Mengenai pembaruan keamanan Apple
Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum di halaman rilis keamanan Apple.
Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.
Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.
watchOS 10
Dirilis pada 18 September 2023
App Store
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: Penyerang jarak jauh mungkin dapat keluar dari sandbox Konten Web
Deskripsi: Masalah ini telah diatasi dengan penanganan protokol yang ditingkatkan.
CVE-2023-40448: w0wbox
Apple Neural Engine
Tersedia untuk perangkat dengan Apple Neural Engine: Apple Watch Series 9 dan Apple Watch Ultra 2
Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2023-40432: Mohamed GHANNAM (@_simo36)
CVE-2023-41174: Mohamed GHANNAM (@_simo36)
CVE-2023-40409: Ye Zhang (@VAR10CK) dari Baidu Security
CVE-2023-40412: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
Tersedia untuk perangkat dengan Apple Neural Engine: Apple Watch Series 9 dan Apple Watch Ultra 2
Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.
CVE-2023-41071: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
Tersedia untuk perangkat dengan Apple Neural Engine: Apple Watch Series 9 dan Apple Watch Ultra 2
Dampak: App mungkin dapat mengungkapkan memori kernel
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2023-40399: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
Tersedia untuk perangkat dengan Apple Neural Engine: Apple Watch Series 9 dan Apple Watch Ultra 2
Dampak: App mungkin dapat mengungkapkan memori kernel
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2023-40410: Tim Michaud (@TimGMichaud) dari Moveworks.ai
AuthKit
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat mengakses data rahasia pengguna
Deskripsi: Masalah telah diatasi dengan penanganan cache yang ditingkatkan.
CVE-2023-32361: Csaba Fitzl (@theevilbit) dari Offensive Security
Bluetooth
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: Penyerang dengan jarak fisik yang dekat dapat menyebabkan penulisan di luar batas yang terbatas
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2023-35984: zer0k
bootp
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat membaca informasi lokasi yang sensitif
Deskripsi: Masalah ini telah diatasi dengan penyamaran informasi sensitif yang ditingkatkan untuk entri log.
CVE-2023-41065: Adam M., serta Noah Roskin-Frazee dan Profesor Jason Lau (ZeroClicks.ai Lab)
CFNetwork
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin gagal menerapkan App Transport Security
Deskripsi: Masalah ini telah diatasi dengan penanganan protokol yang ditingkatkan.
CVE-2023-38596: Will Brattain di Trail of Bits
CoreAnimation
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: Pemrosesan konten web mungkin mengakibatkan serangan DoS (denial of service)
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2023-40420: 이준성 (Junsung Lee) dari Cross Republic
Core Data
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat melewatkan preferensi Privasi
Deskripsi: Masalah ini telah diatasi dengan menghapus kode yang rentan.
CVE-2023-40528: Kirin (@Pwnrin) dari NorthSea
Entri ditambahkan tanggal 22 Januari 2024
Dev Tools
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat memperoleh hak istimewa yang lebih tinggi
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2023-32396: Mickey Jin (@patch1t)
Game Center
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat mengakses kontak
Deskripsi: Masalah telah diatasi dengan penanganan cache yang ditingkatkan.
CVE-2023-40395: Csaba Fitzl (@theevilbit) dari Offensive Security
Kernel
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: Penyerang yang telah berhasil melakukan eksekusi kode kernel mungkin dapat melewati mitigasi memori
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2023-41981: Linus Henze dari Pinauten GmbH (pinauten.de)
Kernel
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) dari STAR Labs SG Pte. Ltd.
Kernel
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat mengakses data rahasia pengguna
Deskripsi: Masalah izin telah diatasi dengan validasi yang ditingkatkan.
CVE-2023-40429: Michael (Biscuit) Thomas dan 张师傅 (@京东蓝军)
libpcap
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: Pengguna dari jarak jauh dapat mengakibatkan app berhenti tiba-tiba atau kode arbitrer dieksekusi
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2023-40400: Sei K.
libxpc
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat menghapus file meskipun tidak memiliki izin untuk menghapusnya
Deskripsi: Masalah izin telah diatasi dengan pembatasan tambahan.
CVE-2023-40454: Zhipeng Huo (@R3dF09) dari Tencent Security Xuanwu Lab (xlab.tencent.com)
libxpc
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat mengakses data pengguna yang dilindungi
Deskripsi: Masalah otorisasi telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2023-41073: Zhipeng Huo (@R3dF09) dari Tencent Security Xuanwu Lab (xlab.tencent.com)
libxslt
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: Pemrosesan konten web dapat mengakibatkan pengungkapan informasi sensitif
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2023-40403: Dohyun Lee (@l33d0hyun) dari PK Security
Maps
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat membaca informasi lokasi yang sensitif
Deskripsi: Masalah telah diatasi dengan penanganan cache yang ditingkatkan.
CVE-2023-40427: Adam M., dan Wojciech Regula dari SecuRing (wojciechregula.blog)
MobileStorageMounter
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: Pengguna mungkin dapat meningkatkan hak istimewa
Deskripsi: Masalah akses telah diatasi dengan pembatasan akses yang ditingkatkan.
CVE-2023-41068: Mickey Jin (@patch1t)
Passcode
Tersedia untuk: Apple Watch Ultra (semua model)
Dampak: Apple Watch Ultra mungkin tidak terkunci saat menggunakan app Kedalaman
Deskripsi: Masalah autentikasi telah diatasi dengan manajemen kondisi yang ditingkatkan.
CVE-2023-40418: serkan Gurbuz
Photos Storage
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat mengakses editan foto yang disimpan di direktori sementara
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2023-40456: Kirin (@Pwnrin)
CVE-2023-40520: Kirin (@Pwnrin)
Safari
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat mengidentifikasi app lain yang telah diinstal pengguna
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2023-35990: Adriatik Raci dari Sentry Cybersecurity
Safari
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: Membuka situs web yang berisi konten berbahaya dapat mengakibatkan spoofing UI
Deskripsi: Masalah pengelolaan jendela telah diatasi melalui pengelolaan kondisi yang ditingkatkan.
CVE-2023-40417: Narendra Bhati (twitter.com/imnarendrabhati) dari Suma Soft Pvt. Ltd, Pune (India)
Entri diperbarui pada 2 Januari 2024
Sandbox
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat menimpa file arbitrer
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)
Share Sheet
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat mengakses data rahasia yang tersimpan saat pengguna membagikan tautan
Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2023-41070: Kirin (@Pwnrin)
Simulator
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat memperoleh hak istimewa yang lebih tinggi
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2023-40419: Arsenii Kostromin (0x3c3e)
StorageKit
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat membaca file arbitrer
Deskripsi: Masalah ini telah diatasi dengan validasi symlink yang ditingkatkan.
CVE-2023-41968: Mickey Jin (@patch1t) dan James Hutchins
TCC
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat mengakses data rahasia pengguna
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2023-40424: Arsenii Kostromin (0x3c3e), Joshua Jewett (@JoshJewett33), dan Csaba Fitzl (@theevilbit) dari Offensive Security
WebKit
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: Pemrosesan konten web dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.
WebKit Bugzilla: 249451
CVE-2023-39434: Francisco Alonso (@revskills) dan Dohyun Lee (@l33d0hyun) dari PK Security
WebKit Bugzilla: 258992
CVE-2023-40414: Francisco Alonso (@revskills)
Entri diperbarui pada 2 Januari 2024
WebKit
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: Pemrosesan konten web dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
WebKit Bugzilla: 256551
CVE-2023-41074: 이준성 (Junsung Lee) dari Cross Republic dan Jie Ding (@Lime) dari HKUS3 Lab
Entri diperbarui pada 2 Januari 2024
WebKit
Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru
Dampak: Pemrosesan konten web dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
WebKit Bugzilla: 239758
CVE-2023-35074: Ajou University Abysslab Dong Jun Kim (@smlijun) dan Jong Seong Kim (@nevul37)
Entri diperbarui pada 2 Januari 2024
Ucapan terima kasih tambahan
Airport
Kami ingin mengucapkan terima kasih kepada Adam M., serta Noah Roskin-Frazee dan Profesor Jason Lau (ZeroClicks.ai Lab) atas bantuannya.
Audio
Kami ingin mengucapkan terima kasih kepada Mickey Jin (@patch1t) atas bantuannya.
Bluetooth
Kami ingin mengucapkan terima kasih kepada Jianjun Dai dan Guang Gong dari 360 Vulnerability Research Institute atas bantuannya.
Books
Kami ingin mengucapkan terima kasih kepada Aapo Oksman dari Nixu Cybersecurity atas bantuannya.
Control Center
Kami ingin mengucapkan terima kasih kepada Chester van den Bogaard atas bantuannya.
Data Detectors UI
Kami ingin mengucapkan terima kasih kepada Abhay Kailasia (@abhay_kailasia) dari Lakshmi Narain College Of Technology Bhopal atas bantuannya.
Find My
Kami ingin mengucapkan terima kasih kepada Cher Scarlett atas bantuannya.
Home
Kami ingin mengucapkan terima kasih kepada Jake Derouin (jakederouin.com) atas bantuannya.
IOUserEthernet
Kami ingin mengucapkan terima kasih kepada Tim Certik Skyfall atas bantuannya.
Entri ditambahkan pada 2 Januari 2024
Kernel
Kami ingin mengucapkan terima kasih kepada Bill Marczak dari The Citizen Lab di Munk School The University of Toronto, Maddie Stone dari Threat Analysis Group di Google, dan 永超 王 atas bantuannya.
libxml2
Kami ingin mengucapkan terima kasih kepada OSS-Fuzz, dan Ned Williamson dari Google Project Zero atas bantuannya.
libxpc
Kami ingin mengucapkan terima kasih kepada peneliti anonim atas bantuannya.
libxslt
Kami ingin mengucapkan terima kasih kepada Dohyun Lee (@l33d0hyun) dari PK Security, OSS-Fuzz, dan Ned Williamson dari Google Project Zero atas bantuannya.
NSURL
Kami ingin mengucapkan terima kasih kepada Zhanpeng Zhao (行之) dan 糖豆爸爸 (@晴天组织) atas bantuannya.
Photos
Kami ingin mengucapkan terima kasih kepada Dawid Pałuska dan Kirin (@Pwnrin) atas bantuannya.
Photos Storage
Kami ingin mengucapkan terima kasih kepada Wojciech Regula dari SecuRing (wojciechregula.blog) atas bantuannya.
Power Services
Kami ingin mengucapkan terima kasih kepada Mickey Jin (@patch1t) atas bantuannya.
Shortcuts
Kami ingin mengucapkan terima kasih kepada Alfie CG, Christian Basting dari Bundesamt für Sicherheit in der Informationstechnik, Cristian Dinca dari “Tudor Vianu” National High School of Computer Science, Romania, Giorgos Christodoulidis, Jubaer Alnazi dari Grup Perusahaan TRS, KRISHAN KANT DWIVEDI (@xenonx7), dan Matthew Butler atas bantuannya.
Entri diperbarui pada 24 April 2024
Software Update
Kami ingin mengucapkan terima kasih kepada Omar Siman atas bantuannya.
StorageKit
Kami ingin mengucapkan terima kasih kepada Mickey Jin (@patch1t) atas bantuannya.
WebKit
Kami ingin mengucapkan terima kasih kepada Khiem Tran, Narendra Bhati dari Suma Soft Pvt. Ltd., dan peneliti anonim atas bantuannya.