Informace o bezpečnostních aktualizacích Apple
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.
Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.
Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.
watchOS 9,3
Vydáno 23. ledna 2023
AppleMobileFileIntegrity
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Aplikaci se může podařit obejít předvolby soukromí.
Popis: Problém byl vyřešen vylepšením kontrol, aby se zabránilo neautorizovaným akcím.
CVE-2023-32438: Csaba Fitzl (@theevilbit) ze společnosti Offensive Security a Mickey Jin (@patch1t)
Záznam přidán 5. září 2023
AppleMobileFileIntegrity
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Tento problém byl vyřešen povolením nastavení Hardened Runtime.
CVE-2023-23499: Wojciech Reguła z týmu SecuRing (wojciechregula.blog)
Crash Reporter
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Uživateli se může podařit číst libovolné soubory jako kořenový uživatel.
Popis: Problém se souběhem byl vyřešen dodatečným ověřováním.
CVE-2023-23520: Cees Elzinga
Záznam přidán 6. června 2023
FontParser
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Zpracován souboru písma může vést ke spuštění libovolného kódu. Apple má informace o tom, že tento problém mohl být aktivně zneužit ve verzích iOS vydaných před iOS 15.7.1.
Popis: Problém byl vyřešen vylepšením zpracování mezipamětí.
CVE-2023-41990: Apple
Záznam přidán 8. září 2023
ImageIO
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Zpracování obrázku může vést k odepření služby.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy stavu.
CVE-2023-23519: Meysam Firouzi @R00tkitSMM z týmu Mbition Mercedes-Benz Innovation Lab, Yiğit Can YILMAZ (@yilmazcanyigit) a jzhu ve spolupráci se Zero Day Initiative společnosti Trend Micro
Záznam aktualizován 5. září 2023
Kernel
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Aplikaci se může podařit odhalit citlivé informace o stavu jádra.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2023-23500: Pan ZhenPeng (@Peterpan0927) ze společnosti STAR Labs SG Pte. Ltd. (@starlabs_sg)
Kernel
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Aplikaci se může podařit zjistit rozvržení paměti jádra.
Popis: Problém s odhalením informací byl vyřešen odstraněním škodlivého kódu.
CVE-2023-23502: Pan ZhenPeng (@Peterpan0927) ze společnosti STAR Labs SG Pte. Ltd. (@starlabs_sg)
Kernel
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními jádra.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2023-23504: Adam Doupé ze společnosti ASU SEFCOM
Maps
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Aplikaci se může podařit obejít předvolby soukromí.
Popis: Problém v logice byl vyřešen vylepšením správy stavu.
CVE-2023-23503: anonymní výzkumník
Safari
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Návštěva webu může vést k odmítnutí služby.
Popis: Problém byl vyřešen vylepšením zpracování mezipamětí.
CVE-2023-23512: Adriatik Raci
Screen Time
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Aplikaci se může podařit číst údaje o uživatelově kontaktech.
Popis: Problém s ochranou soukromí byl vyřešen vylepšením redigování soukromých dat pro záznamy protokolu.
CVE-2023-23505: Wojciech Regula ze společnosti SecuRing (wojciechregula.blog) a Csaba Fitzl (@theevilbit) ze společnosti Offensive Security
Záznam aktualizován 6. června 2023
Weather
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Aplikaci se může podařit obejít předvolby soukromí.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2023-23511: Wojciech Reguła z týmu SecuRing (wojciechregula.blog), anonymní výzkumník
WebKit
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Zpracování obsahu webové stránky může vést ke spuštění libovolného kódu.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
WebKit Bugzilla: 248885
CVE-2023-32393: Francisco Alonso (@revskills)
Záznam přidán 28. června 2023
WebKit
K dispozici pro: Apple Watch Series 4 a novější
Dopad: HTML dokumentu se může podařit vykreslovat rámce iframe s citlivými uživatelskými informacemi.
Popis: Problém byl vyřešen lepším vynucováním sandboxování rámců iframe.
WebKit Bugzilla: 241753
CVE-2022-0108: Luan Herrera (@lbherrera_)
Záznam přidán 6. června 2023
WebKit
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.
Popis: Problém byl vyřešen vylepšením kontroly.
WebKit Bugzilla: 245464
CVE-2023-23496: ChengGang Wu, Yan Kang, YuHao Hu, Yue Sun, Jiming Wang, JiKai Ren a Hang Shu z Institutu výpočetní technologie Čínské akademie věd
WebKit
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
WebKit Bugzilla: 248268
CVE-2023-23518: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) z týmu ApplePIE
WebKit Bugzilla: 248268
CVE-2023-23517: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) z týmu ApplePIE
Další poděkování
AppleMobileFileIntegrity
Poděkování za pomoc zaslouží Csaba Fitzl (@theevilbit) z týmu Offensive Security.
Záznam přidán 6. června 2023
Core Data
Poděkování za pomoc zaslouží Austin Emmitt (@alkalinesec), Senior Security Researcher v Trellix Advanced Research Center.
Záznam přidán 8. září 2023
Kernel
Poděkování za pomoc zaslouží Nick Stenning ze společnosti Replicate.
WebKit
Poděkování za pomoc zaslouží Eliya Stein ze společnosti Confiant.