מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID כאשר הדבר ניתן.
למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.
watchOS 10.3
הופץ ב-22 בינואר 2024
Apple Neural Engine
זמין עבור מכשירים עם Apple Neural Engine: Apple Watch Series 9 ו-Apple Watch Ultra 2
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2024-23212: Ye Zhang מ-Baidu Security
CoreCrypto
זמין עבור: Apple Watch Series 4 ואילך
השפעה: תוקף עלול להיות מסוגל לפענח מידע מוצפן (ciphertext) של RSA PKCS#1 v1.5 מדור קודם מבלי שהמפתח הפרטי בידיו
תיאור: בעיית תזמון בערוץ צדדי טופלה באמצעות שיפורים במחשוב זמן קבוע בפונקציות קריפטוגרפיות.
CVE-2024-23218: Clemens Lang
Kernel
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2024-23208: fmyy(@binary_fmyy) ו-lime מ-TIANGONG Team of Legendsec ב-QI-ANXIN Group
libxpc
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח לגרום למניעת שירות
תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.
CVE-2024-23201: קו מ' נאקגוואה מ-FFRI Security, Inc. חוקר אנונימי
הרשומה נוספה ב-7 במרץ 2024
Mail Search
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.
CVE-2024-23207: Noah Roskin-Frazee ו-Prof. J. (ZeroClicks.ai Lab) ו-Ian de Marcellus
NSSpellChecker
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיית אבטחה טופלה באמצעות שיפור הטיפול בקבצים.
CVE-2024-23223: Noah Roskin-Frazee ו-Prof. J. (ZeroClicks.ai Lab)
Safari
זמין עבור: Apple Watch Series 4 ואילך
השפעה: פעילות גלישה פרטית של משתמש עלולה להיות גלויה ב'הגדרות'
תיאור: בעיית אבטחה טופלה באמצעות שיפור הטיפול בהעדפות המשתמש.
CVE-2024-23211: Mark Bowers
Shortcuts
זמין עבור: Apple Watch Series 4 ואילך
השפעה: קיצור דרך עלול להצליח להשתמש בנתונים רגישים במהלך פעולות מסוימות בלי להציג בקשה למשתמש
תיאור: הבעיה טופלה באמצעות בדיקות נוספות של הרשאות.
CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)
Shortcuts
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח לעקוף העדפות פרטיות מסוימות
תיאור: בעיית אבטחה טופלה באמצעות שיפור הטיפול בקבצים זמניים.
CVE-2024-23217: Kirin (@Pwnrin)
TCC
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: הבעיה נפתרה באמצעות שיפור הטיפול בקבצים זמניים.
CVE-2024-23215: Zhongquan Li (@Guluisacat)
Time Zone
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להיות מסוגל להציג מספר טלפון של משתמש ביומני מערכת
תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.
CVE-2024-23210: Noah Roskin-Frazee ו-Prof. J. (ZeroClicks.ai Lab)
WebKit
זמין עבור: Apple Watch Series 4 ואילך
השפעה: עמוד אינטרנט בעל מבנה זדוני עלול להיות מסוגל להתחזות למשתמש
תיאור: בעיית גישה טופלה באמצעות הגבלות גישה משופרות.
WebKit Bugzilla: 262699
CVE-2024-23206: חוקר אנונימי
WebKit
זמין עבור: Apple Watch Series 4 ואילך
השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 266619
CVE-2024-23213: Wangtaiyu מ-Zhongfu info
WebKit
זמין עבור: Apple Watch Series 4 ואילך
השפעה: אתר אינטרנט זדוני עלול לגרום להתנהגות לא צפויה ממקורות מרובים
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
WebKit Bugzilla: 265812
CVE-2024-23271: James Lee (@Windowsrcer)
הרשומה נוספה ב-24 באפריל 2024
תודות נוספות
NetworkExtension
אנחנו מבקשים להודות ל-Nils Rollshausen על הסיוע.
הרשומה נוספה ב-24 באפריל 2024