Mengenai konten keamanan watchOS 9.3
Dokumen ini menjelaskan konten keamanan watchOS 9.3.
Mengenai pembaruan keamanan Apple
Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.
Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.
Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.
watchOS 9.3
Dirilis pada 23 Januari 2023
AppleMobileFileIntegrity
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat melewatkan preferensi Privasi
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan untuk mencegah tindakan tidak sah.
CVE-2023-32438: Csaba Fitzl (@theevilbit) dari Offensive Security dan Mickey Jin (@patch1t)
Entri ditambahkan pada 05 September 2023
AppleMobileFileIntegrity
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat mengakses data rahasia pengguna
Deskripsi: Masalah ini telah diatasi dengan mengaktifkan hardened runtime.
CVE-2023-23499: Wojciech Regula dari SecuRing (wojciechregula.blog)
Crash Reporter
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: Pengguna mungkin dapat membaca file arbitrer sebagai root
Deskripsi: Kondisi pacu telah diatasi dengan validasi tambahan.
CVE-2023-23520: Cees Elzinga
Entri ditambahkan pada 6 Juni 2023
FontParser
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: Memproses file fon dapat mengakibatkan eksekusi kode arbitrer. Apple mengetahui adanya laporan bahwa masalah ini mungkin telah dieksploitasi secara aktif pada versi iOS yang dirilis sebelum iOS 15.7.1.
Deskripsi: Masalah telah diatasi dengan penanganan cache yang ditingkatkan.
CVE-2023-41990: Apple
Entri ditambahkan pada 08 September 2023
ImageIO
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: Pemrosesan gambar mungkin mengakibatkan serangan DoS (denial of service)
Deskripsi: Masalah kerusakan memori telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2023-23519: Meysam Firouzi @R00tkitSMM dari Mbition Mercedes-Benz Innovation Lab, Yiğit Can YILMAZ (@yilmazcanyigit), dan jzhu yang bekerja sama dengan Zero Day Initiative dari Trend Micro
Entri diperbarui pada 05 September 2023
Kernel
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App dapat membocorkan status kernel yang bersifat rahasia
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2023-23500: Pan ZhenPeng (@Peterpan0927) dari STAR Labs SG Pte. Ltd. (@starlabs_sg)
Kernel
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat menentukan tata letak memori kernel
Deskripsi: Masalah pengungkapan informasi telah diatasi dengan menghapus kode yang rentan.
CVE-2023-23502: Pan ZhenPeng (@Peterpan0927) dari STAR Labs SG Pte. Ltd. (@starlabs_sg)
Kernel
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2023-23504: Adam Doupé dari ASU SEFCOM
Maps
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat melewatkan preferensi Privasi
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2023-23503: peneliti anonim
Safari
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: Membuka situs web dapat mengakibatkan penolakan layanan oleh app
Deskripsi: Masalah telah diatasi dengan penanganan cache yang ditingkatkan.
CVE-2023-23512: Adriatik Raci
Screen Time
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat mengakses informasi mengenai kontak pengguna
Deskripsi: Masalah privasi telah diatasi dengan redaksi data pribadi yang ditingkatkan untuk entri log.
CVE-2023-23505: Wojciech Reguła dari SecuRing (wojciechregula.blog), dan Csaba Fitzl (@theevilbit) dari Offensive Security
Entri diperbarui pada 6 Juni 2023
Weather
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat melewatkan preferensi Privasi
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2023-23511: Wojciech Regula dari SecuRing (wojciechregula.blog), peneliti anonim
WebKit
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: Pemrosesan konten web dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
WebKit Bugzilla: 248885
CVE-2023-32393: Francisco Alonso (@revskills)
Entri ditambahkan pada 28 Juni 2023
WebKit
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: Dokumen HTML mungkin dapat merender iframe dengan informasi sensitif pengguna
Deskripsi: Masalah ini diatasi dengan pemberlakuan sandbox iframe yang ditingkatkan.
WebKit Bugzilla: 241753
CVE-2022-0108: Luan Herrera (@lbherrera_)
Entri ditambahkan pada 6 Juni 2023
WebKit
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
WebKit Bugzilla: 245464
CVE-2023-23496: ChengGang Wu, Yan Kang, YuHao Hu, Yue Sun, Jiming Wang, JiKai Ren dan Hang Shu dari Institute of Computing Technology, Chinese Academy of Sciences
WebKit
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
WebKit Bugzilla: 248268
CVE-2023-23518: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) dari Team ApplePIE
WebKit Bugzilla: 248268
CVE-2023-23517: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) dari Team ApplePIE
Ucapan terima kasih tambahan
AppleMobileFileIntegrity
Kami ingin mengucapkan terima kasih kepada Csaba Fitzl (@theevilbit) dari Offensive Security atas bantuannya.
Entri ditambahkan pada 6 Juni 2023
Core Data
Kami ingin mengucapkan terima kasih kepada Austin Emmitt (@alkalinesec), Senior Security Researcher di Trellix Advanced Research Center, atas bantuannya.
Entri ditambahkan pada 08 September 2023
Kernel
Kami ingin mengucapkan terima kasih kepada Nick Stenning dari Replicate atas bantuannya.
WebKit
Kami ingin mengucapkan terima kasih kepada Eliya Stein dari Confiant atas bantuannya.
Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.