À propos du contenu de sécurité de watchOS 10.2

Ce document décrit le contenu de sécurité de watchOS 10.2.

À propos des mises à jour de sécurité Apple

Dans un souci de protection de ses clients, Apple s’abstient de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou des mises à jour ne sont pas offerts. Les mises à jour récentes sont répertoriées sur la page Versions de sécurité d’Apple.

Les documents de sécurité Apple répertorient les vulnérabilités par référence CVE dans la mesure du possible.

Pour obtenir plus d’informations en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple.

watchOS 10.2

Accessibility

Disponible pour : Apple Watch Series 4 et modèles ultérieurs

Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.

Description : un problème de confidentialité a été résolu grâce à l’amélioration de la définition des données personnelles pour la saisie.

CVE-2023-42937 : Noah Roskin-Frazee et le professeur J. (ZeroClicks.ai Lab)

Accounts

Disponible pour : Apple Watch Series 4 et modèles ultérieurs

Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.

Description : un problème de confidentialité a été résolu grâce à l’amélioration de la définition des données personnelles pour la saisie.

CVE-2023-42919 : Kirin (@Pwnrin)

ImageIO

Disponible pour : Apple Watch Series 4 et modèles ultérieurs

Conséquence : le traitement d’une image pourrait entraîner l’exécution de code arbitraire.

Description : ce problème a été résolu par une meilleure gestion de la mémoire.

CVE-2023-42898 : Zhenjiang Zhao de Pangu Team, Qianxin et Junsung Lee

CVE-2023-42899 : Meysam Firouzi @R00tkitSMM et Junsung Lee

ImageIO

Disponible pour : Apple Watch Series 4 et modèles ultérieurs

Conséquence : le traitement d’une image malveillante peut entraîner la divulgation du contenu de la mémoire de traitement.

Description : ce problème a été résolu par de meilleures vérifications.

CVE-2023-42888 : Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative

Kernel

Disponible pour : Apple Watch Series 4 et modèles ultérieurs

Conséquence : une app peut être en mesure de sortir de son bac à sable.

Description : ce problème a été résolu par une meilleure gestion de la mémoire.

CVE-2023-42914 : Eloi Benoist-Vanderbeken (@elvanderb) de Synacktiv (@Synacktiv)

Libsystem

Disponible pour : Apple Watch Series 4 et modèles ultérieurs

Conséquence : une app peut être en mesure d’accéder aux données protégées de l’utilisateur.

Description : un problème d’autorisations a été résolu en supprimant le code vulnérable et en ajoutant des vérifications.

CVE-2023-42893

Sandbox

Disponible pour : Apple Watch Series 4 et modèles ultérieurs

Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.

Description : ce problème a été résolu par une amélioration de la rédaction des renseignements confidentiels.

CVE-2023-42936 : Csaba Fitzl (@theevilbit) d’OffSec

TCC

Disponible pour : Apple Watch Series 4 et modèles ultérieurs

Conséquence : une app peut être en mesure de sortir de son bac à sable.

Description : un problème de gestion des chemins a été résolu par une meilleure validation.

CVE-2023-42947 : Zhongquan Li (@Guluisacat) de Dawn Security Lab de JingDong

Transparency

Disponible pour : Apple Watch Series 4 et modèles ultérieurs

Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.

Description : ce problème a été résolu par une amélioration de la restriction de l’accès aux conteneurs de données.

CVE-2023-40389 : Csaba Fitzl (@theevilbit) d’Offensive Security et Joshua Jewett (@JoshJewett33)

WebKit

Disponible pour : Apple Watch Series 4 et modèles ultérieurs

Conséquence : le traitement du contenu web peut entraîner l’exécution de code arbitraire

Description : ce problème a été résolu par une meilleure gestion de la mémoire.

CVE-2023-42890 : Pwn2car

WebKit

Disponible pour : Apple Watch Series 4 et modèles ultérieurs

Conséquence : le traitement d’une image peut entraîner un déni de service.

Description : ce problème a été résolu par une meilleure gestion de la mémoire.

CVE-2023-42883 : Zoom Offensive Security Team

WebKit

Disponible pour : Apple Watch Series 4 et modèles ultérieurs

Conséquence : le traitement du contenu Web pourrait révéler des informations sensibles. Apple a connaissance de l’exploitation potentielle de cette faille de sécurité dans des versions d’iOS antérieures à iOS 16.7.1.

Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.

CVE-2023-42916 : Clément Lecigne du groupe d’analyse des menaces de Google

WebKit

Disponible pour : Apple Watch Series 4 et modèles ultérieurs

Conséquence : le traitement d’un contenu web peut entraîner l’exécution arbitraire de code. Apple a connaissance de l’exploitation potentielle de cette faille de sécurité dans des versions d’iOS antérieures à iOS 16.7.1.

Description : une vulnérabilité liée à la corruption de la mémoire a été résolue par un meilleur verrouillage.

CVE-2023-42917 : Clément Lecigne du groupe d’analyse des menaces de Google

WebKit

Disponible pour : Apple Watch Series 4 et modèles ultérieurs

Conséquence : le traitement d’un contenu web malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2023-42950 : Nan Wang (@eternalsakura13) de 360 Vulnerability Research Institute et rushikesh nandedka

Remerciements supplémentaires

Wi-Fi

Nous tenons à remercier Noah Roskin-Frazee et le professeur J. (ZeroClicks.ai Lab) pour leur aide.