Over de beveiligingsinhoud van watchOS 10.1

In dit artikel wordt de beveiligingsinhoud van watchOS 10.1 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

watchOS 10.1

Releasedatum: 25 oktober 2023

Core Recents

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: het probleem is verholpen door de logboekregistratie op te schonen

CVE-2023-42823

Toegevoegd op 16 februari 2024

Find My

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een app kan vertrouwelijke locatiegegevens lezen

Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.

CVE-2023-40413: Adam M.

Find My

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een privacyprobleem is verholpen door verbeterde verwerking van bestanden.

CVE-2023-42834: Csaba Fitzl (@theevilbit) van Offensive Security

Toegevoegd op 16 februari 2024

Game Center

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een machtigingsprobleem is verholpen met aanvullende beperkingen.

CVE-2023-42953: Michael (Biscuit) Thomas - @biscuit@social.lol

Toegevoegd op 16 februari 2024

ImageIO

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot heapbeschadiging

Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.

CVE-2023-42848: JZ

Toegevoegd op 16 februari 2024

Kernel

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een aanvaller die het uitvoeren van kernelcode al heeft bereikt, kan kernelgeheugenbeperkingen omzeilen

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2023-42849: Linus Henze van Pinauten GmbH (pinauten.de)

libxpc

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een kwaadaardige app kan rootbevoegdheden verkrijgen

Beschrijving: dit probleem is verholpen door verbeterde verwerking van symlinks.

CVE-2023-42942: Mickey Jin (@patch1t)

Toegevoegd op 16 februari 2024

Mail Drafts

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: 'Verberg mijn e-mailadres' wordt mogelijk onverwacht uitgeschakeld

Beschrijving: een probleem met een inconsistente gebruikersinterface is verholpen door verbeterd statusbeheer.

CVE-2023-40408: Grzegorz Riegel

mDNSResponder

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een apparaat kan passief worden gevolgd via het wifi-MAC-adres

Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.

CVE-2023-42846: Talal Haj Bakry en Tommy Mysk van Mysk Inc. @mysk_co

Sandbox

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2023-42839: Yiğit Can YILMAZ (@yilmazcanyigit)

Toegevoegd op 16 februari 2024

Share Sheet

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een privacyprobleem is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.

CVE-2023-42878: Kirin (@Pwnrin), Wojciech Regula van SecuRing (wojciechregula.blog), en Cristian Dinca van "Tudor Vianu" National High School of Computer Science, Roemenië

Toegevoegd op 16 februari 2024

Siri

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een aanvaller met fysieke toegang kan mogelijk Siri gebruiken om toegang te krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: dit probleem is verholpen door de aangeboden opties op een vergrendeld apparaat te beperken.

CVE-2023-41982: Bistrit Dahal

CVE-2023-41997: Bistrit Dahal

CVE-2023-41988: Bistrit Dahal

Bijgewerkt op 16 februari 2024

Siri

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een app kan vertrouwelijke gebruikersinformatie vrijgeven

Beschrijving: dit probleem is verholpen door een verbeterde manier van onleesbaar maken van vertrouwelijke informatie.

CVE-2023-42946

Toegevoegd op 16 februari 2024

Weather

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een privacyprobleem is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.

CVE-2023-41254: Cristian Dinca van 'Tudor Vianu' National High School of Computer Science, Roemenië

WebKit

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: het verwerken van webmateriaal kan leiden tot het uitvoeren van willekeurige code

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

WebKit Bugzilla: 259836

CVE-2023-40447: 이준성 (Junsung Lee) van Cross Republic

WebKit

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: het verwerken van webmateriaal kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

WebKit Bugzilla: 259890

CVE-2023-41976: 이준성(Junsung Lee)

WebKit

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: het verwerken van webmateriaal kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

WebKit Bugzilla: 260173

CVE-2023-42852: Pedro Ribeiro (@pedrib1337) en Vitor Pedreira (@0xvhp_) van Agile Information Security

Bijgewerkt op 16 februari 2024

Aanvullende erkenning

VoiceOver

Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College Of Technology Bhopal India voor de hulp.

WebKit

Met dank aan een anonieme onderzoeker voor de hulp.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: