Mengenai konten keamanan watchOS 9.5
Dokumen ini menjelaskan konten keamanan watchOS 9.5.
Mengenai pembaruan keamanan Apple
Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.
Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.
Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.
watchOS 9.5
Dirilis pada 18 Mei 2023
Accessibility
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat melewatkan preferensi Privasi
Deskripsi: Masalah ini telah diatasi dengan penyamaran informasi sensitif yang ditingkatkan untuk entri log.
CVE-2023-32388: Kirin (@Pwnrin)
Accessibility
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: Hak dan izin privasi yang diberikan ke app ini dapat digunakan oleh app berbahaya
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2023-32400: Mickey Jin (@patch1t)
Accounts
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: Penyerang mungkin dapat membocorkan email akun pengguna
Deskripsi: Masalah izin telah diatasi dengan penyamaran informasi sensitif yang lebih baik.
CVE-2023-34352: Sergii Kryvoblotskyi dari MacPaw Inc.
Entri ditambahkan pada 5 September 2023
Apple Neural Engine
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat memperoleh hak istimewa yang lebih tinggi
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2023-32425: Mohamed GHANNAM (@_simo36)
Entri ditambahkan pada 5 September 2023
Core Location
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat membaca informasi lokasi yang sensitif
Deskripsi: Masalah telah diatasi dengan penanganan cache yang ditingkatkan.
CVE-2023-32399: Adam M.
Entri diperbarui pada 5 September 2023
CoreServices
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat melewatkan preferensi Privasi
Deskripsi: Masalah ini telah diatasi dengan penyamaran informasi sensitif yang ditingkatkan.
CVE-2023-28191: Mickey Jin (@patch1t)
Face Gallery
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: Penyerang dengan akses fisik ke Apple Watch yang terkunci mungkin dapat melihat foto atau kontak pengguna melalui fitur aksesibilitas
Deskripsi: Masalah ini telah diatasi dengan membatasi pilihan yang ditawarkan pada perangkat terkunci.
CVE-2023-32417: Zitong Wu (吴梓桐) dari Zhuhai No.1 High School (珠海市第一中学)
GeoServices
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat membaca informasi lokasi yang sensitif
Deskripsi: Masalah ini telah diatasi dengan penyamaran informasi sensitif yang ditingkatkan untuk entri log.
CVE-2023-32392: Adam M.
Entri diperbarui pada 5 September 2023
ImageIO
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: Memproses gambar dapat mengakibatkan pengungkapan memori proses
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2023-32372: Meysam Firouzi @R00tkitSMM dari Mbition Mercedes-Benz Innovation yang bekerja sama dengan Zero Day Initiative dari Trend Micro
Entri diperbarui pada 5 September 2023
ImageIO
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: Pemrosesan gambar dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2023-32384: Meysam Firouzi @R00tkitsmm yang bekerja sama dengan Zero Day Initiative dari Trend Micro
IOSurfaceAccelerator
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat mengungkapkan memori kernel
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2023-32354: Linus Henze dari Pinauten GmbH (pinauten.de)
IOSurfaceAccelerator
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat mengakibatkan sistem terhenti tiba-tiba atau membaca memori kernel
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2023-32420: CertiK SkyFall Team dan Linus Henze dari Pinauten GmbH (pinauten.de)
Entri diperbarui pada 5 September 2023
Kernel
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah ketidakjelasan tipe telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2023-27930: 08Tc3wBB dari Jamf
Kernel
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.
CVE-2023-32398: Adam Doupé dari ASU SEFCOM
Kernel
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat memperoleh hak istimewa root
Deskripsi: Kondisi pacu telah diatasi dengan penanganan status yang ditingkatkan.
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) dari Synacktiv (@Synacktiv) yang bekerja sama dengan Zero Day Initiative dari Trend Micro
LaunchServices
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App dapat melewati pemeriksaan Gatekeeper
Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2023-32352: Wojciech Reguła (@_r3ggi) dari SecuRing (wojciechregula.blog)
MallocStackLogging
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat memperoleh hak istimewa root
Deskripsi: Masalah ini telah diatasi dengan penanganan file yang ditingkatkan.
CVE-2023-32428: Gergely Kalman (@gergely_kalman)
Entri ditambahkan pada 5 September 2023
Metal
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat melewatkan preferensi Privasi
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
Model I/O
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: Memproses model 3D dapat mengakibatkan pengungkapan memori proses
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2023-32368: Mickey Jin (@patch1t)
NetworkExtension
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat membaca informasi lokasi yang sensitif
Deskripsi: Masalah ini telah diatasi dengan penyuntingan informasi sensitif yang ditingkatkan.
CVE-2023-32403: Adam M.
Entri diperbarui pada 5 September 2023
NSURLSession
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat keluar dari sandbox
Deskripsi: Masalah ini telah diatasi dengan peningkatan terhadap protokol penanganan file.
CVE-2023-32437: Thijs Alkemade dari Computest Sector 7
Entri ditambahkan pada 5 September 2023
Photos
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: Foto di dalam Album Foto Tersembunyi dapat dilihat tanpa autentikasi melalui Cari Tahu Visual
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2023-32390: Julian Szulc
Sandbox
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat mempertahankan akses ke file konfigurasi sistem bahkan setelah izinnya dicabut
Deskripsi: Masalah otorisasi telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Koh M. Nakagawa dari FFRI Security, Inc., Kirin (@Pwnrin), Jeff Johnson (underpassapp.com), dan Csaba Fitzl (@theevilbit) dari Offensive Security
Share Sheet
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat mengakses data rahasia pengguna
Deskripsi: Masalah privasi telah diatasi dengan penanganan file sementara yang ditingkatkan.
CVE-2023-32432: Kirin (@Pwnrin)
Entri ditambahkan pada 5 September 2023
Shortcuts
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: Pintasan mungkin dapat menggunakan data sensitif dengan tindakan tertentu tanpa meminta izin pengguna
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2023-32391: Wenchao Li dan Xiaolong Bai dari Alibaba Group
Shortcuts
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat melewatkan preferensi Privasi
Deskripsi: Masalah ini telah diatasi dengan penetapan hak yang ditingkatkan.
CVE-2023-32404: Mickey Jin (@patch1t), Zhipeng Huo (@R3dF09) dari Tencent Security Xuanwu Lab (xlab.tencent.com), dan peneliti anonim
Siri
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: Seseorang dengan akses fisik ke perangkat mungkin dapat melihat informasi kontak dari layar terkunci
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2023-32394: Khiem Tran
SQLite
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat melewatkan preferensi Privasi
Deskripsi: Masalah ini telah diatasi dengan menambahkan pembatasan pencatatan SQLite tambahan.
CVE-2023-32422: Gergely Kalman (@gergely_kalman) dan Wojciech Regula dari SecuRing (wojciechregula.blog)
Entri ditambahkan pada 5 September 2023
StorageKit
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat memodifikasi bagian sistem file yang dilindungi
Deskripsi: Masalah ini telah diatasi dengan penetapan hak yang ditingkatkan.
CVE-2023-32376: Yiğit Can YILMAZ (@yilmazcanyigit)
System Settings
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: Pengaturan firewall app mungkin tidak diterapkan setelah keluar dari app Pengaturan
Deskripsi: Masalah ini telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2023-28202: Satish Panduranga dan peneliti anonim
Telephony
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan manajemen memori yang ditingkatkan.
CVE-2023-32412: Ivan Fratric dari Google Project Zero
TV App
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat membaca informasi lokasi yang sensitif
Deskripsi: Masalah telah diatasi dengan penanganan cache yang ditingkatkan.
CVE-2023-32408: Adam M.
WebKit
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: Pemrosesan konten web dapat mengakibatkan pengungkapan informasi sensitif
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
WebKit Bugzilla: 255075
CVE-2023-32402: peneliti anonim
WebKit
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: Pemrosesan konten web dapat mengakibatkan pengungkapan informasi sensitif
Deskripsi: Masalah kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.
WebKit Bugzilla: 254781
CVE-2023-32423: Ignacio Sanmillan (@ulexec)
WebKit
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: Penyerang jarak jauh mungkin dapat keluar dari sandbox Konten Web. Apple mengetahui adanya laporan bahwa masalah ini mungkin telah dieksploitasi secara aktif.
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan batas yang ditingkatkan.
WebKit Bugzilla: 255350
CVE-2023-32409: Clément Lecigne dari Grup Analisis Ancaman di Google dan Donncha Ó Cearbhaill dari Lab Keamanan di Amnesty International
WebKit
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: Pemrosesan konten web dapat mengakibatkan pengungkapan informasi sensitif. Apple mengetahui adanya laporan bahwa masalah ini mungkin telah dieksploitasi secara aktif.
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
WebKit Bugzilla: 254930
CVE-2023-28204: peneliti anonim
WebKit
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer. Apple mengetahui adanya laporan bahwa masalah ini mungkin telah dieksploitasi secara aktif.
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan manajemen memori yang ditingkatkan.
WebKit Bugzilla: 254840
CVE-2023-32373: peneliti anonim
Wi-Fi
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat mengungkapkan memori kernel
Deskripsi: Masalah ini telah diatasi dengan penyamaran informasi sensitif yang ditingkatkan.
CVE-2023-32389: Pan ZhenPeng (@Peterpan0927) dari STAR Labs SG Pte. Ltd.
Ucapan terima kasih tambahan
Accounts
Kami ingin mengucapkan terima kasih kepada Sergii Kryvoblotskyi dari MacPaw Inc. atas bantuannya.
CFNetwork
Kami ingin mengucapkan terima kasih kepada Gabriel Geraldino de Souza atas bantuannya.
Entri ditambahkan 16 Juli 2024
CloudKit
Kami ingin mengucapkan terima kasih kepada Iconic atas bantuannya.
libxml2
Kami ingin mengucapkan terima kasih kepada OSS-Fuzz, dan Ned Williamson dari Google Project Zero atas bantuannya.
Reminders
Kami ingin mengucapkan terima kasih kepada Kirin (@Pwnrin) atas bantuannya.
Security
Kami ingin mengucapkan terima kasih kepada Brandon Toms atas bantuannya.
Share Sheet
Kami ingin mengucapkan terima kasih kepada Kirin (@Pwnrin) atas bantuannya.
Wallet
Kami ingin mengucapkan terima kasih kepada James Duffy (mangoSecure) atas bantuannya.
Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.