Informacije o sigurnosnom sadržaju sustava watchOS 9.5.
U ovom se dokumentu opisuje sigurnosni sadržaj sustava watchOS 9.5.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
watchOS 9.5
Objavljeno 18. svibnja 2023.
Accessibility
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2023-32388: Kirin (@Pwnrin)
Accessibility
Dostupno za: Apple Watch Series 4 i novije
Učinak: prava i dozvole povezane s privatnošću dodijeljene ovoj aplikaciji možda će koristiti zlonamjerna aplikacija
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2023-32400: Mickey Jin (@patch1t)
Accounts
Dostupno za: Apple Watch Series 4 i novije
Učinak: napadač bi mogao neovlašteno objaviti e-mailove korisničkih računa
Opis: problem s dozvolama riješen je poboljšanim redigiranjem osjetljivih podataka.
CVE-2023-34352: Sergii Kryvoblotskyi (MacPaw Inc.)
Unos dodan 5. rujna 2023.
Apple Neural Engine
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacije bi mogle dobiti veće ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-32425: Mohamed GHANNAM (@_simo36)
Unos dodan 5. rujna 2023.
Core Location
Dostupno za: Apple Watch Series 4 i novije
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem je riješen poboljšanim rukovanjem predmemorijama.
CVE-2023-32399: Adam M.
Unos ažuriran 5. rujna 2023.
CoreServices
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.
CVE-2023-28191: Mickey Jin (@patch1t)
Face Gallery
Dostupno za: Apple Watch Series 4 i novije
Učinak: korisnik s fizičkim pristupom zaključanom Apple Watch mogao bi pregledavati fotografije putem značajki pristupačnosti
Taj je problem riješen ograničavanjem opcija na zaključanom zaslonu.
CVE-2023-32417: Zitong Wu (吴梓桐) (Zhuhai No.1 High School (珠海市第一中学))
GeoServices
Dostupno za: Apple Watch Series 4 i novije
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2023-32392: Adam M.
Unos ažuriran 5. rujna 2023.
ImageIO
Dostupno za: Apple Watch Series 4 i novije
Učinak: obradom slike može doći do otkrivanja procesne memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-32372: Meysam Firouzi (@R00tkitSMM) (Mbition Mercedes-Benz Innovation Lab) u suradnji s projektom Trend Micro Zero Day
Unos ažuriran 5. rujna 2023.
ImageIO
Dostupno za: Apple Watch Series 4 i novije
Učinak: obradom slike moglo bi doći do izvršavanja proizvoljnog koda.
Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.
CVE-2023-32384: Meysam Firouzi (@R00tkitsmm) u suradnji s projektom Zero Day Initiative tvrtke Trend Micro
IOSurfaceAccelerator
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-32354: Linus Henze (Pinauten GmbH, pinauten.de)
IOSurfaceAccelerator
Dostupno za: Apple Watch Series 4 i novije
Učinak: neka bi aplikacija mogla izazvati neočekivano zatvaranje sustava ili čitati kernelsku memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-32420: tim tvrtke CertiK SkyFall i Linus Henze (Pinauten GmbH (pinauten.de))
Unos ažuriran 5. rujna 2023.
Kernel
Dostupno za: Apple Watch Series 4 i novije
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem sa zamjenom tipova riješen je poboljšanim provjerama.
CVE-2023-27930: 08Tc3wBB iz tvrtke Jamf
Kernel
Dostupno za: Apple Watch Series 4 i novije
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2023-32398: Adam Doupé iz organizacije ASU SEFCOM
Kernel
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacije bi mogle dobiti korijenske ovlasti
Opis: uvjet nadvladavanja riješen je poboljšanim upravljanjem stanjem.
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) iz tvrtke Synacktiv (@Synacktiv) u suradnji s projektom Zero Day Initiative tvrtke Trend Micro
LaunchServices
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija može zaobići provjere alata Gatekeeper
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2023-32352: Wojciech Reguła (@_r3ggi) iz organizacije SecuRing (wojciechregula.blog)
MallocStackLogging
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacije bi mogle dobiti korijenske ovlasti
Opis: ovaj je problem riješen poboljšanim rukovanjem datotekom.
CVE-2023-32428: Gergely Kalman (@gergely_kalman)
Unos dodan 5. rujna 2023.
Metal
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
Model I/O
Dostupno za: Apple Watch Series 4 i novije
Učinak: obradom 3D modela moglo bi doći do otkrivanja procesne memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-32368: Mickey Jin (@patch1t)
NetworkExtension
Dostupno za: Apple Watch Series 4 i novije
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.
CVE-2023-32403: Adam M.
Unos ažuriran 5. rujna 2023.
NSURLSession
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacije bi mogle izaći izvan ograničene memorije
Opis: problem je riješen poboljšanjima protokola za rukovanje datotekama.
CVE-2023-32437: Thijs Alkemade (Computest Sector 7)
Unos dodan 5. rujna 2023.
Photos
Dostupno za: Apple Watch Series 4 i novije
Učinak: fotografije iz albuma Skriveno mogle bi se pregledavati bez provjere autentičnosti putem Vizualnog traženja
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-32390: Julian Szulc
Sandbox
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija bi mogla dobiti pristup datotekama konfiguracije sustava čak i nakon što joj je opozvana dozvola za to
Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.
CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Jeff Johnson, Koh M. Nakagawa (FFRI Security, Inc.), Kirin (@Pwnrin) i Csaba Fitzl (@theevilbit) (Offensive Security)
Share Sheet
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem s privatnosti riješen je poboljšanim rukovanjem privremenim datotekama.
CVE-2023-32432: Kirin (@Pwnrin)
Unos dodan 5. rujna 2023.
Shortcuts
Dostupno za: Apple Watch Series 4 i novije
Učinak: prečac bi pomoću određenih radnji mogao upotrijebiti osjetljive podatke bez upita prema korisniku
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-32391: Wenchao Li i Xiaolong Bai (Alibaba Group)
Shortcuts
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: ovaj je problem riješen poboljšanim pravima.
CVE-2023-32404: Mickey Jin (@patch1t) i Zhipeng Huo (@R3dF09) iz sigurnosnog odjela Xuanwu Lab tvrtke Tencent (xlab.tencent.com) i anonimni istraživač
Siri
Dostupno za: Apple Watch Series 4 i novije
Učinak: osoba s fizičkim pristupom uređaju mogla bi pristupiti kontaktima sa zaključanog zaslona
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-32394: Khiem Tran
SQLite
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: ovaj je problem riješen dodavanjem dodatnih ograničenja za izradu SQLite zapisnika
CVE-2023-32422: Gergely Kalman (@gergely_kalman) i Wojciech Reguła (SecuRing) (wojciechregula.blog)
Unos dodan 5. rujna 2023.
StorageKit
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: ovaj je problem riješen poboljšanim pravima.
CVE-2023-32376: Yiğit Can YILMAZ (@yilmazcanyigit)
System Settings
Dostupno za: Apple Watch Series 4 i novije
Učinak: postavke vatrozida neke aplikacije možda neće funkcionirati nakon što izađete iz aplikacije Postavke
Opis: problem je riješen poboljšanim upravljanjem stanjem.
CVE-2023-28202: Satish Panduranga i anonimni istraživač
Telephony
Dostupno za: Apple Watch Series 4 i novije
Učinak: udaljeni napadači mogo bi izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2023-32412: Ivan Fratric iz tima Project Zero tvrtke Google
TV App
Dostupno za: Apple Watch Series 4 i novije
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem je riješen poboljšanim rukovanjem predmemorijama.
CVE-2023-32408: Adam M.
WebKit
Dostupno za: Apple Watch Series 4 i novije
Učinak: obradom web-sadržaja može doći do otkrivanja osjetljivih podataka
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
WebKit Bugzilla: 255075
CVE-2023-32402: anonimni istraživač
WebKit
Dostupno za: Apple Watch Series 4 i novije
Učinak: obradom web-sadržaja može doći do otkrivanja osjetljivih podataka
Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.
WebKit Bugzilla: 254781
CVE-2023-32423: Ignacio Sanmillan (@ulexec)
WebKit
Dostupno za: Apple Watch Series 4 i novije
Učinak: udaljeni napadač mogao bi izaći iz Web Content memorije za testiranje. Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.
Opis: problem je riješen poboljšanim provjerama ograničenja.
WebKit Bugzilla: 255350
CVE-2023-32409: Clément Lecigne (Googleova grupa za analizu prijetnji) i Donncha Ó Cearbhaill (sigurnosni odjel organizacije Amnesty International)
WebKit
Dostupno za: Apple Watch Series 4 i novije
Učinak: obradom web-sadržaja može doći do otkrivanja osjetljivih podataka Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
WebKit Bugzilla: 254930
CVE-2023-28204: anonimni istraživač
WebKit
Dostupno za: Apple Watch Series 4 i novije
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda. Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
WebKit Bugzilla: 254840
CVE-2023-32373: anonimni istraživač
Wi-Fi
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.
CVE-2023-32389: Pan ZhenPeng (@Peterpan0927) (STAR Labs SG Pte.) Ltd.)
Dodatna zahvala
Accounts
Zahvaljujemo Sergiiju Kryvoblotskyiju (MacPaw Inc.) na pomoći.
CFNetwork
Željeli bismo zahvaliti Gabrielu Geraldinu de Souzi na pomoći.
Unos je dodan 16. srpnja 2024.
CloudKit
Zahvaljujemo Iconicu na pomoći.
libxml2
Zahvaljujemo OSS-Fuzzu i Nedu Williamsonu (Google Project Zero) na pomoći.
Reminders
Zahvaljujemo Kirinu (@Pwnrin) na pomoći.
Security
Zahvaljujemo Brandonu Tomsu na pomoći.
Share Sheet
Zahvaljujemo Kirinu (@Pwnrin) na pomoći.
Wallet
Želimo zahvaliti Jamesu Duffyju (mangoSecure) na pomoći.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.