Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
watchOS 10,1
Izdano 25. listopada 2023.
Core Recents
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem je riješen čišćenjem zapisa podataka
CVE-2023-42823
Unos je dodan 16. veljače 2024.
Find My
Dostupno za: Apple Watch Series 4 i novije
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem je riješen poboljšanim rukovanjem predmemorijama.
CVE-2023-40413: Adam M.
Find My
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem s privatnosti riješen je poboljšanim rukovanjem datotekama.
CVE-2023-42834: Csaba Fitzl (@theevilbit) (Offensive Security)
Unos je dodan 16. veljače 2024.
Game Center
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem s dozvolom riješen je dodatnim ograničenjima.
CVE-2023-42953: Michael (Biscuit) Thomas – @biscuit@social.lol
Unos je dodan 16. veljače 2024.
ImageIO
Dostupno za: Apple Watch Series 4 i novije
Učinak: obradom zlonamjerne slike može doći do oštećenja hrpe
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2023-42848: JZ
Unos je dodan 16. veljače 2024.
Kernel
Dostupno za: Apple Watch Series 4 i novije
Učinak: napadač koji je već postigao izvršavanje proizvoljnog koda u kernelu mogao bi zaobići zakrpe kernelske memorije.
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-42849: Linus Henze (Pinauten GmbH) (pinauten.de)
libxpc
Dostupno za: Apple Watch Series 4 i novije
Učinak: neka zlonamjerna aplikacija mogla bi steći korijenske ovlasti
Opis: problem je riješen poboljšanim rukovanjem simboličkim vezama.
CVE-2023-42942: Mickey Jin (@patch1t)
Unos je dodan 16. veljače 2024.
Mail Drafts
Dostupno za: Apple Watch Series 4 i novije
Učinak: značajka Sakrij moj e-mail može se neočekivano deaktivirati
Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.
CVE-2023-40408: Grzegorz Riegel
mDNSResponder
Dostupno za: Apple Watch Series 4 i novije
Učinak: uređaj se može pasivno pratiti prema njegovoj Wi-Fi MAC adresi
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2023-42846: Talal Haj Bakry i Tommy Mysk (Mysk Inc.) @mysk_co
Sandbox
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem je riješen poboljšanim upravljanjem stanjem.
CVE-2023-42839: Yiğit Can YILMAZ (@yilmazcanyigit)
Unos je dodan 16. veljače 2024.
Share Sheet
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2023-42878: Kirin (@Pwnrin), Wojciech Regula (SecuRing) (wojciechregula.blog) i Cristian Dinca iz državne srednje škole za računalnu znanost „Tudor Vianu” u Rumunjskoj
Unos je dodan 16. veljače 2024.
Siri
Dostupno za: Apple Watch Series 4 i novije
Učinak: napadač koji ima fizički pristup mogao bi upotrijebiti Siri za pristup osjetljivim korisničkim podacima
Taj je problem riješen ograničavanjem opcija na zaključanom zaslonu.
CVE-2023-41982: Bistrit Dahal
CVE-2023-41997: Bistrit Dahal
CVE-2023-41988: Bistrit Dahal
Unos je ažuriran 16. veljače 2024.
Siri
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija bi mogla otkriti osjetljive korisničke podatke
Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.
CVE-2023-42946
Unos je dodan 16. veljače 2024.
Weather
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2023-41254: Cristian Dinca (Nacionalna srednja škola Tudor Vianu za računalnu znanost, Rumunjska)
WebKit
Dostupno za: Apple Watch Series 4 i novije
Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim rukovanjem memorijom.
WebKit Bugzilla: 259836
CVE-2023-40447: 이준성(Junsung Lee) (Cross Republic)
WebKit
Dostupno za: Apple Watch Series 4 i novije
Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
WebKit Bugzilla: 259890
CVE-2023-41976: 이준성(Junsung Lee)
WebKit
Dostupno za: Apple Watch Series 4 i novije
Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: logički problem riješen je poboljšanim provjerama.
WebKit Bugzilla: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) i Vitor Pedreira (@0xvhp_) (Agile Information Security)
Unos je ažuriran 16. veljače 2024.
Dodatna zahvala
VoiceOver
Na pomoći zahvaljujemo Abhayu Kailasiju (@abhay_kailasia) (Lakshmi Narain College of Technology, Bhopal, Indija).
WebKit
Na pomoći zahvaljujemo anonimnom istraživaču.