Over de beveiligingsinhoud van watchOS 10.1
In dit artikel wordt de beveiligingsinhoud van watchOS 10.1 beschreven.
Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.
Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.
watchOS 10.1
Releasedatum: 25 oktober 2023
Core Recents
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: het probleem is verholpen door de logboekregistratie op te schonen
CVE-2023-42823
Toegevoegd op 16 februari 2024
Find My
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan vertrouwelijke locatiegegevens lezen
Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.
CVE-2023-40413: Adam M.
Find My
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: een privacyprobleem is verholpen door verbeterde verwerking van bestanden.
CVE-2023-42834: Csaba Fitzl (@theevilbit) van Offensive Security
Toegevoegd op 16 februari 2024
Game Center
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: een machtigingsprobleem is verholpen met aanvullende beperkingen.
CVE-2023-42953: Michael (Biscuit) Thomas - @biscuit@social.lol
Toegevoegd op 16 februari 2024
ImageIO
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot heapbeschadiging
Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.
CVE-2023-42848: JZ
Toegevoegd op 16 februari 2024
Kernel
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een aanvaller die het uitvoeren van kernelcode al heeft bereikt, kan kernelgeheugenbeperkingen omzeilen
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2023-42849: Linus Henze van Pinauten GmbH (pinauten.de)
libxpc
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een kwaadaardige app kan rootbevoegdheden verkrijgen
Beschrijving: dit probleem is verholpen door verbeterde verwerking van symlinks.
CVE-2023-42942: Mickey Jin (@patch1t)
Toegevoegd op 16 februari 2024
Mail Drafts
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: 'Verberg mijn e-mailadres' wordt mogelijk onverwacht uitgeschakeld
Beschrijving: een probleem met een inconsistente gebruikersinterface is verholpen door verbeterd statusbeheer.
CVE-2023-40408: Grzegorz Riegel
mDNSResponder
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een apparaat kan passief worden gevolgd via het wifi-MAC-adres
Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.
CVE-2023-42846: Talal Haj Bakry en Tommy Mysk van Mysk Inc. @mysk_co
Sandbox
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.
CVE-2023-42839: Yiğit Can YILMAZ (@yilmazcanyigit)
Toegevoegd op 16 februari 2024
Share Sheet
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: een privacyprobleem is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.
CVE-2023-42878: Kirin (@Pwnrin), Wojciech Regula van SecuRing (wojciechregula.blog), en Cristian Dinca van "Tudor Vianu" National High School of Computer Science, Roemenië
Toegevoegd op 16 februari 2024
Siri
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een aanvaller met fysieke toegang kan mogelijk Siri gebruiken om toegang te krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: dit probleem is verholpen door de aangeboden opties op een vergrendeld apparaat te beperken.
CVE-2023-41982: Bistrit Dahal
CVE-2023-41997: Bistrit Dahal
CVE-2023-41988: Bistrit Dahal
Bijgewerkt op 16 februari 2024
Siri
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan vertrouwelijke gebruikersinformatie vrijgeven
Beschrijving: dit probleem is verholpen door een verbeterde manier van onleesbaar maken van vertrouwelijke informatie.
CVE-2023-42946
Toegevoegd op 16 februari 2024
Weather
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: een privacyprobleem is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.
CVE-2023-41254: Cristian Dinca van 'Tudor Vianu' National High School of Computer Science, Roemenië
WebKit
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: het verwerken van webmateriaal kan leiden tot het uitvoeren van willekeurige code
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
WebKit Bugzilla: 259836
CVE-2023-40447: 이준성 (Junsung Lee) van Cross Republic
WebKit
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: het verwerken van webmateriaal kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.
WebKit Bugzilla: 259890
CVE-2023-41976: 이준성(Junsung Lee)
WebKit
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: het verwerken van webmateriaal kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een logicaprobleem is verholpen door verbeterde controles.
WebKit Bugzilla: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) en Vitor Pedreira (@0xvhp_) van Agile Information Security
Bijgewerkt op 16 februari 2024
Aanvullende erkenning
VoiceOver
Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College Of Technology Bhopal India voor de hulp.
WebKit
Met dank aan een anonieme onderzoeker voor de hulp.
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.