מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID כאשר הדבר ניתן.
למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.
watchOS 10.1
פורסם ב-25 באוקטובר 2023
Core Recents
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: הבעיה נפתרה באמצעות סניטציה של רישום
CVE-2023-42823
הרשומה נוספה ב-16 בפברואר 2024
Find My
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרונות מטמון.
CVE-2023-40413: Adam M.
Find My
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיית אבטחה טופלה באמצעות שיפור הטיפול בקבצים.
CVE-2023-42834: Csaba Fitzl (@theevilbit) מ-Offensive Security
הרשומה נוספה ב-16 בפברואר 2024
Game Center
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.
CVE-2023-42953: Michael (Biscuit) Thomas – @biscuit@social.lol
הרשומה נוספה ב-16 בפברואר 2024
ImageIO
זמין עבור: Apple Watch Series 4 ואילך
השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לפגם בזיכרון
תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.
CVE-2023-42848: JZ
הרשומה נוספה ב-16 בפברואר 2024
Kernel
זמין עבור: Apple Watch Series 4 ואילך
השפעה: תוקף שכבר הצליח להשיג הפעלת קוד ליבה עלול להצליח לעקוף אמצעי עזר של זיכרון ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-42849: Linus Henze מ-Pinauten GmbH (pinauten.de)
libxpc
זמין עבור: Apple Watch Series 4 ואילך
השפעה: אפליקציה זדונית עלולה להצליח לקבל הרשאות בסיס
תיאור: בעיה זו טופלה באמצעות טיפול משופר במטה-נתונים של קישורים סימבוליים.
CVE-2023-42942: Mickey Jin (@patch1t)
הרשומה נוספה ב-16 בפברואר 2024
Mail Drafts
זמין עבור: Apple Watch Series 4 ואילך
השפעה: ייתכן שהאפשרות 'הסתרת הדוא"ל שלי' תושבת באופן בלתי צפוי
תיאור: בעיה של חוסר עקביות בממשק המשתמש טופלה באמצעות ניהול מצבים משופר.
CVE-2023-40408: Grzegorz Riegel
mDNSResponder
זמין עבור: Apple Watch Series 4 ואילך
השפעה: מכשיר עלול להיות במעקב פאסיבי לפי כתובת ה-MAC האלחוטית שלו
תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.
CVE-2023-42846: Talal Haj Bakry ו-Tommy Mysk מ-Mysk Inc. @mysk_co
Sandbox
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.
CVE-2023-42839: Yiğit Can YILMAZ (@yilmazcanyigit)
הרשומה נוספה ב-16 בפברואר 2024
Share Sheet
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיית פרטיות טופלה באמצעות עריכת נתונים פרטיים משופרת עבור רשומות יומן.
CVE-2023-42878: Kirin (@Pwnrin), Wojciech Regula מ-SecuRing (wojciechregula.blog) ו-Cristian Dinca מ-"Tudor Vianu" National High School of Computer Science ברומניה
הרשומה נוספה ב-16 בפברואר 2024
Siri
זמין עבור: Apple Watch Series 4 ואילך
השפעה: תוקף בעל גישה פיזית עלול להשתמש ב-Siri כדי לגשת לנתוני משתמש רגישים
תיאור: בעיה זו טופלה על ידי הגבלת האפשרויות המוצעות במכשיר נעול.
CVE-2023-41982: Bistrit Dahal
CVE-2023-41997: Bistrit Dahal
CVE-2023-41988: Bistrit Dahal
הרשומה עודכנה ב-16 בפברואר 2024
Siri
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח להדליף מידע רגיש אודות המשתמש
תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.
CVE-2023-42946
הרשומה נוספה ב-16 בפברואר 2024
Weather
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיית פרטיות טופלה באמצעות עריכת נתונים פרטיים משופרת עבור רשומות יומן.
CVE-2023-41254: Cristian Dinca מבית הספר התיכון הלאומי Tudor Vianu למדעי המחשב ברומניה
WebKit
זמין עבור: Apple Watch Series 4 ואילך
השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 259836
CVE-2023-40447: 이준성(Junsung Lee) מ-Cross Republic
WebKit
זמין עבור: Apple Watch Series 4 ואילך
השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.
WebKit Bugzilla: 259890
CVE-2023-41976: 이준성(Junsung Lee)
WebKit
זמין עבור: Apple Watch Series 4 ואילך
השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
WebKit Bugzilla: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) and Vitor Pedreira (@0xvhp_) of Agile Information Security
הרשומה עודכנה ב-16 בפברואר 2024
תודות נוספות
VoiceOver
אנחנו מבקשים להודות ל-Abhay Kailasia (@abhay_kailasia) מ-Lakshmi Narain College Of Technology Bhopal Indial על הסיוע.
WebKit
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.