Om Apple-sikkerhedsopdateringer
Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.
Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-id.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.
watchOS 9.4
Udgivet den 27. marts 2023
AppleMobileFileIntegrity
Fås til: Apple Watch Series 4 og nyere
Effekt: En bruger kan få adgang til beskyttede dele af arkivsystemet
Beskrivelse: Problemet blev løst ved forbedrede kontroller.
CVE-2023-23527: Mickey Jin (@patch1t)
Calendar
Fås til: Apple Watch Series 4 og nyere
Effekt: Import af en skadeligt udformet kalenderinvitation kan hente brugeroplysninger
Beskrivelse: Der var flere godkendelsesproblemer, som er løst ved hjælp af forbedret rensning af input.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
Camera
Fås til: Apple Watch Series 4 og nyere
Effekt: En sandbox-app kan muligvis se, hvilken app der i øjeblikket bruger kameraet
Beskrivelse: Problemet blev løst via yderligere begrænsninger for observerbarhed af apptilstande.
CVE-2023-23543: Yiğit Can YILMAZ (@yilmazcanyigit)
Post tilføjet 8. juni 2023
CoreCapture
Fås til: Apple Watch Series 4 og nyere
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2023-28181: Tingting Yin fra Tsinghua University
Find My
Fås til: Apple Watch Series 4 og nyere
Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet
Beskrivelse: Et anonymitetsproblem er løst ved forbedret redigering af private data for logposter.
CVE-2023-23537: Adam M.
CVE-2023-28195: Adam M.
Post opdateret 21. december 2023
FontParser
Fås til: Apple Watch Series 4 og nyere
Effekt: Behandling af et skadeligt billede kan medføre afsløring af proceshukommelse
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2023-27956: Ye Zhang fra Baidu Security
Foundation
Fås til: Apple Watch Series 4 og nyere
Effekt: Parsing af en skadelig plist-fil kan medføre pludselig app-lukning eller kørsel af vilkårlig kode
Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.
CVE-2023-27937: En anonym programmør
Identity Services
Fås til: Apple Watch Series 4 og nyere
Effekt: En app kan muligvis få adgang til oplysninger om en brugers kontakter
Beskrivelse: Et anonymitetsproblem er løst ved forbedret redigering af private data for logposter.
CVE-2023-27928: Csaba Fitzl (@theevilbit) fra Offensive Security
ImageIO
Fås til: Apple Watch Series 4 og nyere
Effekt: Behandling af et skadeligt billede kan medføre afsløring af proceshukommelse
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2023-23535: ryuzaki
ImageIO
Fås til: Apple Watch Series 4 og nyere
Effekt: Behandling af et skadeligt billede kan medføre afsløring af proceshukommelse
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2023-27929: Meysam Firouzi (@R00tkitSMM) fra Mbition Mercedes-Benz Innovation Lab og jzhu der arbejder med Trend Micro Zero Day Initiative
ImageIO
Fås til: Apple Watch Series 4 og nyere
Effekt: Behandling af et billede kan medføre afsløring af proceshukommelse
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2023-42862: Meysam Firouzi @R00tkitSMM
CVE-2023-42865: jzhu, der arbejder med Trend Micro Zero Day Initiative, og Meysam Firouzi (@R00tkitSMM) fra Mbition Mercedes-Benz Innovation Lab
Post tilføjet 21. december 2023
Kernel
Fås til: Apple Watch Series 4 og nyere
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Problemet blev løst ved forbedret kontrol af grænser.
CVE-2023-23536: Félix Poulin-Bélanger og David Pan Ogea
Post tilføjet 8. juni 2023, opdateret 21. december 2023
Kernel
Fås til: Apple Watch Series 4 og nyere
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et use-after-free problem blev rettet ved forbedret hukommelseshåndtering.
CVE-2023-27969: Adam Doupé fra ASU SEFCOM
Kernel
Fås til: Apple Watch Series 4 og nyere
Effekt: En app med rodrettigheder kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2023-27933: sqrtpwn
Kernel
Fås til: Apple Watch Series 4 og nyere
Effekt: En app kan forårsage et DoS-angreb
Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.
CVE-2023-28185: Pan ZhenPeng fra STAR Labs SG Pte. Ltd.
Post tilføjet 21. december 2023
Kernel
Fås til: Apple Watch Series 4 og nyere
Effekt: En hacker, der allerede har opnået kørsel af kernekode, kan muligvis være i stand til at omgå løsning af kernehukommelsen
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2023-32424: Zechao Cai (@Zech4o) fra Zhejiang University
Post tilføjet 21. december 2023
Podcasts
Fås til: Apple Watch Series 4 og nyere
Effekt: En app kan muligvis få adgang til følsomme brugerdata
Beskrivelse: Problemet blev løst ved forbedrede kontroller.
CVE-2023-27942: Mickey Jin (@patch1t)
Sandbox
Fås til: Apple Watch Series 4 og nyere
Effekt: En app kan muligvis omgå indstillingerne for fortrolighed
Beskrivelse: Et logikproblem er løst via forbedret godkendelse.
CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)
Post tilføjet 8. juni 2023
Shortcuts
Fås til: Apple Watch Series 4 og nyere
Effekt: En genvej kan muligvis bruge følsomme data med visse handlinger uden at spørge brugeren
Beskrivelse: Problemet er løst med yderligere tilladelseskontroller.
CVE-2023-27963: Jubaer Alnazi Jabin fra TRS Group Of Companies og Wenchao Li og Xiaolong Bai fra Alibaba Group
TCC
Fås til: Apple Watch Series 4 og nyere
Effekt: En app kan muligvis få adgang til følsomme brugerdata
Beskrivelse: Problemet blev løst ved at fjerne den sårbare kode.
CVE-2023-27931: Mickey Jin (@patch1t)
WebKit
Fås til: Apple Watch Series 4 og nyere
Effekt: Behandling af skadeligt webindhold kan muligvis omgå politikken om samme oprindelse
Beskrivelse: Problemet er løst ved hjælp af forbedret statusadministration.
WebKit Bugzilla: 248615
CVE-2023-27932: En anonym programmør
WebKit
Fås til: Apple Watch Series 4 og nyere
Effekt: Et websted kan potentielt spore følsomme brugeroplysninger
Beskrivelse: Problemet er løst ved at fjerne oplysninger om oprindelse.
WebKit Bugzilla: 250837
CVE-2023-27954: En anonym programmør
Yderligere anerkendelser
Activation Lock
Vi vil gerne takke Christian Mina for hjælpen.
CFNetwork
Vi vil gerne takke en anonym programmør for hjælpen.
CoreServices
Vi vil gerne takke Mickey Jin (@patch1t) for hjælpen.
ImageIO
Vi vil gerne takke Meysam Firouzi @R00tkitSMM for hjælpen.
Vi vil gerne takke Chen Zhang, Fabian Ising fra FH Münster University of Applied Sciences, Damian Poddebniak fra FH Münster University of Applied Sciences, Tobias Kappert fra Münster University of Applied Sciences, Christoph Saatjohann fra Münster University of Applied Sciences, Sebast, og Merlin Chlosta fra CISPA Helmholtz Center for Information Security for hjælpen.
Safari Downloads
Vi vil gerne takke Andrew Gonzalez for hjælpen.
WebKit
Vi vil gerne takke en anonym programmør for hjælpen.