Informacije o sigurnosnom sadržaju sustava watchOS 9.4
U ovom se dokumentu opisuje sigurnosni sadržaj sustava watchOS 9.4.
Informacije o Appleovim sigurnosnim ažuriranjima
Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
watchOS 9.4
Objavljeno 27. ožujka 2023.
AppleMobileFileIntegrity
Dostupno za: Apple Watch Series 4 i novije
Učinak: korisnik bi mogao ostvariti pristup zaštićenim dijelovima datotečnog sustava
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-23527: Mickey Jin (@patch1t)
Calendar
Dostupno za: Apple Watch Series 4 i novije
Učinak: uvoz zlonamjerne pozivnice za kalendarski događaj mogao bi izdvojiti korisničke informacije
Opis: problemi s višestrukom provjerom riješeni su boljim čišćenjem unosa.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
Camera
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija u memoriji za testiranje mogla bi otkriti koja aplikacija trenutačno upotrebljava kameru
Opis: problem je riješen dodatnim ograničenjima uočljivosti stanja aplikacije.
CVE-2023-23543: Yiğit Can YILMAZ (@yilmazcanyigit)
Unos je dodan 8. lipnja 2023.
CoreCapture
Dostupno za: Apple Watch Series 4 i novije
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-28181: Tingting Yin (Sveučilište Tsinghua)
Find My
Dostupno za: Apple Watch Series 4 i novije
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2023-23537: Adam M.
CVE-2023-28195: Adam M.
Unos je ažuriran 21. prosinca 2023.
FontParser
Dostupno za: Apple Watch Series 4 i novije
Učinak: obradom zlonamjerne slike može doći do otkrivanja procesne memorije
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-27956: Ye Zhang (Baidu Security)
Foundation
Dostupno za: Apple Watch Series 4 i novije
Učinak: raščlanjivanje zlonamjerne plist datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-27937: anonimni istraživač
Identity Services
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija bi mogla pristupiti informacijama o kontaktima korisnika
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2023-27928: Csaba Fitzl (@theevilbit) (Offensive Security)
ImageIO
Dostupno za: Apple Watch Series 4 i novije
Učinak: obradom zlonamjerne slike može doći do otkrivanja procesne memorije
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-23535: ryuzaki
ImageIO
Dostupno za: Apple Watch Series 4 i novije
Učinak: obradom zlonamjerne slike može doći do otkrivanja procesne memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-27929: Meysam Firouzi (@R00tkitSMM) (Mbition Mercedes-Benz Innovation Lab) i jzhu (Trend Micro Zero Day Initiative)
ImageIO
Dostupno za: Apple Watch Series 4 i novije
Učinak: obradom slike može doći do otkrivanja procesne memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-42862: Meysam Firouzi @R00tkitSMM
CVE-2023-42865: jzhu koji radi s Trend Micro Zero Day Initiative i Meysam Firouzi (@R00tkitSMM) iz tvrtke Mbition Mercedes-Benz Innovation Lab
Unos je dodan 21. prosinca 2023.
Kernel
Dostupno za: Apple Watch Series 4 i novije
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2023-23536: Félix Poulin-Bélanger i David Pan Ogea
Unos je dodan 8. lipnja, 2023., a ažuriran 21. prosinca 2023.
Kernel
Dostupno za: Apple Watch Series 4 i novije
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2023-27969: Adam Doupé (ASU SEFCOM)
Kernel
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija s korijenskim ovlastima mogla bi izvršiti proizvoljni kod s kernelskim ovlastima
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-27933: sqrtpwn
Kernel
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija bi mogla uzrokovati odbijanje usluge
Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-28185: Pan ZhenPeng (STAR Labs SG Pte.) Ltd.)
Unos je dodan 21. prosinca 2023.
Kernel
Dostupno za: Apple Watch Series 4 i novije
Učinak: napadač koji je već postigao izvršavanje proizvoljnog koda u kernelu mogao bi zaobići zakrpe kernelske memorije.
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-32424: Zechao Cai (@Zech4o) (Sveučilište Zhejiang)
Unos je dodan 21. prosinca 2023.
Podcasti
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-27942: Mickey Jin (@patch1t)
Sandbox
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)
Unos je dodan 8. lipnja 2023.
Shortcuts
Dostupno za: Apple Watch Series 4 i novije
Učinak: prečac bi pomoću određenih radnji mogao upotrijebiti osjetljive podatke bez upita prema korisniku
Opis: problem je riješen dodatnim provjerama dozvola.
CVE-2023-27963: Jubaer Alnazi Jabin (TRS Group Of Companies) i Wenchao Li i Xiaolong Bai (Alibaba Group)
TCC
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2023-27931: Mickey Jin (@patch1t)
WebKit
Dostupno za: Apple Watch Series 4 i novije
Učinak: obradom zlonamjernog web-sadržaja može se zaobići pravilo istog podrijetla
Opis: problem je riješen poboljšanim upravljanjem stanjem.
WebKit Bugzilla: 248615
CVE-2023-27932: anonimni istraživač
WebKit
Dostupno za: Apple Watch Series 4 i novije
Učinak: web-mjesto moglo bi pratiti osjetljive korisničke podatke
Opis: problem je riješen uklanjanjem podataka o izvoru.
WebKit Bugzilla: 250837
CVE-2023-27954: anonimni istraživač
Dodatna zahvala
Activation Lock
Na pomoći zahvaljujemo Christianu Minau.
CFNetwork
Na pomoći zahvaljujemo anonimnom istraživaču.
CoreServices
Na pomoći zahvaljujemo Mickeyju Jinu (@patch1t).
ImageIO
Na pomoći zahvaljujemo Meysamu Firouziju (@R00tkitSMM).
Na pomoći zahvaljujemo sljedećim korisnicima: Chen Zhang, Fabian Ising (Sveučilište primijenjenih znanosti, FH Münster), Damian Poddebniak (Sveučilište primijenjenih znanosti, FH Münster), Tobias Kappert (Sveučilište primijenjenih znanosti, FH Münster), Christoph Saatjohann (Sveučilište primijenjenih znanosti, FH Münster), Sebast i Merlin Chlosta (CISPA Helmholtz Center for Information Security).
Safari Downloads
Na pomoći zahvaljujemo Andrewu Gonzalezu.
WebKit
Na pomoći zahvaljujemo anonimnom istraživaču.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.