Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του watchOS 9.4

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του watchOS 9.4.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

watchOS 9.4

Κυκλοφόρησε στις 27 Μαρτίου 2023

AppleMobileFileIntegrity

Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα

Αποτέλεσμα: Ένας χρήστης ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε προστατευμένα τμήματα του συστήματος αρχείων

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2023-23527: Mickey Jin (@patch1t)

Calendar

Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα

Αποτέλεσμα: Η εισαγωγή μιας κακόβουλης πρόσκλησης ημερολογίου ενδέχεται να οδηγήσει σε διαρροή των πληροφοριών του χρήστη

Περιγραφή: Πολλά προβλήματα επικύρωσης αντιμετωπίστηκαν με τη βελτίωση της εξυγίανσης εισόδου.

CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)

Camera

Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή σε sandbox ενδέχεται να μπορεί να προσδιορίσει ποια εφαρμογή χρησιμοποιεί την κάμερα τη δεδομένη στιγμή

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με πρόσθετους περιορισμούς σχετικά με την παρατηρησιμότητα των καταστάσεων της εφαρμογής.

CVE-2023-23543: Yiğit Can YILMAZ (@yilmazcanyigit)

Η καταχώριση προστέθηκε στις 8 Ιουνίου 2023

CoreCapture

Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2023-28181: Tingting Yin του Tsinghua University

Find My

Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα ανάγνωσης ευαίσθητων πληροφοριών τοποθεσίας

Περιγραφή: Ένα ζήτημα απορρήτου αντιμετωπίστηκε με βελτιωμένη έκδοση απόρρητων δεδομένων για τις εγγραφές του αρχείου καταγραφής.

CVE-2023-23537: Adam M.

CVE-2023-28195: Adam M.

Η καταχώριση ενημερώθηκε στις 21 Δεκεμβρίου 2023

FontParser

Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου ειδώλου μπορεί να οδηγήσει σε αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2023-27956: Ye Zhang της Baidu Security

Foundation

Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα

Αποτέλεσμα: Η ανάλυση ενός κακόβουλου plist μπορεί να οδηγήσει σε απρόσμενο τερματισμό εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Μια υπερχείλιση ακεραίων αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.

CVE-2023-27937: ένας ανώνυμος ερευνητής

Identity Services

Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση στις πληροφορίες σχετικά με τις επαφές ενός χρήστη

Περιγραφή: Ένα ζήτημα απορρήτου αντιμετωπίστηκε με βελτιωμένη έκδοση απόρρητων δεδομένων για τις εγγραφές του αρχείου καταγραφής.

CVE-2023-27928: Csaba Fitzl (@theevilbit) της Offensive Security

ImageIO

Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου ειδώλου μπορεί να οδηγήσει σε αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2023-23535: ryuzaki

ImageIO

Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου ειδώλου μπορεί να οδηγήσει σε αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2023-27929: Meysam Firouzi (@R00tkitSMM) του Mbition Mercedes-Benz Innovation Lab και jzhu σε συνεργασία με το Trend Micro Zero Day Initiative

ImageIO

Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία ενός ειδώλου μπορεί να οδηγήσει σε αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2023-42862: Meysam Firouzi @R00tkitSMM

CVE-2023-42865: jzhu σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro και Meysam Firouzi (@R00tkitSMM) του Mbition Mercedes-Benz Innovation Lab

Η καταχώριση προστέθηκε στις 21 Δεκεμβρίου 2023

Kernel

Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους ορίων.

CVE-2023-23536: Félix Poulin-Bélanger και David Pan Ogea

Η καταχώριση προστέθηκε στις 8 Ιουνίου 2023 και ενημερώθηκε στις 21 Δεκεμβρίου 2023

Kernel

Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2023-27969: Adam Doupé της ASU SEFCOM

Kernel

Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή με προνόμια ρίζας ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2023-27933: sqrtpwn

Kernel

Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Μια υπερχείλιση ακεραίων αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.

CVE-2023-28185: Pan ZhenPeng, STAR Labs SG Pte. Ltd.

Η καταχώριση προστέθηκε στις 21 Δεκεμβρίου 2023

Kernel

Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα

Αποτέλεσμα: Ένας εισβολέας που έχει ήδη πραγματοποιήσει επιτυχώς εκτέλεση κώδικα πυρήνα ενδέχεται να μπορεί να παρακάμψει τα μέτρα αντιμετώπισης της μνήμης πυρήνα

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2023-32424: Zechao Cai (@Zech4o) από το Zhejiang University

Η καταχώριση προστέθηκε στις 21 Δεκεμβρίου 2023

Podcasts

Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2023-27942: Mickey Jin (@patch1t)

Sandbox

Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να παρακάμψει τις προτιμήσεις Απορρήτου

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)

Η καταχώριση προστέθηκε στις 8 Ιουνίου 2023

Shortcuts

Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα

Αποτέλεσμα: Μια συντόμευση ενδέχεται να μπορεί να χρησιμοποιεί ευαίσθητα δεδομένα με συγκεκριμένες ενέργειες χωρίς προτροπή προς τον χρήστη

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με επιπλέον ελέγχους δικαιωμάτων.

CVE-2023-27963: Jubaer Alnazi Jabin της TRS Group Of Companies και Wenchao Li και Xiaolong Bai της Alibaba Group

TCC

Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.

CVE-2023-27931: Mickey Jin (@patch1t)

WebKit

Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να παρακάμψει την πολιτική ίδιας προέλευσης

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

WebKit Bugzilla: 248615
CVE-2023-27932: ένας ανώνυμος ερευνητής

WebKit

Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα

Αποτέλεσμα: Ένας ιστότοπος ενδέχεται να μπορεί να παρακολουθεί ευαίσθητες πληροφορίες χρήστη

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με την κατάργηση των πληροφοριών προέλευσης.

WebKit Bugzilla: 250837
CVE-2023-27954: ανώνυμος ερευνητής

Επιπλέον αναγνώριση

Activation Lock

Θα θέλαμε να ευχαριστήσουμε τον Christian Mina για τη βοήθειά του.

CFNetwork

Θα θέλαμε να ευχαριστήσουμε τον ανώνυμο ερευνητή για τη βοήθειά του.

CoreServices

Θα θέλαμε να ευχαριστήσουμε τον Mickey Jin (@patch1t) για τη βοήθειά του.

ImageIO

Θα θέλαμε να ευχαριστήσουμε τον Meysam Firouzi @R00tkitSMM για τη βοήθειά του.

Mail

Θα θέλαμε να ευχαριστήσουμε τους Chen Zhang, Fabian Ising του FH Münster University of Applied Sciences, Damian Poddebniak του FH Münster University of Applied Sciences, Tobias Kappert του Münster University of Applied Sciences, Christoph Saatjohann του Münster University of Applied Sciences, Sebast και Merlin Chlosta του CISPA Helmholtz Center for Information Security για τη βοήθειά τους.

Safari Downloads

Θα θέλαμε να ευχαριστήσουμε τον Andrew Gonzalez για τη βοήθειά του.

WebKit

Θα θέλαμε να ευχαριστήσουμε τον ανώνυμο ερευνητή για τη βοήθειά του.

 

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.

Ημερομηνία δημοσίευσης: