Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on lueteltu Applen suojausjulkaisut ‑sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
watchOS 10.1
Julkaistu 25.10.2023
Core Recents
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: ongelma on ratkaistu tyhjentämällä kirjaaminen
CVE-2023-42823
Kohta lisätty 16.2.2024
Find My
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.
Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.
CVE-2023-40413: Adam M.
Find My
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla tilapäisten tiedostojen käsittelyä.
CVE-2023-42834: Csaba Fitzl (@theevilbit), Offensive Security
Kohta lisätty 16.2.2024
Game Center
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2023-42953: Michael (Biscuit) Thomas - @biscuit@social.lol
Kohta lisätty 16.2.2024
ImageIO
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: Haitallisen kuvan käsitteleminen saattoi johtaa keon vioittumiseen.
Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.
CVE-2023-42848: JZ
Kohta lisätty 16.2.2024
Kernel
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: ytimen koodia suorittanut hyökkääjä saattoi pystyä ohittamaan ydinmuistin korjaavat toimet
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-42849: Linus Henze (Pinauten GmbH, pinauten.de)
libxpc
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: haitallinen appi saattoi pystyä hankkimaan pääkäyttöoikeudet
Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien käsittelyä.
CVE-2023-42942: Mickey Jin (@patch1t)
Kohta lisätty 16.2.2024
Mail Drafts
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: Kätke osoitteeni ‑toiminto saatettiin poistaa käytöstä odottamattomasti.
Kuvaus: Epäyhdenmukaisen käyttöliittymän ongelma on korjattu parantamalla tilanhallintaa.
CVE-2023-40408: Grzegorz Riegel
mDNSResponder
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: laitetta saatettiin pystyä seuraamaan passiivisesti sen Wi-Fi-yhteyden MAC-osoitteen perusteella.
Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2023-42846: Talal Haj Bakry ja Tommy Mysk (Mysk Inc. @mysk_co)
Sandbox
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2023-42839: Yiğit Can YILMAZ (@yilmazcanyigit)
Kohta lisätty 16.2.2024
Share Sheet
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2023-42878: Kirin (@Pwnrin), Wojciech Regula (SecuRing, wojciechregula.blog) ja Cristian Dinca ("Tudor Vianu", National High School of Computer Science, Romania)
Kohta lisätty 16.2.2024
Siri
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: hyökkääjä, joka pääsi käsiksi laitteeseen, saattoi pystyä käyttämään Siriä arkaluonteisiin käyttäjätietoihin pääsyyn.
Kuvaus: ongelma on ratkaistu rajoittamalla lukitussa laitteessa tarjottuja vaihtoehtoja.
CVE-2023-41982: Bistrit Dahal
CVE-2023-41997: Bistrit Dahal
CVE-2023-41988: Bistrit Dahal
Kohta päivitetty 16.2.2024
Siri
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia käyttäjätietoja.
Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen poistamista.
CVE-2023-42946
Kohta lisätty 16.2.2024
Weather
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2023-41254: Cristian Dinca (Tudor Vianu National High School of Computer Science, Romania)
WebKit
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 259836
CVE-2023-40447: 이준성(Junsung Lee, Cross Republic)
WebKit
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.
WebKit Bugzilla: 259890
CVE-2023-41976: 이준성(Junsung Lee)
WebKit
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
WebKit Bugzilla: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) ja Vitor Pedreira (@0xvhp_), Agile Information Security
Kohta päivitetty 16.2.2024
Kiitokset
VoiceOver
Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal, Intia).
WebKit
Haluamme kiittää avusta nimetöntä tutkijaa.