Informace o bezpečnostním obsahu watchOS 9.3

Tento dokument popisuje bezpečnostní obsah watchOS 9.3.

Informace o bezpečnostních aktualizacích Apple

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.

Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.

Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.

watchOS 9,3

Vydáno 23. ledna 2023

AppleMobileFileIntegrity

K dispozici pro: Apple Watch Series 4 a novější

Dopad: Aplikaci se může podařit obejít předvolby soukromí.

Popis: Problém byl vyřešen vylepšením kontrol, aby se zabránilo neautorizovaným akcím.

CVE-2023-32438: Csaba Fitzl (@theevilbit) ze společnosti Offensive Security a Mickey Jin (@patch1t)

Záznam přidán 5. září 2023

AppleMobileFileIntegrity

K dispozici pro: Apple Watch Series 4 a novější

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Tento problém byl vyřešen povolením nastavení Hardened Runtime.

CVE-2023-23499: Wojciech Reguła z týmu SecuRing (wojciechregula.blog)

Crash Reporter

K dispozici pro: Apple Watch Series 4 a novější

Dopad: Uživateli se může podařit číst libovolné soubory jako kořenový uživatel.

Popis: Problém se souběhem byl vyřešen dodatečným ověřováním.

CVE-2023-23520: Cees Elzinga

Záznam přidán 6. června 2023

FontParser

K dispozici pro: Apple Watch Series 4 a novější

Dopad: Zpracován souboru písma může vést ke spuštění libovolného kódu. Apple má informace o tom, že tento problém mohl být aktivně zneužit ve verzích iOS vydaných před iOS 15.7.1.

Popis: Problém byl vyřešen vylepšením zpracování mezipamětí.

CVE-2023-41990: Apple

Záznam přidán 8. září 2023

ImageIO

K dispozici pro: Apple Watch Series 4 a novější

Dopad: Zpracování obrázku může vést k odepření služby.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy stavu.

CVE-2023-23519: Meysam Firouzi @R00tkitSMM z týmu Mbition Mercedes-Benz Innovation Lab, Yiğit Can YILMAZ (@yilmazcanyigit) a jzhu ve spolupráci se Zero Day Initiative společnosti Trend Micro

Záznam aktualizován 5. září 2023

Kernel

K dispozici pro: Apple Watch Series 4 a novější

Dopad: Aplikaci se může podařit odhalit citlivé informace o stavu jádra.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2023-23500: Pan ZhenPeng (@Peterpan0927) ze společnosti STAR Labs SG Pte. Ltd. (@starlabs_sg)

Kernel

K dispozici pro: Apple Watch Series 4 a novější

Dopad: Aplikaci se může podařit zjistit rozvržení paměti jádra.

Popis: Problém s odhalením informací byl vyřešen odstraněním škodlivého kódu.

CVE-2023-23502: Pan ZhenPeng (@Peterpan0927) ze společnosti STAR Labs SG Pte. Ltd. (@starlabs_sg)

Kernel

K dispozici pro: Apple Watch Series 4 a novější

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními jádra.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2023-23504: Adam Doupé ze společnosti ASU SEFCOM

Maps

K dispozici pro: Apple Watch Series 4 a novější

Dopad: Aplikaci se může podařit obejít předvolby soukromí.

Popis: Problém v logice byl vyřešen vylepšením správy stavu.

CVE-2023-23503: anonymní výzkumník

Safari

K dispozici pro: Apple Watch Series 4 a novější

Dopad: Návštěva webu může vést k odmítnutí služby.

Popis: Problém byl vyřešen vylepšením zpracování mezipamětí.

CVE-2023-23512: Adriatik Raci

Screen Time

K dispozici pro: Apple Watch Series 4 a novější

Dopad: Aplikaci se může podařit číst údaje o uživatelově kontaktech.

Popis: Problém s ochranou soukromí byl vyřešen vylepšením redigování soukromých dat pro záznamy protokolu.

CVE-2023-23505: Wojciech Regula ze společnosti SecuRing (wojciechregula.blog) a Csaba Fitzl (@theevilbit) ze společnosti Offensive Security

Záznam aktualizován 6. června 2023

Weather

K dispozici pro: Apple Watch Series 4 a novější

Dopad: Aplikaci se může podařit obejít předvolby soukromí.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2023-23511: Wojciech Reguła z týmu SecuRing (wojciechregula.blog), anonymní výzkumník

WebKit

K dispozici pro: Apple Watch Series 4 a novější

Dopad: Zpracování obsahu webové stránky může vést ke spuštění libovolného kódu.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

WebKit Bugzilla: 248885

CVE-2023-32393: Francisco Alonso (@revskills)

Záznam přidán 28. června 2023

WebKit

K dispozici pro: Apple Watch Series 4 a novější

Dopad: HTML dokumentu se může podařit vykreslovat rámce iframe s citlivými uživatelskými informacemi.

Popis: Problém byl vyřešen lepším vynucováním sandboxování rámců iframe.

WebKit Bugzilla: 241753

CVE-2022-0108: Luan Herrera (@lbherrera_)

Záznam přidán 6. června 2023

WebKit

K dispozici pro: Apple Watch Series 4 a novější

Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.

Popis: Problém byl vyřešen vylepšením kontroly.

WebKit Bugzilla: 245464

CVE-2023-23496: ChengGang Wu, Yan Kang, YuHao Hu, Yue Sun, Jiming Wang, JiKai Ren a Hang Shu z Institutu výpočetní technologie Čínské akademie věd

WebKit

K dispozici pro: Apple Watch Series 4 a novější

Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

WebKit Bugzilla: 248268

CVE-2023-23518: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) z týmu ApplePIE

WebKit Bugzilla: 248268

CVE-2023-23517: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) z týmu ApplePIE

Další poděkování

AppleMobileFileIntegrity

Poděkování za pomoc zaslouží Csaba Fitzl (@theevilbit) z týmu Offensive Security.

Záznam přidán 6. června 2023

Core Data

Poděkování za pomoc zaslouží Austin Emmitt (@alkalinesec), Senior Security Researcher v Trellix Advanced Research Center.

Záznam přidán 8. září 2023

Kernel

Poděkování za pomoc zaslouží Nick Stenning ze společnosti Replicate.

WebKit

Poděkování za pomoc zaslouží Eliya Stein ze společnosti Confiant.

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.

Datum zveřejnění: