Tietoja watchOS 10.2:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan watchOS 10.2:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on lueteltu Applen suojausjulkaisut ‑sivulla.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.

watchOS 10.2

Julkaistu 11.12.2023

Accessibility

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2023-42937: Noah Roskin-Frazee ja Prof. J. (ZeroClicks.ai Lab)

Kohta lisätty 22.1.2024

Accounts

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2023-42919: Kirin (@Pwnrin)

ImageIO

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-42898: Zhenjiang Zhao (Pangu Team), Qianxin ja Junsung Lee

CVE-2023-42899: Meysam Firouzi (@R00tkitSMM) ja Junsung Lee

Kohta päivitetty 22.3.2024

ImageIO

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2023-42888: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

Kohta lisätty 22.1.2024

Kernel

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb, Synacktiv – @Synacktiv)

Libsystem

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: Käyttöoikeusongelma on korjattu poistamalla haavoittuvuuden aiheuttanut koodi ja lisäämällä tarkistuksia.

CVE-2023-42893

Kohta lisätty 22.3.2024

Sandbox

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen sensuroimista.

CVE-2023-42936

Kohta lisätty 22.3.2024

TCC

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.

CVE-2023-42947: Zhongquan Li (@Guluisacat, JingDongin Dawn Security Lab)

Kohta lisätty 22.3.2024

WebKit

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

WebKit Bugzilla: 259830
CVE-2023-42890: Pwn2car

WebKit

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: kuvan käsittely saattoi aiheuttaa palveluneston.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

WebKit Bugzilla: 263349
CVE-2023-42883: Zoom Offensive Security Team

WebKit

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: Verkkosisällön käsittely saattoi julkaista arkaluonteisia tietoja. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää ennen iOS 16.7.1 ‑versiota julkaistuissa iOS-versioissa.

Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

WebKit Bugzilla: 265041
CVE-2023-42916: Clément Lecigne (Googlen Threat Analysis Group)

WebKit

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää ennen iOS 16.7.1 ‑versiota julkaistuissa iOS-versioissa.

Kuvaus: muistin vioittumishaavoittuvuus on korjattu parantamalla lukitsemista.

WebKit Bugzilla: 265067
CVE-2023-42917: Clément Lecigne (Googlen Threat Analysis Group)

WebKit

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

WebKit Bugzilla: 263682
CVE-2023-42950: Nan Wang (@eternalsakura13, 360 Vulnerability Research Institute) ja rushikesh nandedka

Kohta lisätty 22.3.2024

 

Kiitokset

Wi-Fi

Haluamme kiittää avusta Noah Roskin-Frazeeta ja Prof. J:tä (ZeroClicks.ai Lab).

 

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: