A watchOS 9.4 biztonsági változásjegyzéke
Ez a dokumentum a watchOS 9.4 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
watchOS 9.4
Kiadás dátuma: 2023. március 27.
AppleMobileFileIntegrity
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: A felhasználók hozzáférést szerezhettek a fájlrendszer védett részeihez.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2023-23527: Mickey Jin (@patch1t)
Calendar
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az ártó szándékkal létrehozott naptármeghívók importálása felhasználói adatok kiszivárgásához vezethetett.
Leírás: Hatékonyabb beviteltisztítással elhárítottunk több érvényesítési hibát.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
Camera
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: A sandboxban lévő appok meg tudták határozni, hogy éppen melyik app használja a kamerát.
Leírás: Az appállapotok megfigyelhetőségének további korlátozásával hárítottuk el a problémát.
CVE-2023-23543: Yiğit Can YILMAZ (@yilmazcanyigit)
Bejegyzés hozzáadva: 2023. június 8.
CoreCapture
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-28181: Tingting Yin (Tsinghua University)
Find My
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat.
Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.
CVE-2023-23537: Adam M.
CVE-2023-28195: Adam M.
Bejegyzés frissítve: 2023. december 21.
FontParser
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az ártó szándékkal létrehozott képek feldolgozása lehetőséget adott a folyamatmemória közzétételére
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-27956: Ye Zhang (Baidu Security)
Foundation
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott plist elemzésekor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy egészszám-túlcsordulást okozó problémát.
CVE-2023-27937: anonim kutató
Identity Services
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az alkalmazások hozzá tudtak férni a felhasználó kontaktjaival kapcsolatos információkhoz.
Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.
CVE-2023-27928: Fitzl Csaba (@theevilbit; Offensive Security)
ImageIO
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az ártó szándékkal létrehozott képek feldolgozása lehetőséget adott a folyamatmemória közzétételére
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-23535: ryuzaki
ImageIO
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az ártó szándékkal létrehozott képek feldolgozása lehetőséget adott a folyamatmemória közzétételére
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2023-27929: Meysam Firouzi (@R00tkitSMM, Mbition Mercedes-Benz Innovation Lab) és jzhu, a Trend Micro Zero Day kezdeményezés keretében
ImageIO
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: A képek feldolgozása lehetőséget adott a folyamatmemória közzétételére.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2023-42862: Meysam Firouzi @R00tkitSMM
CVE-2023-42865: jzhu a Trend Micro Zero Day Initiative keretében és Meysam Firouzi (@R00tkitSMM, Mbition Mercedes-Benz Innovation Lab)
Bejegyzés hozzáadva: 2023. december 21.
Kernel
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.
CVE-2023-23536: Félix Poulin-Bélanger és David Pan Ogea
Bejegyzés hozzáadva: 2023. június 8., frissítve: 2023. december 21.
Kernel
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.
CVE-2023-27969: Adam Doupé (ASU SEFCOM)
Kernel
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: A gyökérszintű jogosultsággal rendelkező alkalmazások tetszőleges kódvégrehajtást tudtak előidézni kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-27933: sqrtpwn
Kernel
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy egészszám-túlcsordulást okozó problémát.
CVE-2023-28185: Pan ZhenPeng (STAR Labs SG Pte. Ltd.)
Bejegyzés hozzáadva: 2023. december 21.
Kernel
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: A már kernelszintű kódvégrehajtási jogosultságot szerzett támadók megkerülhették a kernelmemória használatára vonatkozó korlátozásokat.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-32424: Zechao Cai (@Zech4o, Zhejiang University)
Bejegyzés hozzáadva: 2023. december 21.
Podcastok
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2023-27942: Mickey Jin (@patch1t)
Sandbox
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.
CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)
Bejegyzés hozzáadva: 2023. június 8.
Shortcuts
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Bizonyos esetekben a parancsok bizonyos műveletek során bizalmas adatokat tudtak felhasználni anélkül, hogy erről megkérdezték volna a felhasználót.
Leírás: További engedély-ellenőrzési lépésekkel küszöböltük ki a problémát.
CVE-2023-27963: Jubaer Alnazi Jabin (TRS Group Of Companies), valamint Wenchao Li és Xiaolong Bai (Alibaba Group)
TCC
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.
CVE-2023-27931: Mickey Jin (@patch1t)
WebKit
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak megkerülhették a Same Origin irányelvet.
Leírás: Hatékonyabb állapotkezeléssel küszöbölték ki a problémát.
WebKit Bugzilla: 248615
CVE-2023-27932: anonim kutató
WebKit
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: A webhelyek nyomon tudtak követni bizalmas jellegű felhasználói információkat.
Leírás: Az eredetre vonatkozó információk eltávolításával hárítottuk el a hibát.
WebKit Bugzilla: 250837
CVE-2023-27954: anonim kutató
További köszönetnyilvánítás
Activation Lock
Köszönjük Christian Mina segítségét.
CFNetwork
Köszönjük egy anonim kutató segítségét.
CoreServices
Köszönjük Mickey Jin (@patch1t) segítségét.
ImageIO
Köszönjük Meysam Firouzi @R00tkitSMM segítségét.
Köszönjük a következők segítségét: Chen Zhang, Fabian Ising (FH Münster University of Applied Sciences), Damian Poddebniak (FH Münster University of Applied Sciences), Tobias Kappert (Münster University of Applied Sciences), Christoph Saatjohann (Münster University of Applied Sciences), Sebast és Merlin Chlosta (CISPA Helmholtz Center for Information Security).
Safari-letöltések
Köszönjük Andrew Gonzalez segítségét.
WebKit
Köszönjük egy anonim kutató segítségét.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.