Om sikkerhedsindholdet i watchOS 9.5

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-id.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

Udgivet 18. maj 2023

Accessibility

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis omgå indstillingerne for fortrolighed

Beskrivelse: Et anonymitetsproblem er løst ved forbedret redigering af private data for logposter.

CVE-2023-32388: Kirin (@Pwnrin)

Accessibility

Fås til: Apple Watch Series 4 og nyere

Effekt: Rettigheder og fortrolighedstilladelser, der gives til denne app, kan bruges af ondsindede apps

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2023-32400: Mickey Jin (@patch1t)

Accounts

Fås til: Apple Watch Series 4 og nyere

Effekt: En hacker vil muligvis kunne lække e-mails på brugerkonti

Beskrivelse: Et problem med tilladelser blev løst med forbedret redigering af følsomme oplysninger.

CVE-2023-34352: Sergii Kryvoblotskyi fra MacPaw Inc.

Post tilføjet 5. september 2023

Apple Neural Engine

Fås til: Apple Watch Series 4 og nyere 

Effekt: En app kan muligvis få adgang til ekstra rettigheder

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2023-32425: Mohamed GHANNAM (@_simo36)

Post tilføjet 5. september 2023

Core Location

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet

Beskrivelse: Problemet er løst ved forbedret håndtering af buffere.

CVE-2023-32399: Adam M.

Post opdateret 5. september 2023

CoreServices

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis omgå indstillingerne for fortrolighed

Beskrivelse: Problemet blev løst ved forbedret redaktion af følsomme oplysninger.

CVE-2023-28191: Mickey Jin (@patch1t)

Face Gallery

Fås til: Apple Watch Series 4 og nyere

Effekt: En hacker med fysisk adgang til et låst Apple Watch kan muligvis se brugerbilleder eller kontakter via tilgængelighedsfunktioner

Beskrivelse: Problemet er løst ved at begrænse mulighederne på en låst enhed.

CVE-2023-32417: Zitong Wu (吴梓桐) fra Zhuhai No.1 High School (珠海市第一中学)

GeoServices

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet

Beskrivelse: Et anonymitetsproblem er løst ved forbedret redigering af private data for logposter.

CVE-2023-32392: Adam M.

Post opdateret 5. september 2023

ImageIO

Fås til: Apple Watch Series 4 og nyere

Effekt: Behandling af et billede kan medføre afsløring af proceshukommelse

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2023-32372: Meysam Firouzi @R00tkitSMM fra Mbition Mercedes-Benz Innovation Lab i samarbejde med Trend Micro Zero Day Initiative

Post opdateret 5. september 2023

ImageIO

Fås til: Apple Watch Series 4 og nyere

Effekt: Behandling af et billede kan medføre afvikling af vilkårlig kode

Beskrivelse: Der var et problem med bufferoverløb, som blev løst gennem forbedret kontrol af grænser.

CVE-2023-32384: Meysam Firouzi @R00tkitsmm i samarbejde med Trend Micro Zero Day Initiative

IOSurfaceAccelerator

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis afsløre kernehukommelsen

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2023-32354: Linus Henze fra Pinauten GmbH (pinauten.de)

IOSurfaceAccelerator

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis forårsage uventet systemafslutning eller læse kernehukommelse

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2023-32420: CertiK SkyFall Team og Linus Henze fra Pinauten GmbH (pinauten.de)

Post opdateret 5. september 2023

Kernel

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med forveksling af typer er løst via forbedrede kontroller.

CVE-2023-27930: 08Tc3wBB fra Jamf

Kernel

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et use-after-free-problem blev løst gennem forbedret hukommelseshåndtering.

CVE-2023-32398: Adam Doupé fra ASU SEFCOM

Kernel

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis få adgang til rodrettigheder

Beskrivelse: En konkurrencetilstand er løst med forbedret tilstandshåndtering.

CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) fra Synacktiv (@Synacktiv) i samarbejde med Trend Micro Zero Day Initiative

LaunchServices

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan omgå Gatekeeper-kontrollerne

Beskrivelse: Et logikproblem er løst ved forbedret kontrol.

CVE-2023-32352: Wojciech Reguła (@_r3ggi) fra SecuRing (wojciechregula.blog)

MallocStackLogging

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis få adgang til rodrettigheder

Beskrivelse: Problemet er løst ved forbedret filhåndtering.

CVE-2023-32428: Gergely Kalman (@gergely_kalman)

Post tilføjet 5. september 2023

Metal

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis omgå indstillingerne for fortrolighed

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2023-32407: Gergely Kalman (@gergely_kalman)

Model I/O

Fås til: Apple Watch Series 4 og nyere

Effekt: Behandling af en 3D-model kan medføre afsløring af proceshukommelse

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2023-32368: Mickey Jin (@patch1t)

NetworkExtension

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet

Beskrivelse: Problemet blev løst med forbedret redigering af følsomme oplysninger.

CVE-2023-32403: Adam M.

Post opdateret 5. september 2023

NSURLSession

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis frigøre sig fra sin sandbox

Beskrivelse: Problemet er løst ved forbedringer af arkivhåndteringsprotokollen.

CVE-2023-32437: Thijs Alkemade fra Computest Sector 7

Post tilføjet 5. september 2023

Photos

Fås til: Apple Watch Series 4 og nyere

Effekt: Billeder tilhørende Album med skjulte fotos kunne ses uden godkendelse gennem visuelt opslag

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2023-32390: Julian Szulc

Sandbox

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis beholde adgangen til systemkonfigurationsarkiver, selv efter dens tilladelse er tilbagekaldt

Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.

CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Koh M. Nakagawa fra FFRI Security, Inc., Kirin (@Pwnrin), Jeff Johnson (underpassapp.com), og Csaba Fitzl (@theevilbit) fra Offensive Security

Share Sheet

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et fortrolighedsproblem blev løst med forbedret håndtering af midlertidige arkiver.

CVE-2023-32432: Kirin (@Pwnrin)

Post tilføjet 5. september 2023

Shortcuts

Fås til: Apple Watch Series 4 og nyere

Effekt: En genvej kan muligvis bruge følsomme data med visse handlinger uden at spørge brugeren

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2023-32391: Wenchao Li og Xiaolong Bai fra Alibaba Group

Shortcuts

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis omgå indstillingerne for fortrolighed

Beskrivelse: Problemet er løst ved forbedret godkendelse.

CVE-2023-32404: Mickey Jin (@patch1t), Zhipeng Huo (@R3dF09) fra Tencent Security Xuanwu Lab (xlab.tencent.com) og en anonym programmør

Siri

Fås til: Apple Watch Series 4 og nyere

Effekt: En person med fysisk adgang til en enhed kan muligvis få adgang til kontaktoplysninger fra låseskærmen

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2023-32394: Khiem Tran

SQLite

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis omgå indstillingerne for fortrolighed

Beskrivelse: Problemet blev løst ved at tilføje yderligere begrænsninger af SQLite-logføring.

CVE-2023-32422: Gergely Kalman (@gergely_kalman) og Wojciech Regula fra SecuRing (wojciechregula.blog)

Post tilføjet 5. september 2023

StorageKit

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis ændre beskyttede dele af arkivsystemet

Beskrivelse: Problemet er løst ved forbedret godkendelse.

CVE-2023-32376: Yiğit Can YILMAZ (@yilmazcanyigit)

System Settings

Fås til: Apple Watch Series 4 og nyere

Effekt: En app-firewall-indstilling træder muligvis ikke i kraft efter at have afsluttet appen Indstillinger

Beskrivelse: Problemet er løst ved hjælp af forbedret statusadministration.

CVE-2023-28202: Satish Panduranga og en anonym programmør

Telephony

Fås til: Apple Watch Series 4 og nyere

Effekt: Et fjernangreb kan muligvis forårsage pludselig applukning eller kørsel af vilkårlig kode

Beskrivelse: Et use-after-free-problem blev løst gennem forbedret hukommelseshåndtering.

CVE-2023-32412: Ivan Fratric fra Google Project Zero

TV App

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet

Beskrivelse: Problemet er løst ved forbedret håndtering af buffere.

CVE-2023-32408: Adam M.

WebKit

Fås til: Apple Watch Series 4 og nyere

Effekt: Behandling af webindhold kan afsløre følsomme oplysninger

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

WebKit Bugzilla: 255075
CVE-2023-32402: en anonym programmør

WebKit

Fås til: Apple Watch Series 4 og nyere

Effekt: Behandling af webindhold kan afsløre følsomme oplysninger

Beskrivelse: Et problem med bufferoverløb blev løst ved forbedret hukommelsesbehandling.

WebKit Bugzilla: 254781
CVE-2023-32423: Ignacio Sanmillan (@ulexec)

WebKit

Fås til: Apple Watch Series 4 og nyere

Effekt: Et fjernangreb kan muligvis bryde ud af webindholdssandboxen. Apple er opmærksom på, at dette problem kan være blevet aktivt udnyttet.

Beskrivelse: Problemet blev løst ved forbedrede kontroller af grænser.

WebKit Bugzilla: 255350
CVE-2023-32409: Clément Lecigne fra Google's Threat Analysis Group og Donncha Ó Cearbhaill fra Amnesty International’s Security Lab

WebKit

Fås til: Apple Watch Series 4 og nyere

Effekt: Behandling af webindhold kan afsløre følsomme oplysninger. Apple er opmærksom på, at dette problem kan være blevet aktivt udnyttet.

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

WebKit Bugzilla: 254930
CVE-2023-28204: en anonym programmør

WebKit

Fås til: Apple Watch Series 4 og nyere

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode. Apple er opmærksom på, at dette problem kan være blevet aktivt udnyttet.

Beskrivelse: Et use-after-free-problem blev løst gennem forbedret hukommelseshåndtering.

WebKit Bugzilla: 254840
CVE-2023-32373: en anonym programmør

Wi-Fi

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis afsløre kernehukommelsen

Beskrivelse: Problemet blev løst ved forbedret redigering af følsomme oplysninger.

CVE-2023-32389: Pan ZhenPeng (@Peterpan0927) fra STAR Labs SG Pte. Ltd.

Accounts

Vi vil gerne takke Sergii Kryvoblotskyi fra MacPaw Inc. for hjælpen.

CloudKit

Vi vil gerne takke Iconic for hjælpen.

libxml2

Vi vil gerne takke OSS-Fuzz, og Ned Williamson fra Google Project Zero for hjælpen.

Reminders

Vi vil gerne takke Kirin (@Pwnrin) for hjælpen.

Security

Vi vil gerne takke Brandon Toms for hjælpen.

Share Sheet

Vi vil gerne takke Kirin (@Pwnrin) for hjælpen.

Wallet

Vi vil gerne takke James Duffy (mangoSecure) for hjælpen.