Mengenai pembaruan keamanan Apple
Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.
Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.
Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.
watchOS 9.4
Dirilis pada 27 Maret 2023
AppleMobileFileIntegrity
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: Pengguna mungkin dapat mengakses bagian yang dilindungi dari sistem file
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2023-23527: Mickey Jin (@patch1t)
Calendar
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: Mengimpor undangan kalender berbahaya dapat mengeksfiltrasi informasi pengguna
Deskripsi: Beberapa masalah validasi telah diatasi melalui pembersihan input yang ditingkatkan.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
Camera
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App sandbox mungkin dapat mengidentifikasi app yang saat ini menggunakan kamera
Deskripsi: Masalah telah diatasi dengan pembatasan tambahan pada kemampuan mengamati status app.
CVE-2023-23543: Yiğit Can YILMAZ (@yilmazcanyigit)
Entri ditambahkan pada 8 Juni 2023
CoreCapture
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2023-28181: Tingting Yin dari Tsinghua University
Find My
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat membaca informasi lokasi yang sensitif
Deskripsi: Masalah privasi telah diatasi dengan penyuntingan data pribadi yang ditingkatkan untuk entri log.
CVE-2023-23537: Adam M.
CVE-2023-28195: Adam M.
Entri diperbarui pada 21 Desember 2023
FontParser
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2023-27956: Ye Zhang dari Baidu Security
Foundation
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: Menguraikan plist perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Kelebihan bilangan bulat telah diatasi dengan validasi input yang ditingkatkan.
CVE-2023-27937: peneliti anonim
Identity Services
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat mengakses informasi mengenai kontak pengguna
Deskripsi: Masalah privasi telah diatasi dengan redaksi data pribadi yang ditingkatkan untuk entri log.
CVE-2023-27928: Csaba Fitzl (@theevilbit) dari Offensive Security
ImageIO
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2023-23535: ryuzaki
ImageIO
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2023-27929: Meysam Firouzi (@R00tkitSMM) dari Mbition Mercedes-Benz Innovation Lab dan jzhu yang bekerja sama dengan Zero Day Initiative dari Trend Micro
ImageIO
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: Memproses gambar dapat mengakibatkan pengungkapan memori proses
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2023-42862: Meysam Firouzi @R00tkitSMM
CVE-2023-42865: jzhu yang bekerja sama dengan Zero Day Initiative dari Trend Micro, dan Meysam Firouzi (@R00tkitSMM) dari Mbition Mercedes-Benz Innovation Lab
Entri ditambahkan pada 21 Desember 2023
Kernel
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2023-23536: Félix Poulin-Bélanger dan David Pan Ogea
Entri ditambahkan pada 8 Juni 2023, diperbarui pada 21 Desember 2023
Kernel
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan manajemen memori yang ditingkatkan.
CVE-2023-27969: Adam Doupé dari ASU SEFCOM
Kernel
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App dengan hak istimewa root mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2023-27933: sqrtpwn
Kernel
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat menyebabkan penolakan layanan
Penjelasan: Kelebihan bilangan bulat telah diatasi melalui validasi input yang lebih baik.
CVE-2023-28185: Pan ZhenPeng dari STAR Labs SG Pte. Ltd.
Entri ditambahkan pada 21 Desember 2023
Kernel
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: Penyerang yang telah berhasil melakukan eksekusi kode kernel mungkin dapat melewati mitigasi memori
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2023-32424: Zechao Cai (@Zech4o) dari Zhejiang University
Entri ditambahkan pada 21 Desember 2023
Podcasts
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat mengakses data rahasia pengguna
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2023-27942: Mickey Jin (@patch1t)
Sandbox
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat melewatkan preferensi Privasi
Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.
CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)
Entri ditambahkan pada 8 Juni 2023
Shortcuts
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: Pintasan mungkin dapat menggunakan data sensitif dengan tindakan tertentu tanpa meminta izin pengguna
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan izin tambahan.
CVE-2023-27963: Jubaer Alnazi Jabin dari TRS Group Of Companies dan Wenchao Li dan Xiaolong Bai dari Alibaba Group
TCC
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat mengakses data rahasia pengguna
Deskripsi: Masalah ini telah diatasi dengan menghapus kode yang rentan.
CVE-2023-27931: Mickey Jin (@patch1t)
WebKit
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: Memproses konten web perusak yang berbahaya dapat melewati Kebijakan Same Policy
Deskripsi: Masalah ini telah diatasi dengan manajemen status yang ditingkatkan.
WebKit Bugzilla: 248615
CVE-2023-27932: peneliti anonim
WebKit
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: Suatu situs web mungkin dapat melacak informasi pengguna yang sensitif
Deskripsi: Masalah ini telah diatasi dengan menghapus informasi sumber.
WebKit Bugzilla: 250837
CVE-2023-27954: peneliti anonim
Ucapan terima kasih tambahan
Activation Lock
Kami ingin mengucapkan terima kasih kepada Christian Mina atas bantuannya.
CFNetwork
Kami ingin mengucapkan terima kasih kepada peneliti anonim atas bantuannya.
CoreServices
Kami ingin mengucapkan terima kasih kepada Mickey Jin (@patch1t) atas bantuannya.
ImageIO
Kami ingin mengucapkan terima kasih kepada Meysam Firouzi @R00tkitSMM atas bantuannya.
Kami ingin mengucapkan terima kasih kepada Chen Zhang, Fabian Ising dari FH Münster University of Applied Sciences, Damian Poddebniak dari FH Münster University of Applied Sciences, Tobias Kappert dari Münster University of Applied Sciences, Christoph Saatjohann dari Münster University of Applied Sciences, Sebast, dan Merlin Chlosta dari CISPA Helmholtz Center for Information Security atas bantuannya.
Safari Downloads
Kami ingin mengucapkan terima kasih kepada Andrew Gonzalez atas bantuannya.
WebKit
Kami ingin mengucapkan terima kasih kepada peneliti anonim atas bantuannya.