Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
watchOS 9.3
Julkaistu 23.1.2023
AppleMobileFileIntegrity
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä ohittamaan yksityisyysasetukset
Kuvaus: Ongelma on ratkaistu parannetuilla tarkistuksilla luvattomien toimintojen estämiseksi.
CVE-2023-32438: Csaba Fitzl (@theevilbit, Offensive Security) ja Mickey Jin (@patch1t)
Kohta lisätty 5.9.2023
AppleMobileFileIntegrity
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: ongelma ratkaistiin ottamalla käyttöön vahvistettu suorituksenaikainen suojaus.
CVE-2023-23499: Wojciech Regula (SecuRing (wojciechregula.blog))
Crash Reporter
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: käyttäjä saattoi pystyä lukemaan mielivaltaisia tiedostoja root-käyttäjänä.
Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.
CVE-2023-23520: Cees Elzinga
Kohta lisätty 6.6.2023
FontParser
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: Fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää aktiivisesti ennen iOS 15.7.1 ‑versiota julkaistuissa iOS-versioissa.
Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.
CVE-2023-41990: Apple
Kohta lisätty 8.9.2023
ImageIO
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: kuvan käsittely saattoi aiheuttaa palveluneston.
Kuvaus: muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2023-23519: Meysam Firouzi (@R00tkitSMM, Mbition Mercedes-Benz Innovation Lab), Yiğit Can YILMAZ (@yilmazcanyigit) ja jzhu yhteistyössä Trend Micron Zero Day Initiativen kanssa
Kohta päivitetty 5.9.2023
Kernel
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia kernelin tilatietoja.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-23500: Pan ZhenPeng (@Peterpan0927, STAR Labs SG Pte. Ltd. (@starlabs_sg))
Kernel
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä päättelemään kernel-muistin asettelun.
Kuvaus: tietojen paljastumiseen liittyvä ongelma ratkaistiin poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2023-23502: Pan ZhenPeng (@Peterpan0927, STAR Labs SG Pte. Ltd. (@starlabs_sg))
Kernel
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-23504: Adam Doupé (ASU SEFCOM)
Maps
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2023-23503: nimetön tutkija
Safari
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: verkkosivustolla käynti saattoi aiheuttaa apin palveluneston.
Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.
CVE-2023-23512: Adriatik Raci
Screen Time
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä käyttämään tietoja käyttäjän yhteystiedoista.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2023-23505: Wojciech Reguła (SecuRing, wojciechregula.blog) ja Csaba Fitzl (@theevilbit, Offensive Security)
Kohta päivitetty 6.6.2023
Weather
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä ohittamaan yksityisyysasetukset
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-23511: Wojciech Regula (SecuRing (wojciechregula.blog)), nimetön tutkija
WebKit
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 248885
CVE-2023-32393: Francisco Alonso (@revskills)
Kohta lisätty 28.6.2023
WebKit
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: HTML-dokumentti saattoi kyetä muodostamaan iFrame-kehyksiä arkaluonteisten käyttäjätietojen avulla
Kuvaus: Ongelma on ratkaistu parantamalla iframe-eristyksen toimeenpanoa.
WebKit Bugzilla: 241753
CVE-2022-0108: Luan Herrera (@lbherrera_)
Kohta lisätty 6.6.2023
WebKit
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
WebKit Bugzilla: 245464
CVE-2023-23496: ChengGang Wu, Yan Kang, YuHao Hu, Yue Sun, Jiming Wang, JiKai Ren ja Hang Shu (Institute of Computing Technology, Chinese Academy of Sciences)
WebKit
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 248268
CVE-2023-23518: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) (Team ApplePIE)
WebKit Bugzilla: 248268
CVE-2023-23517: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) (Team ApplePIE)
Kiitokset
AppleMobileFileIntegrity
Haluamme kiittää Csaba Fitzliä (@theevilbit, Offensive Security) hänen avustaan.
Kohta lisätty 6.6.2023
Core Data
Haluamme kiittää avusta Austin Emmittiä (@alkalinesec, Senior Security Researcher, Trellix Advanced Research Center).
Kohta lisätty 8.9.2023
Kernel
Haluamme kiittää Nick Stenningiä (Replicate) hänen avustaan.
WebKit
Haluamme kiittää Eliya Steinia (Confiant) hänen avustaan.