نبذة حول محتوى أمان watchOS 9.4

لحماية عملائنا، تحرص Apple على عدم الإفصاح عن مشاكل الأمان أو طرحها للنقاش أو تأكيدها حتى يتم تقصي الأمر وتوفير تصحيحات أو إصدارات جديدة. يتم إدراج أحدث الإصدارات في صفحة تحديثات أمان Apple.

تشير مستندات الأمان في Apple إلى الثغرات الأمنية من خلال CVE-ID إن أمكن ذلك.

للحصول على مزيد من المعلومات حول الأمان، يمكنك الاطلاع على صفحة أمان منتجات Apple.

تاريخ الإصدار: 27 مارس 2023

AppleMobileFileIntegrity

متوفر لما يلي: Apple Watch Series 4 والإصدارات الأحدث

التأثير: قد يتمكن مستخدم ما من الوصول إلى أجزاء محمية من نظام الملفات

الوصف: تمت معالجة المشكلة من خلال عمليات التحقق المحسَّنة.

CVE-2023-23527: Mickey Jin (@patch1t)

Calendar

متوفر لما يلي: Apple Watch Series 4 والإصدارات الأحدث

التأثير: قد يتسبب استيراد دعوة تقويم متطفلة إلى التصفية المسبقة لمعلومات المستخدم

الوصف: تمت معالجة مشاكل متعددة تتعلق بالتحقق من خلال الإبراء المحسّن.

CVE-2023-27961: ‏‎Rıza Sabuncu (@rizasabuncu)‎

Camera

متوفر لما يلي: Apple Watch Series 4 والإصدارات الأحدث

التأثير: قد يتمكن تطبيق وضع الحماية من تحديد التطبيق الذي يستخدم الكاميرا حاليًا

الوصف: تمت معالجة المشكلة بقيود إضافية على إمكانية ملاحظة حالات التطبيق.

CVE-2023-23543:‏ Yiğit Can YILMAZ (@yilmazcanyigit)‎

تاريخ إضافة الإدخال: 8 يونيو 2023

CoreCapture

متوفر لما يلي: Apple Watch Series 4 والإصدارات الأحدث

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة المشكلة من خلال المعالجة المُحسَّنة للذاكرة.

CVE-2023-28181:‏ Tingting Yin من Tsinghua University

Find My

متوفر لما يلي: Apple Watch Series 4 والإصدارات الأحدث

التأثير: قد يتمكن أحد التطبيقات من قراءة معلومات الموقع الحساسة

الوصف: تمت معالجة مشكلة تتعلق بالخصوصية من خلال تحسين تنقيح البيانات الخاصة لإدخالات السجل.

CVE-2023-23537: Adam M.

CVE-2023-28195: Adam M.

تاريخ تحديث الإدخال: 21 ديسمبر 2023

FontParser

متوفر لما يلي: Apple Watch Series 4 والإصدارات الأحدث

التأثير: قد تؤدي معالجة صورة متطفلة إلى الكشف عن ذاكرة العملية

الوصف: تمت معالجة المشكلة من خلال المعالجة المُحسَّنة للذاكرة.

CVE-2023-27956:‏ Ye Zhang من Baidu Security

Foundation

متوفر لما يلي: Apple Watch Series 4 والإصدارات الأحدث

التأثير: قد يؤدي تحليل قائمة الخصائص (plist) المتطفّلة إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تتعلق بتجاوز عدد صحيح من خلال التحقق المحسّن من صحة الإدخال.

CVE-2023-27937: باحث غير معلوم الهوية

Identity Services

متوفر لما يلي: Apple Watch Series 4 والإصدارات الأحدث

التأثير: قد يتمكن أحد التطبيقات من الوصول إلى معلومات حول جهات اتصال المستخدم

الوصف: تمت معالجة مشكلة تتعلق بالخصوصية من خلال تحسين تنقيح البيانات الخاصة لإدخالات السجل.

CVE-2023-27928:‏ ‎Csaba Fitzl (@theevilbit)‎ من Offensive Security

ImageIO

متوفر لما يلي: Apple Watch Series 4 والإصدارات الأحدث

التأثير: قد تؤدي معالجة صورة متطفلة إلى الكشف عن ذاكرة العملية

الوصف: تمت معالجة المشكلة من خلال المعالجة المُحسَّنة للذاكرة.

CVE-2023-23535:‏ ryuzaki

ImageIO

متوفر لما يلي: Apple Watch Series 4 والإصدارات الأحدث

التأثير: قد تؤدي معالجة صورة متطفلة إلى الكشف عن ذاكرة المعالجة

الوصف: تمت معالجة القراءة غير المسموح بها عن طريق التحقق المحسّن من صحة الإدخال.

CVE-2023-27929:‏ Meysam Firouzi (@R00tkitSMM) من Mbition Mercedes-Benz Innovation Lab وjzhu يعمل مع Trend Micro Zero Day Initiative

ImageIO

متوفر لما يلي: Apple Watch Series 4 والإصدارات الأحدث

التأثير: قد تؤدي معالجة صورة إلى الكشف عن ذاكرة المعالجة

الوصف: تمت معالجة القراءة غير المسموح بها عن طريق التحقق المحسّن من صحة الإدخال.

CVE-2023-42862: Meysam Firouzi @R00tkitSMM

CVE-2023-42865: jzhu working بالاشتراك مع مبادرة Zero Day Initiative وMeysam Firouzi (@R00tkitSMM) من Mbition Mercedes-Benz Innovation Lab

تاريخ إضافة الإدخال: 21 ديسمبر 2023

Kernel

متوفر لما يلي: Apple Watch Series 4 والإصدارات الأحدث

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة المشكلة من خلال عمليات التحقق المحسَّنة من الحدود.

CVE-2023-23536: Félix Poulin-Bélanger وDavid Pan Ogea

تاريخ إضافة الإدخال: 8 يونيو 2023، تاريخ التحديث: 21 ديسمبر 2023

Kernel

متوفر لما يلي: Apple Watch Series 4 والإصدارات الأحدث

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تتعلق بالاستخدام بعد التحرير من خلال الإدارة المحسّنة للذاكرة.

CVE-2023-27969:‏ Adam Doupé من ASU SEFCOM

Kernel

متوفر لما يلي: Apple Watch Series 4 والإصدارات الأحدث

التأثير: قد يتمكن تطبيق يتمتع بامتيازات الجذر من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة المشكلة من خلال المعالجة المُحسَّنة للذاكرة.

CVE-2023-27933:‏ sqrtpwn

Kernel

متوفر لما يلي: Apple Watch Series 4 والإصدارات الأحدث

التأثير: قد يتمكن تطبيق من التسبب في رفض إحدى الخدمات

الوصف: تمت معالجة مشكلة تتعلق بتجاوز عدد صحيح من خلال التحقق المحسّن من صحة الإدخال.

CVE-2023-28185: Pan ZhenPeng من STAR Labs SG Pte. Ltd.

تاريخ إضافة الإدخال: 21 ديسمبر 2023

Kernel

متوفر لما يلي: Apple Watch Series 4 والإصدارات الأحدث

التأثير: قد يتمكن مخترق تمكن من تنفيذ تعليمة برمجية في kernel بالفعل من تجاوز عمليات تخفيف ذاكرة kernel

الوصف: تمت معالجة المشكلة من خلال المعالجة المُحسَّنة للذاكرة.

CVE-2023-32424: Zechao Cai (@Zech4o) من Zhejiang University

تاريخ إضافة الإدخال: 21 ديسمبر 2023

Podcasts

متوفر لما يلي: Apple Watch Series 4 والإصدارات الأحدث

التأثير: قد يتمكن التطبيق من الوصول إلى بيانات المستخدم الحساسة

الوصف: تمت معالجة المشكلة من خلال عمليات التحقق المحسَّنة.

CVE-2023-27942: Mickey Jin (@patch1t)

Sandbox

متوفر لما يلي: Apple Watch Series 4 والإصدارات الأحدث

التأثير: قد يتمكن أحد التطبيقات من تجاوز تفضيلات الخصوصية

الوصف: تمت معالجة مشكلة تتعلق بالمنطق من خلال التحقق المحسّن من الصحة.

CVE-2023-28178:‏ Yiğit Can YILMAZ (@yilmazcanyigit)‎

تاريخ إضافة الإدخال: 8 يونيو 2023

Shortcuts

متوفر لما يلي: Apple Watch Series 4 والإصدارات الأحدث

التأثير: قد يكون الاختصار قادرًا على استخدام بيانات حساسة مع إجراءات معينة دون مطالبة المستخدم

الوصف: تمت معالجة المشكلة من خلال فحوصات أذونات إضافية.

CVE-2023-27963:‏ Jubaer Alnazi Jabin من TRS Group Of Companies وWenchao Li وXiaolong Bai من Alibaba Group

TCC

متوفر لما يلي: Apple Watch Series 4 والإصدارات الأحدث

التأثير: قد يتمكن التطبيق من الوصول إلى بيانات المستخدم الحساسة

الوصف: تمت معالجة هذه المشكلة من خلال إزالة التعليمة البرمجية المعرّضة للهجوم.

CVE-2023-27931: Mickey Jin (@patch1t)

WebKit

متوفر لما يلي: Apple Watch Series 4 والإصدارات الأحدث

التأثير: قد تتجاوز معالجة محتوى ويب متطفل "سياسة الأصل نفسه"

الوصف: تمت معالجة هذه المشكلة من خلال الإدارة المحسّنة للحالة.

WebKit Bugzilla:‏ 248615
CVE-2023-27932:‏ باحث غير معلوم الهوية

WebKit

متوفر لما يلي: Apple Watch Series 4 والإصدارات الأحدث

التأثير: قد يتمكّن موقع ويب من تعقّب معلومات المستخدم الحساسة

الوصف: تمت معالجة المشكلة من خلال إزالة معلومات المصدر.

WebKit Bugzilla:‏ 250837
CVE-2023-27954:‏ باحث غير معلوم الهوية

Activation Lock

يسعدنا أن نتوجّه بخالص الشكر إلى Christian Mina على تقديم المساعدة لنا.

CFNetwork

يسعدنا أن نتوجّه بخالص الشكر إلى باحث غير معلوم الهوية نظير مساعدته لنا.

CoreServices

يسعدنا أن نتوجّه بخالص الشكر إلى ‎Mickey Jin (@patch1t)‎ على تقديم المساعدة لنا.

ImageIO

يسعدنا أن نتوجّه بخالص الشكر إلى Meysam Firouzi @R00tkitSMM على تقديم المساعدة لنا.

Mail

يسعدنا أن نتوجّه بخالص الشكر إلى Chen Zhang وFabian Ising من جامعة FH Münster للعلوم التطبيقية وDamian Poddebniak من جامعة FH Münster للعلوم التطبيقية وTobias Kappert من جامعة Münster للعلوم التطبيقية وChristoph Saatjohann من جامعة Münster للعلوم التطبيقية وSebast وMerlin Chlosta من مركز CISPA Helmholtz لأمن المعلومات على تقديم المساعدة لنا.

Safari Downloads‏

يسعدنا أن نتوجّه بخالص الشكر إلى Andrew Gonzalez على تقديم المساعدة لنا.

WebKit

يسعدنا أن نتوجّه بخالص الشكر إلى باحث غير معلوم الهوية نظير مساعدته لنا.