מידע על תוכן האבטחה של watchOS 9.3
מסמך זה מתאר את תוכן האבטחה של watchOS 9.3.
מידע על עדכוני אבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. הגרסאות העדכניות רשומות בדף עדכוני אבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID כאשר הדבר ניתן.
למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.
watchOS 9.3
הופץ ב-23 בינואר 2023
AppleMobileFileIntegrity
זמין עבור: Apple Watch Series 4 ואילך
השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות למניעת פעולות לא מורשות.
CVE-2023-32438: סאבה פיצל (@theevilbit) מ-Offensive Security ומיקי ג'ין (@patch1t)
הרשומה נוספה ב‑5 בספטמבר 2023
AppleMobileFileIntegrity
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: בעיה זו טופלה על ידי הפעלת מצב Hardened Runtime (סביבת זמן ריצה מוגנת).
CVE-2023-23499: וויצ'ך רגולה מ-SecuRing (wojciechregula.blog)
Crash Reporter
זמין עבור: Apple Watch Series 4 ואילך
השפעה: משתמש עלול להצליח לקרוא קבצים שרירותיים כמשתמש Root
תיאור: מצב מירוץ טופל באמצעות אימות נוסף.
CVE-2023-23520: קייס אלזינחה
הרשומה נוספה ב‑6 ביוני 2023
FontParser
זמין עבור: Apple Watch Series 4 ואילך
השפעה: עיבוד קובץ גופן עלול להוביל להפעלה של קוד שרירותי. Apple מודעת לדיווח שלפיו ייתכן שבעיה זו נוצלה לרעה באופן פעיל נגד גרסאות iOS שפורסמו לפני iOS 15.7.1.
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרונות מטמון.
CVE-2023-41990: Apple
הערך נוסף ב‑8 בספטמבר 2023
ImageIO
זמין עבור: Apple Watch Series 4 ואילך
השפעה: עיבוד תמונה עלול לגרום למניעת שירות
תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.
CVE-2023-23519: מייסאם פירוזי (@R00tkitSMM) מ-Mbition Mercedes-Benz Innovation Lab, ייגיט קאן ילמז (@yilmazcanyigit) וג'ז'ו יחד עם Trend Micro Zero Day Initiative
הרשומה עודכנה ב‑5 בספטמבר 2023
Kernel
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח להדליף מצב ליבה רגיש
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-23500: פאן ז'נפנג (@Peterpan0927) מ-STAR Labs SG Pte. Ltd. (starlabs_sg@)
Kernel
זמין עבור: Apple Watch Series 4 ואילך
השפעה: אפליקציה עשויה להצליח לקבוע את פריסת זיכרון הליבה
תיאור: בעיה של חשיפת מידע טופלה על-ידי הסרת הקוד הפגיע.
CVE-2023-23502: פאן ז'נפנג (@Peterpan0927) מ-STAR Labs SG Pte. Ltd. (starlabs_sg@)
Kernel
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-23504: אדם דופה מ-ASU SEFCOM
Maps
זמין עבור: Apple Watch Series 4 ואילך
השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות
תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.
CVE-2023-23503: חוקר אנונימי
Safari
זמין עבור: Apple Watch Series 4 ואילך
השפעה: ביקור באתר עלול להוביל למניעת שירות של האפליקציה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרונות מטמון.
CVE-2023-23512: אדריאטיק ראצי
Screen Time
זמין עבור: Apple Watch Series 4 ואילך
השפעה: אפליקציה עשויה לגשת למידע על אנשי הקשר של המשתמש
תיאור: בעיית פרטיות טופלה באמצעות עריכת נתונים פרטיים משופרת עבור רשומות יומן.
CVE-2023-23505: Wojciech Reguła מ-SecuRing (wojciechregula.blog) ו-Csaba Fitzl (@theevilbit) מ-Offensive Security
הרשומה עודכנה ב‑6 ביוני 2023
Weather
זמין עבור: Apple Watch Series 4 ואילך
השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CCVE-2023-23511: וויצ'ך רגולה מ-SecuRing (wojciechregula.blog), חוקר אנונימי
WebKit
זמין עבור: Apple Watch Series 4 ואילך
השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 248885
CVE-2023-32393: Francisco Alonso (revskills@)
הערך נוסף ב‑28 ביוני 2023
WebKit
זמין עבור: Apple Watch Series 4 ואילך
השפעה: ייתכן שמסמך HTML יצליח לעבד רכיבי iframe עם מידע רגיש אודות המשתמש
תיאור: בעיה זו טופלה באמצעות אכיפה משופרת של השימוש ב'ארגז חול' של iframe.
WebKit Bugzilla: 241753
CVE-2022-0108: Luan Herrera (@lbherrera_)
הערך נוסף ב‑6 ביוני 2023
WebKit
זמין עבור: Apple Watch Series 4 ואילך
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
WebKit Bugzilla: 245464
CVE-2023-23496: צ'אנג גאנג וו, יאן קאנג, יהאו הו, יו סאן, ג'ימינג וואנג, ג'יקאי רן והאנג שו מהמכון לטכנולוגיית מחשוב, האקדמיה הסינית למדעים
WebKit
זמין עבור: Apple Watch Series 4 ואילך
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 248268
CVE-2023-23518: (@hyeon101010) YeongHyeon Choi, (@tree_segment) Hyeon Park, (@_seokjeon) SeOk JEON, (@_ZeroSung) YoungSung Ahn, (@snakebjs0107) JunSeo Bae, (@l33d0hyun) Dohyun Lee מצוות ApplePIE
WebKit Bugzilla: 248268
CVE-2023-23517: (@hyeon101010) YeongHyeon Choi, (@tree_segment) Hyeon Park, (@_seokjeon) SeOk JEON, (@_ZeroSung) YoungSung Ahn, (@snakebjs0107) JunSeo Bae, (@l33d0hyun) Dohyun Lee מצוות ApplePIE
תודות נוספות
AppleMobileFileIntegrity
אנחנו מבקשים להודות לסאבה פיצל (@theevilbit) מ-Offensive Security על הסיוע.
הערך נוסף ב‑6 ביוני 2023
Core Data
אנחנו מבקשים להודות ל-Austin Emmitt (alkalinesec@), חוקר אבטחה בכיר ב- Trellix Advanced Research Center, על הסיוע.
הערך נוסף ב‑8 בספטמבר 2023
Kernel
אנחנו מבקשים להודות לניק סטנינג מ-Replicate על הסיוע.
WebKit
אנחנו מבקשים להודות לאליה שטיין מ-Confiant על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.