Πληροφορίες σχετικά με τις ενημερώσεις ασφάλειας Apple
Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.
Τα έγγραφα ασφάλειας της Apple αναφέρουν τις ευπάθειες κατά CVE-ID όπου είναι δυνατό.
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.
watchOS 10
Κυκλοφόρησε στις 18 Σεπτεμβρίου 2023
App Store
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να διαφύγει από το sandbox περιεχομένου ιστού
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό των πρωτοκόλλων.
CVE-2023-40448: w0wbox
Apple Neural Engine
Διατίθεται για συσκευές με Apple Neural Engine: Apple Watch Series 9 και Apple Watch Ultra 2
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2023-40432: Mohamed GHANNAM (@_simo36)
CVE-2023-41174: Mohamed GHANNAM (@_simo36)
CVE-2023-40409: Ye Zhang (@VAR10CK) της Baidu Security
CVE-2023-40412: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
Διατίθεται για συσκευές με Apple Neural Engine: Apple Watch Series 9 και Apple Watch Ultra 2
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use-after-free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
CVE-2023-41071: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
Διατίθεται για συσκευές με Apple Neural Engine: Apple Watch Series 9 και Apple Watch Ultra 2
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκαλύψει περιεχόμενο της μνήμης πυρήνα
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2023-40399: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
Διατίθεται για συσκευές με Apple Neural Engine: Apple Watch Series 9 και Apple Watch Ultra 2
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκαλύψει περιεχόμενο της μνήμης πυρήνα
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2023-40410: Tim Michaud (@TimGMichaud) της Moveworks.ai
AuthKit
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό των μνημών cache.
CVE-2023-32361: Csaba Fitzl (@theevilbit) της Offensive Security
Bluetooth
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Ένας εισβολέας που βρίσκεται σε κοντινή απόσταση ενδέχεται να μπορέσει να προκαλέσει περιορισμένη εγγραφή εκτός ορίων
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2023-35984: zer0k
bootp
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα ανάγνωσης ευαίσθητων πληροφοριών τοποθεσίας
Περιγραφή: Ένα ζήτημα απορρήτου αντιμετωπίστηκε με βελτιωμένη έκδοση απόρρητων δεδομένων για τις εγγραφές του αρχείου καταγραφής.
CVE-2023-41065: Adam M. και Noah Roskin-Frazee και καθηγητής Jason Lau (ZeroClicks.ai Lab)
CFNetwork
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μην μπορέσει να εφαρμόσει την Ασφάλεια μεταφοράς εφαρμογών
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό των πρωτοκόλλων.
CVE-2023-38596: Will Brattain στο Trail of Bits
CoreAnimation
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία περιεχομένου ιστού μπορεί να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2023-40420: 이준성(Junsung Lee) της Cross Republic
Core Data
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να παρακάμψει τις προτιμήσεις Απορρήτου
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.
CVE-2023-40528: Kirin (@Pwnrin) της NorthSea
Η καταχώριση προστέθηκε στις 22 Ιανουαρίου 2024
Dev Tools
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2023-32396: Mickey Jin (@patch1t)
Game Center
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε επαφές
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό των μνημών cache.
CVE-2023-40395: Csaba Fitzl (@theevilbit) της Offensive Security
Kernel
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Ένας εισβολέας που έχει ήδη πραγματοποιήσει επιτυχώς εκτέλεση κώδικα πυρήνα ενδέχεται να μπορεί να παρακάμψει τα μέτρα αντιμετώπισης της μνήμης πυρήνα
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2023-41981: Linus Henze της Pinauten GmbH (pinauten.de)
Kernel
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) της STAR Labs SG Pte. Ltd.
Kernel
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη
Περιγραφή: Ένα πρόβλημα δικαιωμάτων αντιμετωπίστηκε με βελτιωμένη επικύρωση.
CVE-2023-40429: Michael (Biscuit) Thomas και 张师傅(@京东蓝军)
libpcap
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Ένας απομακρυσμένος χρήστης ενδέχεται να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2023-40400: Sei K.
libxpc
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να διαγράψει αρχεία για τα οποία δεν έχει δικαιώματα
Περιγραφή: Ένα πρόβλημα με τα δικαιώματα αντιμετωπίστηκε με πρόσθετους περιορισμούς.
CVE-2023-40454: Zhipeng Huo (@R3dF09) του Tencent Security Xuanwu Lab (xlab.tencent.com)
libxpc
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε προστατευμένα δεδομένα χρήστη
Περιγραφή: Ένα πρόβλημα εξουσιοδότησης αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.
CVE-2023-41073: Zhipeng Huo (@R3dF09) του Tencent Security Xuanwu Lab (xlab.tencent.com)
libxslt
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία περιεχομένου ιστού μπορεί να αποκαλύψει ευαίσθητες πληροφορίες
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2023-40403: Dohyun Lee (@l33d0hyun) της PK Security
Maps
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα ανάγνωσης ευαίσθητων πληροφοριών τοποθεσίας
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό των μνημών cache.
CVE-2023-40427: Adam M. και Wojciech Regula της SecuRing (wojciechregula.blog)
MobileStorageMounter
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Ένας χρήστης ενδέχεται να μπορεί να προβιβάσει προνόμια
Περιγραφή: Ένα πρόβλημα πρόσβασης αντιμετωπίστηκε με βελτιωμένους περιορισμούς πρόσβασης.
CVE-2023-41068: Mickey Jin (@patch1t)
Passcode
Διατίθεται για: Apple Watch Ultra (όλα τα μοντέλα)
Αποτέλεσμα: Ένα Apple Watch Ultra ενδέχεται να μην κλειδώσει κατά τη χρήση της εφαρμογής Depth (Βάθος)
Περιγραφή: Ένα πρόβλημα ελέγχου ταυτότητας αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.
CVE-2023-40418: serkan Gurbuz
Photos Storage
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε επεξεργασμένες φωτογραφίες που έχουν αποθηκευτεί σε έναν προσωρινό κατάλογο
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2023-40456: Kirin (@Pwnrin)
CVE-2023-40520: Kirin (@Pwnrin)
Safari
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αναγνωρίσει ποιες άλλες εφαρμογές έχει εγκαταστήσει ο χρήστης
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2023-35990: Adriatik Raci της Sentry Cybersecurity
Safari
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Η επίσκεψη σε έναν ιστότοπο με κακόβουλο περιεχόμενο ενδέχεται να προκαλέσει πλαστογράφηση του περιβάλλοντος χρήστη
Περιγραφή: Ένα πρόβλημα διαχείρισης παραθύρου επιλύθηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2023-40417: Narendra Bhati (twitter.com/imnarendrabhati) της Suma Soft Pvt. Ltd, Πούνε (Ινδία)
Η καταχώριση ενημερώθηκε στις 2 Ιανουαρίου 2024
Sandbox
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα αντικατάστασης αυθαίρετων αρχείων
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους ορίων.
CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)
Share Sheet
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να έχει πρόσβαση σε ευαίσθητα δεδομένα που καταγράφονται όταν ένας χρήστης κοινοποιεί έναν σύνδεσμο
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2023-41070: Kirin (@Pwnrin)
Simulator
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2023-40419: Arsenii Kostromin (0x3c3e)
StorageKit
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα ανάγνωσης αυθαίρετων αρχείων
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με τη βελτιωμένη επαλήθευση symlinks.
CVE-2023-41968: Mickey Jin (@patch1t) και James Hutchins
TCC
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2023-40424: Arsenii Kostromin (0x3c3e), Joshua Jewett (@JoshJewett33) και Csaba Fitzl (@theevilbit) της Offensive Security
WebKit
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use-after-free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
WebKit Bugzilla: 249451
CVE-2023-39434: Francisco Alonso (@revskills) και Dohyun Lee (@l33d0hyun) της PK Security
WebKit Bugzilla: 258992
CVE-2023-40414: Francisco Alonso (@revskills)
Η καταχώριση ενημερώθηκε στις 2 Ιανουαρίου 2024
WebKit
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
WebKit Bugzilla: 256551
CVE-2023-41074: 이준성(Junsung Lee) της Cross Republic και Jie Ding(@Lime) από το HKUS3 Lab
Η καταχώριση ενημερώθηκε στις 2 Ιανουαρίου 2024
WebKit
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
WebKit Bugzilla: 239758
CVE-2023-35074: Ajou University Abysslab Dong Jun Kim (@smlijun) και Jong Seong Kim (@nevul37)
Η καταχώριση ενημερώθηκε στις 2 Ιανουαρίου 2024
Επιπλέον αναγνώριση
Airport
Θα θέλαμε να ευχαριστήσουμε τους Adam M., Noah Roskin-Frazee και τον καθηγητή Jason Lau (ZeroClicks.ai Lab) για τη βοήθειά τους.
Audio
Θα θέλαμε να ευχαριστήσουμε τον Mickey Jin (@patch1t) για τη βοήθειά του.
Bluetooth
Θα θέλαμε να ευχαριστήσουμε τους Jianjun Dai και Guang Gong του 360 Vulnerability Research Institute για τη βοήθειά τους.
Books
Θα θέλαμε να ευχαριστήσουμε τον Aapo Oksman της Nixu Cybersecurity για τη βοήθειά του.
Control Center
Θα θέλαμε να ευχαριστήσουμε τον Chester van den Bogaard για τη βοήθειά του.
Data Detectors UI
Θα θέλαμε να ευχαριστήσουμε τον Abhay Kailasia (@abhay_kailasia) του Lakshmi Narain College Of Technology Bhopal για τη βοήθειά του.
Find My
Θα θέλαμε να ευχαριστήσουμε την Cher Scarlett για τη βοήθειά της.
Home
Θα θέλαμε να ευχαριστήσουμε τον Jake Derouin (jakederouin.com) για τη βοήθειά του.
IOUserEthernet
Θα θέλαμε να ευχαριστήσουμε τη Certik Skyfall Team για τη βοήθειά τους.
Η καταχώριση προστέθηκε στις 2 Ιανουαρίου 2024
Kernel
Θα θέλαμε να ευχαριστήσουμε τους Bill Marczak του The Citizen Lab at The University of Toronto's Munk School, Maddie Stone της Google's Threat Analysis Group και 永超 王 για τη βοήθειά τους.
libxml2
Θα θέλαμε να ευχαριστήσουμε τους OSS-Fuzz και Ned Williamson του Google Project Zero για τη βοήθειά τους.
libxpc
Θα θέλαμε να ευχαριστήσουμε τον ανώνυμο ερευνητή για τη βοήθειά του.
libxslt
Θα θέλαμε να ευχαριστήσουμε τους Dohyun Lee (@l33d0hyun) της PK Security, OSS-Fuzz και Ned Williamson του Google Project Zero για τη βοήθειά τους.
NSURL
Θα θέλαμε να ευχαριστήσουμε τους Zhanpeng Zhao (行之) και 糖豆爸爸(@晴天组织) για τη βοήθειά τους.
Photos
Θα θέλαμε να ευχαριστήσουμε τους Dawid Pałuska και Kirin (@Pwnrin) για τη βοήθειά τους.
Photos Storage
Θα θέλαμε να ευχαριστήσουμε τον Wojciech Regula της SecuRing (wojciechregula.blog) για τη βοήθειά του.
Power Services
Θα θέλαμε να ευχαριστήσουμε τον Mickey Jin (@patch1t) για τη βοήθειά του.
Shortcuts
Θα θέλαμε να ευχαριστήσουμε τους Alfie CG, Christian Basting του Bundesamt für Sicherheit in der Informationstechnik, Cristian Dinca του "Tudor Vianu" National High School of Computer Science, Romania, Giorgos Christodoulidis, Jubaer Alnazi του TRS Group Of Companies, KRISHAN KANT DWIVEDI (@xenonx7) και Matthew Butler για τη βοήθειά τους.
Η καταχώριση ενημερώθηκε στις 24 Απριλίου 2024
Software Update
Θα θέλαμε να ευχαριστήσουμε τον Omar Siman για τη βοήθειά του.
StorageKit
Θα θέλαμε να ευχαριστήσουμε τον Mickey Jin (@patch1t) για τη βοήθειά του.
WebKit
Θα θέλαμε να ευχαριστήσουμε τους Khiem Tran και Narendra Bhati από το Suma Soft Pvt. Ltd. και έναν ανώνυμο ερευνητή για τη βοήθειά τους.