Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
watchOS 10.4
Kiadás dátuma: 2024. március 7.
Accessibility
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Előfordulhatott, hogy rosszindulatú alkalmazások tudtak hozzáférni a kisegítő lehetőségekhez kötődő értesítések naplóbejegyzéseiben megtalálható felhasználói adatokhoz.
Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.
CVE-2024-23291
AppleMobileFileIntegrity
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Egyes alkalmazások magasabb szintű jogosultságokat tudtak szerezni
Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.
CVE-2024-23288: Wojciech Regula (SecuRing, wojciechregula.blog) és Kirin (@Pwnrin)
CoreBluetooth – LE
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Alkalmazások hozzáférhettek a Bluetoothon csatlakoztatott mikrofonokhoz a felhasználó engedélye nélkül.
Leírás: Hatékonyabb hozzáférés-korlátozással hárítottunk el egy hozzáférési problémát.
CVE-2024-23250: Guilherme Rambo (Best Buddy Apps, rambo.codes)
file
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: A létrehozott fájlok szolgáltatásmegtagadást tudtak előidézni, illetve fel tudták fedni a memória tartalmát.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2022-48554
ImageIO
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: A képek feldolgozásakor tetszőleges programkód végrehajtására nyílt lehetőség.
Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.
CVE-2024-23286: Junsung Lee (Trend Micro Zero Day Initiative), Amir Bazine és Karsten König (CrowdStrike Counter Adversary Operations), Dohyun Lee (@l33d0hyun), Lyutoon és Mr.R
Bejegyzés frissítve: 2024. május 31.
Kernel
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: További hitelesítéssel hárítottunk el egy versenyhelyzeti problémát.
CVE-2024-23235
Kernel
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve írni tudtak a kernelmemóriába
Leírás: Hatékonyabb zárolás révén elhárítottunk egy memóriasérülési biztonsági rést.
CVE-2024-23265: Xinru Chi (Pangu Lab)
Kernel
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: A kernelolvasási és -írási képességekkel rendelkező támadók bizonyos esetekben meg tudták kerülni a kernel memóriavédelmét. Az Apple tud egy olyan jelentésről, amely szerint előfordulhat, hogy ezt a problémát kihasználták.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
CVE-2024-23225
libxpc
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-23278: anonim kutató
libxpc
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Egy alkalmazás bizonyos esetekben tetszőleges kódot tudott végrehajtani a tesztkörnyezetén kívül vagy bizonyos magasabb jogosultsági szint mellett.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2024-0258: ali yabuz
MediaRemote
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások privát adatokhoz tudtak hozzáférni.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-23297: scj643
Messages
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: Az ideiglenes fájlok hatékonyabb kezelésével elhárítottunk egy adatvédelmi problémát.
CVE-2024-23287: Kirin (@Pwnrin)
RTKit
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: A kernelolvasási és -írási képességekkel rendelkező támadók bizonyos esetekben meg tudták kerülni a kernel memóriavédelmét. Az Apple tud egy olyan jelentésről, amely szerint előfordulhat, hogy ezt a problémát kihasználták.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
CVE-2024-23296
Sandbox
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói információkat kiszivárogtatni
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.
CVE-2024-23239: Mickey Jin (@patch1t)
Sandbox
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2024-23290: Wojciech Regula (SecuRing, wojciechregula.blog)
Share Sheet
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.
CVE-2024-23231: Kirin (@Pwnrin) és luckyu (@uuulucky)
Siri
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: A készülékhez fizikai hozzáféréssel rendelkező felhasználó Siri segítségével le tudott kérni magánjellegű naptár-információkat.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy zárolt képernyővel kapcsolatos hibát.
CVE-2024-23289: Lewis Hardy
Siri
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Hatás: Egy fizikai hozzáféréssel rendelkező támadó a Siri segítségével hozzáférhet bizalmas felhasználói adatokhoz
Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.
CVE-2024-23293: Bistrit Dahal
UIKit
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból
Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.
CVE-2024-23246: Deutsche Telekom Security GmbH, a Bundesamt für Sicherheit in der Informationstechnik szponzorálásával
WebKit
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
WebKit Bugzilla: 259694
CVE-2024-23226: Pwn2car
WebKit
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az ártó szándékkal létrehozott webhelyek ki tudtak szivárogtatni hangadatokat különböző forrásokból.
Leírás: A probléma a felhasználói felület hatékonyabb kezelésével hárult el.
WebKit Bugzilla: 263795
CVE-2024-23254: James Lee (@Windowsrcer)
WebKit
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása megakadályozhatta a Tartalombiztonsági szabályzat érvényesítését.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.
WebKit Bugzilla: 264811
CVE-2024-23263: Johan Carlsson (joaxcar)
WebKit
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Egy ártó szándékkal létrehozott weboldal képes volt lemásolni a felhasználót
Leírás: Hatékonyabb ellenőrzéssel elhárult egy beszúrási probléma.
WebKit Bugzilla: 266703
CVE-2024-23280: anonim kutató
WebKit
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása megakadályozhatta a Tartalombiztonsági szabályzat érvényesítését.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
WebKit Bugzilla: 267241
CVE-2024-23284: Georg Felber és Marco Squarcina
További köszönetnyilvánítás
CoreAnimation
Köszönjük Junsung Lee segítségét.
CoreMotion
Köszönjük Eric Dorphy (Twin Cities App Dev LLC) segítségét.
Find My
Köszönjük Meng Zhang (鲸落, NorthSea) segítségét.
Kernel
Köszönjük Tarek Joumaa (@tjkr0wn) segítségét.
libxml2
Köszönjük OSS-Fuzz és Ned Williamson (Google Project Zero) segítségét.
libxpc
Köszönjük Rasmus Sten, F-Secure (Mastodon: @pajp@blog.dll.nu) és egy anonim kutató segítségét.
Power Management
Köszönjük Pan ZhenPeng (@Peterpan0927, STAR Labs SG Pte. Ltd.) segítségét.
Sandbox
Köszönjük Zhongquan Li (@Guluisacat) segítségét.
Siri
Köszönjük Bistrit Dahal segítségét.
Software Update
Köszönjük Bin Zhang (Dublin City University) segítségét.
WebKit
Köszönjük Nan Wang (@eternalsakura13, 360 Vulnerability Research Institute), Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina és Lorenzo Veronese (TU Wien) segítségét.