מידע על תוכן האבטחה של watchOS 10.1

מסמך זה מתאר את תוכן האבטחה של watchOS 10.1.

מידע על עדכוני האבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID כאשר הדבר ניתן.

למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.

watchOS 10.1

פורסם ב-25 באוקטובר 2023

Core Recents

זמין עבור: Apple Watch Series 4 ואילך

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: הבעיה נפתרה באמצעות סניטציה של רישום

CVE-2023-42823

הרשומה נוספה ב-16 בפברואר 2024

Find My

זמין עבור: Apple Watch Series 4 ואילך

השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרונות מטמון.

CVE-2023-40413‏: Adam M.‎

Find My

זמין עבור: Apple Watch Series 4 ואילך

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית אבטחה טופלה באמצעות שיפור הטיפול בקבצים.

CVE-2023-42834: ‏Csaba Fitzl‏ (‎@theevilbit) מ-Offensive Security

הרשומה נוספה ב-16 בפברואר 2024

Game Center

זמין עבור: Apple Watch Series 4 ואילך

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2023-42953: ‏Michael (Biscuit) Thomas – ‏‎@biscuit@social.lol

הרשומה נוספה ב-16 בפברואר 2024

ImageIO

זמין עבור: Apple Watch Series 4 ואילך

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לפגם בזיכרון

תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.

CVE-2023-42848: JZ

הרשומה נוספה ב-16 בפברואר 2024

Kernel

זמין עבור: Apple Watch Series 4 ואילך

השפעה: תוקף שכבר הצליח להשיג הפעלת קוד ליבה עלול להצליח לעקוף אמצעי עזר של זיכרון ליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2023-42849‏: Linus Henze מ-Pinauten GmbH (‏pinauten.de)

libxpc

זמין עבור: Apple Watch Series 4 ואילך

השפעה: אפליקציה זדונית עלולה להצליח לקבל הרשאות בסיס

תיאור: בעיה זו טופלה באמצעות טיפול משופר במטה-נתונים של קישורים סימבוליים.

CVE-2023-42942: Mickey Jin (@patch1t)

הרשומה נוספה ב-16 בפברואר 2024

Mail Drafts

זמין עבור: Apple Watch Series 4 ואילך

השפעה: ייתכן שהאפשרות 'הסתרת הדוא"ל שלי' תושבת באופן בלתי צפוי

תיאור: בעיה של חוסר עקביות בממשק המשתמש טופלה באמצעות ניהול מצבים משופר.

CVE-2023-40408‏: Grzegorz Riegel

mDNSResponder

זמין עבור: Apple Watch Series 4 ואילך

השפעה: מכשיר עלול להיות במעקב פאסיבי לפי כתובת ה-MAC האלחוטית שלו

תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.

CVE-2023-42846‏: Talal Haj Bakry ו-Tommy Mysk מ-Mysk Inc. @mysk_co

Sandbox

זמין עבור: Apple Watch Series 4 ואילך

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2023-42839: ‏Yiğit Can YILMAZ‏ (‎@yilmazcanyigit)

הרשומה נוספה ב-16 בפברואר 2024

Share Sheet

זמין עבור: Apple Watch Series 4 ואילך

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית פרטיות טופלה באמצעות עריכת נתונים פרטיים משופרת עבור רשומות יומן.

CVE-2023-42878: ‏Kirin‏ (‎@Pwnrin), ‏Wojciech Regula מ-SecuRing (‏wojciechregula.blog) ו-Cristian Dinca מ-‎"Tudor Vianu" National High School of Computer Science ברומניה

הרשומה נוספה ב-16 בפברואר 2024

Siri

זמין עבור: Apple Watch Series 4 ואילך

השפעה: תוקף בעל גישה פיזית עלול להשתמש ב-Siri כדי לגשת לנתוני משתמש רגישים

תיאור: בעיה זו טופלה על ידי הגבלת האפשרויות המוצעות במכשיר נעול.

CVE-2023-41982: Bistrit Dahal

CVE-2023-41997: Bistrit Dahal

CVE-2023-41988: ‏Bistrit Dahal

הרשומה עודכנה ב-16 בפברואר 2024

Siri

זמין עבור: Apple Watch Series 4 ואילך

השפעה: יישום עלול להצליח להדליף מידע רגיש אודות המשתמש

תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.

CVE-2023-42946

הרשומה נוספה ב-16 בפברואר 2024

Weather

זמין עבור: Apple Watch Series 4 ואילך

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית פרטיות טופלה באמצעות עריכת נתונים פרטיים משופרת עבור רשומות יומן.

CVE-2023-41254‏: Cristian Dinca מבית הספר התיכון הלאומי Tudor Vianu למדעי המחשב ברומניה

WebKit

זמין עבור: Apple Watch Series 4 ואילך

השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

WebKit Bugzilla‏: 259836
CVE-2023-40447: ‏이준성(‏Junsung Lee) מ-Cross Republic

WebKit

זמין עבור: Apple Watch Series 4 ואילך

השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.

WebKit Bugzilla‏: 259890
CVE-2023-41976‏: 이준성‏(Junsung Lee)

WebKit

זמין עבור: Apple Watch Series 4 ואילך

השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

WebKit Bugzilla‏: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) and Vitor Pedreira (@0xvhp_) of Agile Information Security

הרשומה עודכנה ב-16 בפברואר 2024

תודות נוספות

VoiceOver

אנחנו מבקשים להודות ל-Abhay Kailasia ‏(‎@abhay_kailasia) מ-Lakshmi Narain College Of Technology Bhopal Indial על הסיוע.

WebKit

אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.

 

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

Published Date: