Informacije o sigurnosnom sadržaju sustava watchOS 9.5.

Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

Objavljeno 18. svibnja 2023.

Accessibility

Dostupno za: Apple Watch Series 4 i novije

Učinak: aplikacija bi mogla zaobići Postavke privatnosti

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2023-32388: Kirin (@Pwnrin)

Accessibility

Dostupno za: Apple Watch Series 4 i novije

Učinak: prava i dozvole povezane s privatnošću dodijeljene ovoj aplikaciji možda će koristiti zlonamjerna aplikacija

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2023-32400: Mickey Jin (@patch1t)

Accounts

Dostupno za: Apple Watch Series 4 i novije

Učinak: napadač bi mogao neovlašteno objaviti e-mailove korisničkih računa

Opis: problem s dozvolama riješen je poboljšanim redigiranjem osjetljivih podataka.

CVE-2023-34352: Sergii Kryvoblotskyi (MacPaw Inc.)

Unos dodan 5. rujna 2023.

Apple Neural Engine

Dostupno za: Apple Watch Series 4 i novije 

Učinak: aplikacije bi mogle dobiti veće ovlasti

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-32425: Mohamed GHANNAM (@_simo36)

Unos dodan 5. rujna 2023.

Core Location

Dostupno za: Apple Watch Series 4 i novije

Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji

Opis: problem je riješen poboljšanim rukovanjem predmemorijama.

CVE-2023-32399: Adam M.

Unos ažuriran 5. rujna 2023.

CoreServices

Dostupno za: Apple Watch Series 4 i novije

Učinak: aplikacija bi mogla zaobići Postavke privatnosti

Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.

CVE-2023-28191: Mickey Jin (@patch1t)

Face Gallery

Dostupno za: Apple Watch Series 4 i novije

Učinak: korisnik s fizičkim pristupom zaključanom Apple Watch mogao bi pregledavati fotografije putem značajki pristupačnosti

Taj je problem riješen ograničavanjem opcija na zaključanom zaslonu.

CVE-2023-32417: Zitong Wu (吴梓桐) (Zhuhai No.1 High School (珠海市第一中学))

GeoServices

Dostupno za: Apple Watch Series 4 i novije

Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2023-32392: Adam M.

Unos ažuriran 5. rujna 2023.

ImageIO

Dostupno za: Apple Watch Series 4 i novije

Učinak: obradom slike može doći do otkrivanja procesne memorije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2023-32372: Meysam Firouzi (@R00tkitSMM) (Mbition Mercedes-Benz Innovation Lab) u suradnji s projektom Trend Micro Zero Day

Unos ažuriran 5. rujna 2023.

ImageIO

Dostupno za: Apple Watch Series 4 i novije

Učinak: obradom slike moglo bi doći do izvršavanja proizvoljnog koda.

Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.

CVE-2023-32384: Meysam Firouzi (@R00tkitsmm) u suradnji s projektom Zero Day Initiative tvrtke Trend Micro

IOSurfaceAccelerator

Dostupno za: Apple Watch Series 4 i novije

Učinak: aplikacije su mogle izložiti kernelsku memoriju

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2023-32354: Linus Henze (Pinauten GmbH, pinauten.de)

IOSurfaceAccelerator

Dostupno za: Apple Watch Series 4 i novije

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava ili čitati kernelsku memoriju

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2023-32420: tim tvrtke CertiK SkyFall i Linus Henze (Pinauten GmbH (pinauten.de))

Unos ažuriran 5. rujna 2023.

Kernel

Dostupno za: Apple Watch Series 4 i novije

Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod

Opis: problem sa zamjenom tipova riješen je poboljšanim provjerama.

CVE-2023-27930: 08Tc3wBB (Jamf)

Kernel

Dostupno za: Apple Watch Series 4 i novije

Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2023-32398: Adam Doupé (ASU SEFCOM)

Kernel

Dostupno za: Apple Watch Series 4 i novije

Učinak: aplikacije bi mogle dobiti korijenske ovlasti

Opis: uvjet nadvladavanja riješen je poboljšanim upravljanjem stanjem.

CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) iz tvrtke Synacktiv (@Synacktiv) u suradnji s projektom Zero Day Initiative tvrtke Trend Micro

LaunchServices

Dostupno za: Apple Watch Series 4 i novije

Učinak: aplikacija može zaobići provjere alata Gatekeeper

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2023-32352: Wojciech Reguła (@_r3ggi) (SecuRing) (wojciechregula.blog)

MallocStackLogging

Dostupno za: Apple Watch Series 4 i novije

Učinak: aplikacije bi mogle dobiti korijenske ovlasti

Opis: ovaj je problem riješen poboljšanim rukovanjem datotekom.

CVE-2023-32428: Gergely Kalman (@gergely_kalman)

Unos dodan 5. rujna 2023.

Metal

Dostupno za: Apple Watch Series 4 i novije

Učinak: aplikacija bi mogla zaobići Postavke privatnosti

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2023-32407: Gergely Kalman (@gergely_kalman)

Model I/O

Dostupno za: Apple Watch Series 4 i novije

Učinak: obradom 3D modela može doći do otkrivanja procesne memorije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2023-32368: Mickey Jin (@patch1t)

NetworkExtension

Dostupno za: Apple Watch Series 4 i novije

Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji

Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.

CVE-2023-32403: Adam M.

Unos ažuriran 5. rujna 2023.

NSURLSession

Dostupno za: Apple Watch Series 4 i novije

Učinak: aplikacije bi mogle izaći izvan ograničene memorije

Opis: problem je riješen poboljšanjima protokola za rukovanje datotekama.

CVE-2023-32437: Thijs Alkemade (Computest Sector 7)

Unos dodan 5. rujna 2023.

Photos

Dostupno za: Apple Watch Series 4 i novije

Učinak: fotografije iz albuma Skriveno mogle bi se pregledavati bez provjere autentičnosti putem Vizualnog traženja

Opis: problem je riješen poboljšanim provjerama.

CVE-2023-32390: Julian Szulc

Sandbox

Dostupno za: Apple Watch Series 4 i novije

Učinak: aplikacija bi mogla dobiti pristup datotekama konfiguracije sustava čak i nakon što joj je opozvana dozvola za to

Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.

CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Jeff Johnson, Koh M. Nakagawa (FFRI Security, Inc.), Kirin (@Pwnrin) i Csaba Fitzl (@theevilbit) (Offensive Security)

Share Sheet

Dostupno za: Apple Watch Series 4 i novije

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem s privatnosti riješen je poboljšanim rukovanjem privremenim datotekama.

CVE-2023-32432: Kirin (@Pwnrin)

Unos dodan 5. rujna 2023.

Shortcuts

Dostupno za: Apple Watch Series 4 i novije

Učinak: prečac bi pomoću određenih radnji mogao upotrijebiti osjetljive podatke bez upita prema korisniku

Opis: problem je riješen poboljšanim provjerama.

CVE-2023-32391: Wenchao Li i Xiaolong Bai (Alibaba Group)

Shortcuts

Dostupno za: Apple Watch Series 4 i novije

Učinak: aplikacija bi mogla zaobići Postavke privatnosti

Opis: ovaj je problem riješen poboljšanim pravima.

CVE-2023-32404: Mickey Jin (@patch1t) i Zhipeng Huo (@R3dF09) iz sigurnosnog odjela Xuanwu Lab tvrtke Tencent (xlab.tencent.com) i anonimni istraživač

Siri

Dostupno za: Apple Watch Series 4 i novije

Učinak: osoba s fizičkim pristupom uređaju mogla bi pristupiti kontaktima sa zaključanog zaslona

Opis: problem je riješen poboljšanim provjerama.

CVE-2023-32394: Khiem Tran

SQLite

Dostupno za: Apple Watch Series 4 i novije

Učinak: aplikacija bi mogla zaobići Postavke privatnosti

Opis: ovaj je problem riješen dodavanjem dodatnih ograničenja za izradu SQLite zapisnika

CVE-2023-32422: Gergely Kalman (@gergely_kalman) i Wojciech Reguła (SecuRing) (wojciechregula.blog)

Unos dodan 5. rujna 2023.

StorageKit

Dostupno za: Apple Watch Series 4 i novije

Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava

Opis: ovaj je problem riješen poboljšanim pravima.

CVE-2023-32376: Yiğit Can YILMAZ (@yilmazcanyigit)

System Settings

Dostupno za: Apple Watch Series 4 i novije

Učinak: postavke vatrozida neke aplikacije možda neće funkcionirati nakon što izađete iz aplikacije Postavke

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2023-28202: Satish Panduranga i anonimni istraživač

Telephony

Dostupno za: Apple Watch Series 4 i novije

Učinak: udaljeni napadač mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2023-32412: Ivan Fratric (Google Project Zero)

TV App

Dostupno za: Apple Watch Series 4 i novije

Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji

Opis: problem je riješen poboljšanim rukovanjem predmemorijama.

CVE-2023-32408: Adam M.

WebKit

Dostupno za: Apple Watch Series 4 i novije

Učinak: obradom web-sadržaja može doći do otkrivanja osjetljivih podataka

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

WebKit Bugzilla: 255075
CVE-2023-32402: anonimni istraživač

WebKit

Dostupno za: Apple Watch Series 4 i novije

Učinak: obradom web-sadržaja može doći do otkrivanja osjetljivih podataka

Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.

WebKit Bugzilla: 254781
CVE-2023-32423: Ignacio Sanmillan (@ulexec)

WebKit

Dostupno za: Apple Watch Series 4 i novije

Učinak: udaljeni napadač mogao bi izaći iz Web Content memorije za testiranje. Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.

Opis: problem je riješen poboljšanim provjerama ograničenja.

WebKit Bugzilla: 255350
CVE-2023-32409: Clément Lecigne (Googleova grupa za analizu prijetnji) i Donncha Ó Cearbhaill (sigurnosni odjel organizacije Amnesty International)

WebKit

Dostupno za: Apple Watch Series 4 i novije

Učinak: obradom web-sadržaja može doći do otkrivanja osjetljivih podataka Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

WebKit Bugzilla: 254930
CVE-2023-28204: anonimni istraživač

WebKit

Dostupno za: Apple Watch Series 4 i novije

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda. Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

WebKit Bugzilla: 254840
CVE-2023-32373: anonimni istraživač

Wi-Fi

Dostupno za: Apple Watch Series 4 i novije

Učinak: aplikacije su mogle izložiti kernelsku memoriju

Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.

CVE-2023-32389: Pan ZhenPeng (@Peterpan0927) (STAR Labs SG Pte.) Ltd.)

Accounts

Zahvaljujemo Sergiiju Kryvoblotskyiju (MacPaw Inc.) na pomoći.

CloudKit

Zahvaljujemo Iconicu na pomoći.

libxml2

Zahvaljujemo OSS-Fuzzu i Nedu Williamsonu (Google Project Zero) na pomoći.

Reminders

Zahvaljujemo Kirinu (@Pwnrin) na pomoći.

Security

Zahvaljujemo Brandonu Tomsu na pomoći.

Share Sheet

Zahvaljujemo Kirinu (@Pwnrin) na pomoći.

Wallet

Želimo zahvaliti Jamesu Duffyju (mangoSecure) na pomoći.