Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
watchOS 10
Izdano 18. rujna 2023.
App Store
Dostupno za: Apple Watch Series 4 i novije
Učinak: udaljeni napadač mogao bi izaći iz Web Content memorije za testiranje
Opis: problem je riješen poboljšanim rukovanjem protokolima.
CVE-2023-40448: w0wbox
Apple Neural Engine
Dostupno za uređaje koji imaju Apple Neural Engine: Apple Watch Series 9 i Apple Watch Ultra 2
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-40432: Mohamed GHANNAM (@_simo36)
CVE-2023-41174: Mohamed GHANNAM (@_simo36)
CVE-2023-40409: Ye Zhang (@VAR10CK) (Baidu Security)
CVE-2023-40412: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
Dostupno za uređaje koji imaju Apple Neural Engine: Apple Watch Series 9 i Apple Watch Ultra 2
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2023-41071: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
Dostupno za uređaje koji imaju Apple Neural Engine: Apple Watch Series 9 i Apple Watch Ultra 2
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-40399: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
Dostupno za uređaje koji imaju Apple Neural Engine: Apple Watch Series 9 i Apple Watch Ultra 2
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-40410: Tim Michaud (@TimGMichaud) (Moveworks.ai)
AuthKit
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem je riješen poboljšanim rukovanjem predmemorijama.
CVE-2023-32361: Csaba Fitzl (@theevilbit) (Offensive Security)
Bluetooth
Dostupno za: Apple Watch Series 4 i novije
Učinak: napadač u fizičkoj blizini može uzrokovati ograničeno zapisivanje izvan dopuštenog opsega
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-35984: zer0k
bootp
Dostupno za: Apple Watch Series 4 i novije
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2023-41065: Adam M. i Noah Roskin-Frazee i profesor Jason Lau (ZeroClicks.ai Lab)
CFNetwork
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija možda neće primijeniti App Transport Security
Opis: problem je riješen poboljšanim rukovanjem protokolima.
CVE-2023-38596: Will Brattain (Trail of Bits)
CoreAnimation
Dostupno za: Apple Watch Series 4 i novije
Učinak: obradom web-sadržaja moglo bi se izazvati odbijanje usluge
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-40420: 이준성(Junsung Lee) (Cross Republic)
Core Data
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2023-40528: Kirin (@Pwnrin) (NorthSea)
Unos je dodan 22. siječnja 2024.
Dev Tools
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacije bi mogle dobiti veće ovlasti
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2023-32396: Mickey Jin (@patch1t)
Game Center
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija bi mogla pristupiti kontaktima
Opis: problem je riješen poboljšanim rukovanjem predmemorijama.
CVE-2023-40395: Csaba Fitzl (@theevilbit) iz tvrtke Offensive Security
Kernel
Dostupno za: Apple Watch Series 4 i novije
Učinak: napadač koji je već postigao izvršavanje proizvoljnog koda u kernelu mogao bi zaobići zakrpe kernelske memorije.
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-41981: Linus Henze (Pinauten GmbH) (pinauten.de)
Kernel
Dostupno za: Apple Watch Series 4 i novije
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) (STAR Labs SG Pte. Ltd.)
Kernel
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem s dozvolama riješen je poboljšanom provjerom valjanosti.
CVE-2023-40429: Michael (Biscuit) Thomas i 张师傅(@京东蓝军)
libpcap
Dostupno za: Apple Watch Series 4 i novije
Učinak: udaljeni korisnik može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2023-40400: Sei K.
libxpc
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija bi mogla izbrisati datoteke za koje nema dozvolu
Opis: problem s dozvolom riješen je dodatnim ograničenjima.
CVE-2023-40454: Zhipeng Huo (@R3dF09) (Tencent Security Xuanwu Lab) (xlab.tencent.com)
libxpc
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija bi mogla pristupiti zaštićenim korisničkim podacima
Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.
CVE-2023-41073: Zhipeng Huo (@R3dF09) (Tencent Security Xuanwu Lab) (xlab.tencent.com)
libxslt
Dostupno za: Apple Watch Series 4 i novije
Učinak: obradom web-sadržaja može doći do otkrivanja osjetljivih podataka
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-40403: Dohyun Lee (@l33d0hyun) (PK Security)
Maps
Dostupno za: Apple Watch Series 4 i novije
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem je riješen poboljšanim rukovanjem predmemorijama.
CVE-2023-40427: Adam M. i Wojciech Regula (SecuRing) (wojciechregula.blog)
MobileStorageMounter
Dostupno za: Apple Watch Series 4 i novije
Učinak: korisnik bi si mogao povećati ovlasti
Opis: problem s pristupom riješen je poboljšanim ograničenjima pristupa.
CVE-2023-41068: Mickey Jin (@patch1t)
Passcode
Dostupno za: Apple Watch Ultra (svi modeli)
Učinak: Apple Watch Ultra možda se neće zaključati dok se upotrebljava aplikacija Dubina
Opis: problem s provjerom autentičnosti riješen je poboljšanim upravljanjem stanjem.
CVE-2023-40418: Serkan Gurbuz
Photos Storage
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija bi mogla pristupiti uređenim fotografijama spremljenima u privremeni direktorij
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-40456: Kirin (@Pwnrin)
CVE-2023-40520: Kirin (@Pwnrin)
Safari
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija bi mogla otkriti koje je još aplikacije korisnik instalirao
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-35990: Adriatik Raci iz tvrtke Sentry Cybersecurity
Safari
Dostupno za: Apple Watch Series 4 i novije
Učinak: posjet web-mjestu koje sadrži okvire sa zlonamjernim sadržajem može dovesti do lažiranja korisničkog sučelja
Opis: problem s upravljanjem prozorom riješen je poboljšanim upravljanjem stanjem.
CVE-2023-40417: Narendra Bhati (twitter.com/imnarendrabhati) (Suma Soft Pvt. Ltd, Pune, Indija)
Unos je ažuriran 2. siječnja 2024.
Sandbox
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija bi mogla prebrisati proizvoljne datoteke
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)
Share Sheet
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija bi mogla pristupiti osjetljivim podacima zabilježenima kada korisnik podijeli vezu
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2023-41070: Kirin (@Pwnrin)
Simulator
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacije bi mogle dobiti veće ovlasti
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-40419: Arsenii Kostromin (0x3c3e)
StorageKit
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija bi mogla čitati proizvoljne datoteke
Opis: ovaj je problem riješen poboljšanom provjerom valjanosti simboličkih veza.
CVE-2023-41968: Mickey Jin (@patch1t) i James Hutchins
TCC
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-40424: Arsenii Kostromin (0x3c3e), Joshua Jewett (@JoshJewett33) i Csaba Fitzl (@theevilbit) (Offensive Security)
WebKit
Dostupno za: Apple Watch Series 4 i novije
Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
WebKit Bugzilla: 249451
CVE-2023-39434: Francisco Alonso (@revskills) i Dohyun Lee (@l33d0hyun) (PK Security)
WebKit Bugzilla: 258992
CVE-2023-40414: Francisco Alonso (@revskills)
Unos je ažuriran 2. siječnja 2024.
WebKit
Dostupno za: Apple Watch Series 4 i novije
Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim provjerama.
WebKit Bugzilla: 256551
CVE-2023-41074: 이준성(Junsung Lee) (Cross Republic) i Jie Ding(@Lime) (HKUS3 Lab)
Unos je ažuriran 2. siječnja 2024.
WebKit
Dostupno za: Apple Watch Series 4 i novije
Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim rukovanjem memorijom.
WebKit Bugzilla: 239758
CVE-2023-35074: Dong Jun Kim(@smlijun) i Jong Seong Kim(@nevul37) (Ajou University Abysslab)
Unos je ažuriran 2. siječnja 2024.
Dodatna zahvala
Airport
Zahvaljujemo na pomoći Adamu M.-u i Noahu Roskin-Frazeeju i profesoru Jasonu Lauu (ZeroClicks.ai Lab).
Audio
Na pomoći zahvaljujemo Mickeyju Jinu (@patch1t).
Bluetooth
Zahvaljujemo na pomoći Jianjunu Daiju i Guangu Gongu iz tvrtke 360 Vulnerability Research Institute.
Books
Zahvaljujemo na pomoći Aapou Oksmanu (Nixu Cybersecurity).
Control Center
Zahvaljujemo na pomoći Chesteru van den Bogaardu.
Data Detectors UI
Zahvaljujemo Abhayu Kailasiji (@abhay_kailasia) (Lakshmi Narain College Of Technology Bhopal) na pomoći.
Find My
Zahvaljujemo na pomoći Cher Scarlett.
Home
Zahvaljujemo na pomoći Jakeu Derouinu (jakederouin.com).
IOUserEthernet
Na pomoći zahvaljujemo timu tvrtke Certik Skyfall.
Unos je dodan 2. siječnja 2024.
Kernel
Zahvaljujemo na pomoći Billu Marczaku iz tima The Citizen Lab Fakulteta Munk Sveučilišta u Torontu i Maddie Stone iz Googleova tima Threat Analysis Group i 永超 王.
libxml2
Zahvaljujemo OSS-Fuzzu i Nedu Williamsonu (Google Project Zero) na pomoći.
libxpc
Na pomoći zahvaljujemo anonimnom istraživaču.
libxslt
Zahvaljujemo na pomoći Dohyunu Leeju (@l33d0hyun) (PK Security, OSS-Fuzz) i Nedu Williamsonu iz Googleova tima Project Zero.
NSURL
Zahvaljujemo na pomoći Zhanpengu Zhaou (行之) i 糖豆爸爸(@晴天组织).
Photos
Zahvaljujemo na pomoći Dawidu Pałuski i Kirinu (@Pwnrin).
Photos Storage
Zahvaljujemo na pomoći Wojciechu Regułi (@_rggi) (SecuRing) (wojciechregula.blog).
Power Services
Na pomoći zahvaljujemo Mickeyju Jinu (@patch1t).
Shortcuts
Na pomoći zahvaljujemo Alfieju CG, Christianu Bastingu (Bundesamt für Sicherheit in der Informationstechnik), Cristianu Dinci (Nacionalna srednja škola računalne znanosti „Tudor Vianu”, Rumunjska), Giorgosu Christodoulidisu, Jubaeru Alnaziju (TRS Group Of Companies), KRISHANU KANTU DWIVEDIJU (@xenonx7) i Matthewu Butleru.
Unos je ažuriran 24. travnja 2024.
Software Update
Zahvaljujemo na pomoći Omaru Simanu.
StorageKit
Na pomoći zahvaljujemo Mickeyju Jinu (@patch1t).
WebKit
Željeli bismo se zahvaliti Khiemu Tranu i Narendri Bhatiju iz tvrtke Suma Soft Pvt. Ltd.) i anonimnom istraživaču.