Tietoja watchOS 10.2:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan watchOS 10.2:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on lueteltu Applen suojausjulkaisut ‑sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
watchOS 10.2
Julkaistu 11.12.2023
Accessibility
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2023-42937: Noah Roskin-Frazee ja Prof. J. (ZeroClicks.ai Lab)
Kohta lisätty 22.1.2024
Accounts
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2023-42919: Kirin (@Pwnrin)
ImageIO
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-42898: Zhenjiang Zhao (Pangu Team), Qianxin ja Junsung Lee
CVE-2023-42899: Meysam Firouzi (@R00tkitSMM) ja Junsung Lee
Kohta päivitetty 22.3.2024
ImageIO
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-42888: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)
Kohta lisätty 22.1.2024
Kernel
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä poistumaan eristyksestään.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb, Synacktiv – @Synacktiv)
Libsystem
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.
Kuvaus: Käyttöoikeusongelma on korjattu poistamalla haavoittuvuuden aiheuttanut koodi ja lisäämällä tarkistuksia.
CVE-2023-42893
Kohta lisätty 22.3.2024
Sandbox
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen sensuroimista.
CVE-2023-42936: Csaba Fitzl (@theevilbit, OffSec)
Kohta lisätty 22.3.2024 ja päivitetty 16.7.2024
TCC
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä poistumaan eristyksestään.
Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.
CVE-2023-42947: Zhongquan Li (@Guluisacat, JingDongin Dawn Security Lab)
Kohta lisätty 22.3.2024
Transparency
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: ongelma on ratkaistu parantamalla datasäilön käyttöoikeusrajoitusta.
CVE-2023-40389: Csaba Fitzl (@theevilbit, Offensive Security) ja Joshua Jewett (@JoshJewett33)
Kohta lisätty 16.7.2024
WebKit
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 259830
CVE-2023-42890: Pwn2car
WebKit
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: kuvan käsittely saattoi aiheuttaa palveluneston.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 263349
CVE-2023-42883: Zoom Offensive Security Team
WebKit
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: Verkkosisällön käsitteleminen saattoi paljastaa arkaluontoisia tietoja. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää ennen iOS 16.7.1 ‑versiota julkaistuissa iOS-versioissa.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
WebKit Bugzilla: 265041
CVE-2023-42916: Clément Lecigne (Googlen Threat Analysis Group)
WebKit
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää ennen iOS 16.7.1 ‑versiota julkaistuissa iOS-versioissa.
Kuvaus: muistin vioittumishaavoittuvuus on korjattu parantamalla lukitsemista.
WebKit Bugzilla: 265067
CVE-2023-42917: Clément Lecigne (Googlen Threat Analysis Group)
WebKit
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
WebKit Bugzilla: 263682
CVE-2023-42950: Nan Wang (@eternalsakura13, 360 Vulnerability Research Institute) ja rushikesh nandedka
Kohta lisätty 22.3.2024
Kiitokset
Wi-Fi
Haluamme kiittää avusta Noah Roskin-Frazeeta ja Prof. J:tä (ZeroClicks.ai Lab).
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.