Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
watchOS 9.5
Objavljeno 18. svibnja 2023.
Accessibility
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2023-32388: Kirin (@Pwnrin)
Accessibility
Dostupno za: Apple Watch Series 4 i novije
Učinak: prava i dozvole povezane s privatnošću dodijeljene ovoj aplikaciji možda će koristiti zlonamjerna aplikacija
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2023-32400: Mickey Jin (@patch1t)
Accounts
Dostupno za: Apple Watch Series 4 i novije
Učinak: napadač bi mogao neovlašteno objaviti e-mailove korisničkih računa
Opis: problem s dozvolama riješen je poboljšanim redigiranjem osjetljivih podataka.
CVE-2023-34352: Sergii Kryvoblotskyi (MacPaw Inc.)
Unos dodan 5. rujna 2023.
Apple Neural Engine
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacije bi mogle dobiti veće ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-32425: Mohamed GHANNAM (@_simo36)
Unos dodan 5. rujna 2023.
Core Location
Dostupno za: Apple Watch Series 4 i novije
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem je riješen poboljšanim rukovanjem predmemorijama.
CVE-2023-32399: Adam M.
Unos ažuriran 5. rujna 2023.
CoreServices
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.
CVE-2023-28191: Mickey Jin (@patch1t)
Face Gallery
Dostupno za: Apple Watch Series 4 i novije
Učinak: korisnik s fizičkim pristupom zaključanom Apple Watch mogao bi pregledavati fotografije putem značajki pristupačnosti
Taj je problem riješen ograničavanjem opcija na zaključanom zaslonu.
CVE-2023-32417: Zitong Wu (吴梓桐) (Zhuhai No.1 High School (珠海市第一中学))
GeoServices
Dostupno za: Apple Watch Series 4 i novije
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2023-32392: Adam M.
Unos ažuriran 5. rujna 2023.
ImageIO
Dostupno za: Apple Watch Series 4 i novije
Učinak: obradom slike može doći do otkrivanja procesne memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-32372: Meysam Firouzi (@R00tkitSMM) (Mbition Mercedes-Benz Innovation Lab) u suradnji s projektom Trend Micro Zero Day
Unos ažuriran 5. rujna 2023.
ImageIO
Dostupno za: Apple Watch Series 4 i novije
Učinak: obradom slike moglo bi doći do izvršavanja proizvoljnog koda.
Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.
CVE-2023-32384: Meysam Firouzi (@R00tkitsmm) u suradnji s projektom Zero Day Initiative tvrtke Trend Micro
IOSurfaceAccelerator
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-32354: Linus Henze (Pinauten GmbH, pinauten.de)
IOSurfaceAccelerator
Dostupno za: Apple Watch Series 4 i novije
Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava ili čitati kernelsku memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-32420: tim tvrtke CertiK SkyFall i Linus Henze (Pinauten GmbH (pinauten.de))
Unos ažuriran 5. rujna 2023.
Kernel
Dostupno za: Apple Watch Series 4 i novije
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: problem sa zamjenom tipova riješen je poboljšanim provjerama.
CVE-2023-27930: 08Tc3wBB (Jamf)
Kernel
Dostupno za: Apple Watch Series 4 i novije
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2023-32398: Adam Doupé (ASU SEFCOM)
Kernel
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacije bi mogle dobiti korijenske ovlasti
Opis: uvjet nadvladavanja riješen je poboljšanim upravljanjem stanjem.
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) iz tvrtke Synacktiv (@Synacktiv) u suradnji s projektom Zero Day Initiative tvrtke Trend Micro
LaunchServices
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija može zaobići provjere alata Gatekeeper
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2023-32352: Wojciech Reguła (@_r3ggi) (SecuRing) (wojciechregula.blog)
MallocStackLogging
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacije bi mogle dobiti korijenske ovlasti
Opis: ovaj je problem riješen poboljšanim rukovanjem datotekom.
CVE-2023-32428: Gergely Kalman (@gergely_kalman)
Unos dodan 5. rujna 2023.
Metal
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
Model I/O
Dostupno za: Apple Watch Series 4 i novije
Učinak: obradom 3D modela može doći do otkrivanja procesne memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-32368: Mickey Jin (@patch1t)
NetworkExtension
Dostupno za: Apple Watch Series 4 i novije
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.
CVE-2023-32403: Adam M.
Unos ažuriran 5. rujna 2023.
NSURLSession
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacije bi mogle izaći izvan ograničene memorije
Opis: problem je riješen poboljšanjima protokola za rukovanje datotekama.
CVE-2023-32437: Thijs Alkemade (Computest Sector 7)
Unos dodan 5. rujna 2023.
Photos
Dostupno za: Apple Watch Series 4 i novije
Učinak: fotografije iz albuma Skriveno mogle bi se pregledavati bez provjere autentičnosti putem Vizualnog traženja
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-32390: Julian Szulc
Sandbox
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija bi mogla dobiti pristup datotekama konfiguracije sustava čak i nakon što joj je opozvana dozvola za to
Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.
CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Jeff Johnson, Koh M. Nakagawa (FFRI Security, Inc.), Kirin (@Pwnrin) i Csaba Fitzl (@theevilbit) (Offensive Security)
Share Sheet
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem s privatnosti riješen je poboljšanim rukovanjem privremenim datotekama.
CVE-2023-32432: Kirin (@Pwnrin)
Unos dodan 5. rujna 2023.
Shortcuts
Dostupno za: Apple Watch Series 4 i novije
Učinak: prečac bi pomoću određenih radnji mogao upotrijebiti osjetljive podatke bez upita prema korisniku
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-32391: Wenchao Li i Xiaolong Bai (Alibaba Group)
Shortcuts
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: ovaj je problem riješen poboljšanim pravima.
CVE-2023-32404: Mickey Jin (@patch1t) i Zhipeng Huo (@R3dF09) iz sigurnosnog odjela Xuanwu Lab tvrtke Tencent (xlab.tencent.com) i anonimni istraživač
Siri
Dostupno za: Apple Watch Series 4 i novije
Učinak: osoba s fizičkim pristupom uređaju mogla bi pristupiti kontaktima sa zaključanog zaslona
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-32394: Khiem Tran
SQLite
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: ovaj je problem riješen dodavanjem dodatnih ograničenja za izradu SQLite zapisnika
CVE-2023-32422: Gergely Kalman (@gergely_kalman) i Wojciech Reguła (SecuRing) (wojciechregula.blog)
Unos dodan 5. rujna 2023.
StorageKit
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: ovaj je problem riješen poboljšanim pravima.
CVE-2023-32376: Yiğit Can YILMAZ (@yilmazcanyigit)
System Settings
Dostupno za: Apple Watch Series 4 i novije
Učinak: postavke vatrozida neke aplikacije možda neće funkcionirati nakon što izađete iz aplikacije Postavke
Opis: problem je riješen poboljšanim upravljanjem stanjem.
CVE-2023-28202: Satish Panduranga i anonimni istraživač
Telephony
Dostupno za: Apple Watch Series 4 i novije
Učinak: udaljeni napadač mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2023-32412: Ivan Fratric (Google Project Zero)
TV App
Dostupno za: Apple Watch Series 4 i novije
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem je riješen poboljšanim rukovanjem predmemorijama.
CVE-2023-32408: Adam M.
WebKit
Dostupno za: Apple Watch Series 4 i novije
Učinak: obradom web-sadržaja može doći do otkrivanja osjetljivih podataka
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
WebKit Bugzilla: 255075
CVE-2023-32402: anonimni istraživač
WebKit
Dostupno za: Apple Watch Series 4 i novije
Učinak: obradom web-sadržaja može doći do otkrivanja osjetljivih podataka
Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.
WebKit Bugzilla: 254781
CVE-2023-32423: Ignacio Sanmillan (@ulexec)
WebKit
Dostupno za: Apple Watch Series 4 i novije
Učinak: udaljeni napadač mogao bi izaći iz Web Content memorije za testiranje. Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.
Opis: problem je riješen poboljšanim provjerama ograničenja.
WebKit Bugzilla: 255350
CVE-2023-32409: Clément Lecigne (Googleova grupa za analizu prijetnji) i Donncha Ó Cearbhaill (sigurnosni odjel organizacije Amnesty International)
WebKit
Dostupno za: Apple Watch Series 4 i novije
Učinak: obradom web-sadržaja može doći do otkrivanja osjetljivih podataka Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
WebKit Bugzilla: 254930
CVE-2023-28204: anonimni istraživač
WebKit
Dostupno za: Apple Watch Series 4 i novije
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda. Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
WebKit Bugzilla: 254840
CVE-2023-32373: anonimni istraživač
Wi-Fi
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.
CVE-2023-32389: Pan ZhenPeng (@Peterpan0927) (STAR Labs SG Pte.) Ltd.)
Dodatna zahvala
Accounts
Zahvaljujemo Sergiiju Kryvoblotskyiju (MacPaw Inc.) na pomoći.
CloudKit
Zahvaljujemo Iconicu na pomoći.
libxml2
Zahvaljujemo OSS-Fuzzu i Nedu Williamsonu (Google Project Zero) na pomoći.
Reminders
Zahvaljujemo Kirinu (@Pwnrin) na pomoći.
Security
Zahvaljujemo Brandonu Tomsu na pomoći.
Share Sheet
Zahvaljujemo Kirinu (@Pwnrin) na pomoći.
Wallet
Želimo zahvaliti Jamesu Duffyju (mangoSecure) na pomoći.