Marc Schoenefeld, Dr. rer. nat. per l'assistenza.

WebKit

Ringraziamo Hafiizh per l'assistenza.