Mengenai konten keamanan watchOS 10.1

Dokumen ini menjelaskan konten keamanan watchOS 10.1.

Mengenai pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum di halaman rilis keamanan Apple.

Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.

Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.

watchOS 10.1

Core Recents

Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah ini telah diatasi dengan membersihkan pencatatan

CVE-2023-42823

Find My

Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru

Dampak: App mungkin dapat membaca informasi lokasi yang sensitif

Deskripsi: Masalah telah diatasi dengan penanganan cache yang ditingkatkan.

CVE-2023-40413: Adam M.

Find My

Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah privasi telah diatasi dengan penanganan file yang ditingkatkan.

CVE-2023-42834: Csaba Fitzl (@theevilbit) dari Offensive Security

Game Center

Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah izin telah diatasi dengan pembatasan tambahan.

CVE-2023-42953: Michael (Biscuit) Thomas - @biscuit@social.lol

ImageIO

Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru

Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan semakin banyaknya kerusakan

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2023-42848: JZ

Kernel

Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru

Dampak: Penyerang yang telah berhasil melakukan eksekusi kode kernel mungkin dapat melewati mitigasi memori

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2023-42849: Linus Henze dari Pinauten GmbH (pinauten.de)

libxpc

Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru

Dampak: App berbahaya dapat memperoleh hak istimewa root

Deskripsi: Masalah ini telah diatasi dengan penanganan symlink yang ditingkatkan.

CVE-2023-42942: Mickey Jin (@patch1t)

Mail Drafts

Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru

Dampak: Sembunyikan Email Saya mungkin tiba-tiba dinonaktifkan

Deskripsi: Masalah antarmuka pengguna yang tidak konsisten telah diatasi dengan manajemen kondisi yang ditingkatkan.

CVE-2023-40408: Grzegorz Riegel

mDNSResponder

Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru

Dampak: Perangkat dapat dilacak secara pasif melalui alamat MAC Wi-Fi-nya

Deskripsi: Masalah ini telah diatasi dengan menghapus kode yang rentan.

CVE-2023-42846: Talal Haj Bakry dan Tommy Mysk dari Mysk Inc. @mysk_co

Sandbox

Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah ini telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2023-42839: Yiğit Can YILMAZ (@yilmazcanyigit)

Share Sheet

Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah privasi telah diatasi dengan penyamaran informasi sensitif yang ditingkatkan untuk entri log.

CVE-2023-42878: Kirin (@Pwnrin), Wojciech Regula dari SecuRing (wojciechregula.blog), dan Cristian Dinca dari "Tudor Vianu" National High School of Computer Science, Rumania

Siri

Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru

Dampak: Penyerang dengan akses fisik mungkin dapat menggunakan Siri untuk mengakses data pengguna yang sensitif

Deskripsi: Masalah ini telah diatasi dengan membatasi pilihan yang ditawarkan pada perangkat terkunci.

CVE-2023-41982: Bistrit Dahal

CVE-2023-41997: Bistrit Dahal

CVE-2023-41988: Bistrit Dahal

Siri

Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru

Dampak: App dapat membocorkan informasi rahasia pengguna

Deskripsi: Masalah ini telah diatasi dengan redaksi informasi sensitif yang lebih baik.

CVE-2023-42946

Weather

Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah privasi telah diatasi dengan penyamaran informasi sensitif yang ditingkatkan untuk entri log.

CVE-2023-41254: Cristian Dinca dari “Tudor Vianu” National High School of Computer Science, Rumania

WebKit

Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru

Dampak: Pemrosesan konten web dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2023-40447: 이준성 (Junsung Lee) dari Cross Republic

WebKit

Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru

Dampak: Pemrosesan konten web dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan manajemen memori yang ditingkatkan.

CVE-2023-41976: 이준성 (Junsung Lee)

WebKit

Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru

Dampak: Pemrosesan konten web dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2023-42852: Pedro Ribeiro (@pedrib1337) dan Vitor Pedreira (@0xvhp_) dari Agile Information Security

Ucapan terima kasih tambahan

VoiceOver

Kami ingin mengucapkan terima kasih kepada Abhay Kailasia (@abhay_kailasia) dari Lakshmi Narain College Of Technology Bhopal India atas bantuannya.

WebKit

Kami ingin mengucapkan terima kasih kepada peneliti anonim atas bantuannya.