Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
watchOS 9.4
Julkaistu 27.3.2023
AppleMobileFileIntegrity
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: Käyttäjä saattoi päästä tiedostojärjestelmän suojattuihin osiin.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-23527: Mickey Jin (@patch1t)
Calendar
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: Haitallisen kalenterikutsun tuominen saattoi aiheuttaa käyttäjätietovuodon.
Kuvaus: Useita varmistusongelmia ratkaistiin parantamalla annettujen tietojen puhdistamista.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
Camera
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: Eristetty appi pystyi mahdollisesti päättelemään, mikä appi käyttää kameraa.
Kuvaus: Ongelma on ratkaistu lisäämällä appien tilojen havaitsemisen rajoituksia.
CVE-2023-23543: Yiğit Can YILMAZ (@yilmazcanyigit)
Kohta lisätty 8.6.2023
CoreCapture
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-28181: Tingting Yin (Tsinghua University)
Find My
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2023-23537: Adam M.
CVE-2023-28195: Adam M.
Kohta päivitetty 21.12.2023
FontParser
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-27956: Ye Zhang (Baidu Security)
Foundation
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: Haitallisen plist-tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2023-27937: nimetön tutkija
Identity Services
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä käyttämään tietoja käyttäjän yhteystiedoista.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2023-27928: Csaba Fitzl (@theevilbit, Offensive Security)
ImageIO
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-23535: ryuzaki
ImageIO
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2023-27929: Meysam Firouzi (@R00tkitSMM, Mbition Mercedes-Benz Innovation Lab) ja jzhu yhteistyössä Trend Micro Zero Day Initiativen kanssa
ImageIO
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: kuvan käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2023-42862: Meysam Firouzi (@R00tkitSMM)
CVE-2023-42865: jzhu yhteistyössä Trend Micro Zero Day Initiativen ja Meysam Firouzin (@R00tkitSMM, Mbition Mercedes-Benz Innovation Lab) kanssa
Kohta lisätty 21.12.2023
Kernel
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Ongelma on ratkaistu parantamalla rajojen tarkastuksia.
CVE-2023-23536: Félix Poulin-Bélanger ja David Pan Ogea
Kohta lisätty 8.6.2023 ja päivitetty 21.12.2023
Kernel
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2023-27969: Adam Doupé (ASU SEFCOM)
Kernel
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi, jolla oli pääkäyttöoikeudet, saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-27933: sqrtpwn
Kernel
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: sovellus saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: Kokonaisluvun ylivuoto ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2023-28185: Pan ZhenPeng (STAR Labs SG Pte.) Ltd.)
Kohta lisätty 21.12.2023
Kernel
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: ytimen koodia suorittanut hyökkääjä saattoi pystyä ohittamaan ydinmuistin korjaavat toimet
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-32424: Zechao Cai (@Zech4o, Zhejiang University)
Kohta lisätty 21.12.2023
Podcastit
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-27942: Mickey Jin (@patch1t)
Sandbox
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.
CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)
Kohta lisätty 8.6.2023
Shortcuts
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: pikakomento saattoi pystyä käyttämään arkaluonteisia tietoja tietyissä toiminnoissa ilman, että käyttäjältä pyydettiin lupaa.
Kuvaus: ongelma ratkaistiin lisäämällä käyttöoikeuksien tarkistuksia.
CVE-2023-27963: Jubaer Alnazi Jabin (TRS Group Of Companies) sekä Wenchao Li ja Xiaolong Bai (Alibaba Group)
TCC
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2023-27931: Mickey Jin (@patch1t)
WebKit
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: haitallisen verkkosisällön käsittely saattoi pystyä ohittamaan saman alkuperän käytännön
Kuvaus: Ongelma on ratkaistu parantamalla tilanhallintaa.
WebKit Bugzilla: 248615
CVE-2023-27932: nimetön tutkija
WebKit
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: Verkkosivusto saattoi pystyä seuraamaan arkaluontoisia käyttäjätietoja.
Kuvaus: Ongelma on ratkaistu poistamalla lähdetiedot.
WebKit Bugzilla: 250837
CVE-2023-27954: nimetön tutkija
Kiitokset
Activation Lock
Haluamme kiittää Christian Minaa hänen avustaan.
CFNetwork
Haluamme kiittää avusta nimetöntä tutkijaa.
CoreServices
Haluamme kiittää Mickey Jinia (@patch1t) hänen avustaan.
ImageIO
Haluamme kiittää Meysam Firouzia (@R00tkitSMM) hänen avustaan.
Haluamme kiittää Chen Zhangia, Fabian Isingia (FH Münster University of Applied Sciences), Damian Poddebniakia (FH Münster University of Applied Sciences), Tobias Kappertia (Münster University of Applied Sciences), Christoph Saatjohannia (Münster University of Applied Sciences, Sebast) ja Merlin Chlostaa (CISPA Helmholtz Center for Information Security) heidän avustaan.
Safari Downloads
Haluamme kiittää Andrew Gonzalezia hänen avustaan.
WebKit
Haluamme kiittää avusta nimetöntä tutkijaa.