Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.
Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.
watchOS 10
Releasedatum: 18 september 2023
App Store
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een externe aanvaller kan buiten de webmateriaal-sandbox komen
Beschrijving: het probleem is verholpen door verbeterde verwerking van protocollen.
CVE-2023-40448: w0wbox
Apple Neural Engine
Beschikbaar voor apparaten met Apple Neural Engine: Apple Watch Series 9 en Apple Watch Ultra 2
Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2023-40432: Mohamed GHANNAM (@_simo36)
CVE-2023-41174: Mohamed GHANNAM (@_simo36)
CVE-2023-40409: Ye Zhang (@VAR10CK) van Baidu Security
CVE-2023-40412: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
Beschikbaar voor apparaten met Apple Neural Engine: Apple Watch Series 9 en Apple Watch Ultra 2
Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.
CVE-2023-41071: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
Beschikbaar voor apparaten met Apple Neural Engine: Apple Watch Series 9 en Apple Watch Ultra 2
Impact: een app kan mogelijk het kernelgeheugen vrijgeven
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2023-40399: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
Beschikbaar voor apparaten met Apple Neural Engine: Apple Watch Series 9 en Apple Watch Ultra 2
Impact: een app kan mogelijk het kernelgeheugen vrijgeven
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2023-40410: Tim Michaud (@TimGMichaud) van Moveworks.ai
AuthKit
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.
CVE-2023-32361: Csaba Fitzl (@theevilbit) van Offensive Security
Bluetooth
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een aanvaller in fysieke nabijheid kan een beperkte schrijfbewerking buiten bereik veroorzaken
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2023-35984: zer0k
bootp
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan vertrouwelijke locatiegegevens lezen
Beschrijving: een privacyprobleem is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.
CVE-2023-41065: Adam M., Noah Roskin-Frazee en Professor Jason Lau (ZeroClicks.ai Lab)
CFNetwork
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app dwingt mogelijk App Transport Security niet af
Beschrijving: het probleem is verholpen door verbeterde verwerking van protocollen.
CVE-2023-38596: Will Brattain van Trail of Bits
CoreAnimation
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: het verwerken van webmateriaal kan leiden tot een denial-of-service
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2023-40420: 이준성(Junsung Lee) van Cross Republic
Core Data
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan mogelijk privacyvoorkeuren omzeilen
Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.
CVE-2023-40528: Kirin (@Pwnrin) van NorthSea
Toegevoegd op 22 januari 2024
Dev Tools
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan toegang krijgen tot verhoogde bevoegdheden
Beschrijving: dit probleem is verholpen door verbeterde controles.
CVE-2023-32396: Mickey Jin (@patch1t)
Game Center
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan mogelijk toegang krijgen tot contacten
Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.
CVE-2023-40395: Csaba Fitzl (@theevilbit) van Offensive Security
Kernel
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een aanvaller die het uitvoeren van kernelcode al heeft bereikt, kan kernelgeheugenbeperkingen omzeilen
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2023-41981: Linus Henze van Pinauten GmbH (pinauten.de)
Kernel
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) van STAR Labs SG Pte. Ltd.
Kernel
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: een bevoegdhedenprobleem is verholpen door verbeterde validatie.
CVE-2023-40429: Michael (Biscuit) Thomas en 张师傅(@京东蓝军)
libpcap
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een externe gebruiker kan het onverwacht beëindigen van de app of het uitvoeren van willekeurige code veroorzaken
Beschrijving: dit probleem is verholpen door verbeterde controles.
CVE-2023-40400: Sei K.
libxpc
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan mogelijk bestanden verwijderen waarvoor deze geen bevoegdheid heeft
Beschrijving: een machtigingsprobleem is verholpen met aanvullende beperkingen.
CVE-2023-40454: Zhipeng Huo (@R3dF09) van Tencent Security Xuanwu Lab (xlab.tencent.com)
libxpc
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan toegang krijgen tot beschermde gebruikersgegevens
Beschrijving: een autorisatieprobleem is verholpen door verbeterd statusbeheer.
CVE-2023-41073: Zhipeng Huo (@R3dF09) van Tencent Security Xuanwu Lab (xlab.tencent.com)
libxslt
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: het verwerken van webmateriaal kan leiden tot openbaarmaking van vertrouwelijke informatie
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2023-40403: Dohyun Lee (@l33d0hyun) van PK Security
Maps
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan vertrouwelijke locatiegegevens lezen
Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.
CVE-2023-40427: Adam M. en Wojciech Regula van SecuRing (wojciechregula.blog)
MobileStorageMounter
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een gebruiker kan de bevoegdheden verhogen
Beschrijving: een toegangsprobleem is verholpen door verbeterde toegangsbeperkingen.
CVE-2023-41068: Mickey Jin (@patch1t)
Passcode
Beschikbaar voor: Apple Watch Ultra (alle modellen)
Impact: een Apple Watch Ultra wordt mogelijk niet vergrendeld wanneer de Diepte-app wordt gebruikt
Beschrijving: een probleem met identiteitscontrole is verholpen door verbeterd statusbeheer.
CVE-2023-40418: serkan Gurbuz
Photos Storage
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan mogelijk toegang krijgen tot bewerkte foto's die zijn opgeslagen in een tijdelijke map
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2023-40456: Kirin (@Pwnrin)
CVE-2023-40520: Kirin (@Pwnrin)
Safari
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan mogelijk identificeren welke andere apps een gebruiker heeft geïnstalleerd
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2023-35990: Adriatik Raci of Sentry Cybersecurity
Safari
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een bezoek aan een website met kwaadaardige inhoud kan leiden tot het vervalsen van de gebruikersinterface
Beschrijving: een probleem met vensterbeheer is verholpen door verbeterd statusbeheer.
CVE-2023-40417: Narendra Bhati (twitter.com/imnarendrabhati) van Suma Soft Pvt. Ltd, Pune (India)
Bijgewerkt op 2 januari 2024
Sandbox
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan mogelijk willekeurige bestanden overschrijven
Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.
CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)
Share Sheet
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan mogelijk gevoelige gegevens openen die geregistreerd worden wanneer een gebruiker een link deelt
Beschrijving: een logicaprobleem is verholpen door verbeterde controles.
CVE-2023-41070: Kirin (@Pwnrin)
Simulator
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan toegang krijgen tot verhoogde bevoegdheden
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2023-40419: Arsenii Kostromin (0x3c3e)
StorageKit
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan mogelijk willekeurige bestanden lezen
Beschrijving: dit probleem is verholpen door een verbeterde validatie van symlinks.
CVE-2023-41968: Mickey Jin (@patch1t) en James Hutchins
TCC
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2023-40424: Arsenii Kostromin (0x3c3e), Joshua Jewett (@JoshJewett33), en Csaba Fitzl (@theevilbit) van Offensive Security
WebKit
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: het verwerken van webmateriaal kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.
WebKit Bugzilla: 249451
CVE-2023-39434: Francisco Alonso (@revskills), en Dohyun Lee (@l33d0hyun) van PK Security
WebKit Bugzilla: 258992
CVE-2023-40414: Francisco Alonso (@revskills)
Bijgewerkt op 2 januari 2024
WebKit
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: het verwerken van webmateriaal kan leiden tot het uitvoeren van willekeurige code
Beschrijving: het probleem is verholpen door verbeterde controles.
WebKit Bugzilla: 256551
CVE-2023-41074: 이준성(Junsung Lee) van Cross Republic en Jie Ding (@Lime) van HKUS3 Lab
Bijgewerkt op 2 januari 2024
WebKit
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: het verwerken van webmateriaal kan leiden tot het uitvoeren van willekeurige code
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
WebKit Bugzilla: 239758
CVE-2023-35074: Ajou University Abysslab Dong Jun Kim (@smlijun) en Jong Seong Kim (@nevul37)
Bijgewerkt op 2 januari 2024
Aanvullende erkenning
Airport
Met dank aan Adam M., Noah Roskin-Frazee en Professor Jason Lau (ZeroClicks.ai Lab) voor de hulp.
Audio
Met dank aan Mickey Jin (@patch1t) voor de hulp.
Bluetooth
Met dank aan Jianjun Dai en Guang Gong van 360 Vulnerability Research Institute voor de hulp.
Books
Met dank aan Aapo Oksman van Nixu Cybersecurity voor de hulp.
Control Center
Met dank aan Chester van den Bogaard voor de hulp.
Data Detectors UI
Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College Of Technology Bhopal voor de hulp.
Find My
Met dank aan Cher Scarlett voor de hulp.
Home
Met dank aan Jake Derouin (jakederouin.com) voor de hulp.
IOUserEthernet
Met dank aan Certik Skyfall Team voor de hulp.
Toegevoegd op 2 januari 2024
Kernel
Met dank aan Bill Marczak van The Citizen Lab aan de The University of Toronto's Munk School en Maddie Stone van Google's Threat Analysis Group, en 永超 王 voor de hulp.
libxml2
Met dank aan OSS-Fuzz en Ned Williamson van Google Project Zero voor de hulp.
libxpc
Met dank aan een anonieme onderzoeker voor de hulp.
libxslt
Met dank aan Dohyun Lee (@l33d0hyun) van PK Security, OSS-Fuzz en Ned Williamson van Google Project Zero voor de hulp.
NSURL
Met dank aan Zhanpeng Zhao (行之) en 糖豆爸爸(@晴天组织) voor de hulp.
Photos
Met dank aan Dawid Pałuska en Kirin (@Pwnrin) voor de hulp.
Photos Storage
Met dank aan Wojciech Regula van SecuRing (wojciechregula.blog) voor de hulp.
Power Services
Met dank aan Mickey Jin (@patch1t) voor de hulp.
Shortcuts
Met dank aan Alfie CG, Christian Basting van Bundesamt für Sicherheit in der Informationstechnik, Cristian Dinca van 'Tudor Vianu' National High School of Computer Science, Roemenië, Giorgos Christodoulidis, Jubaer Alnazi van TRS Group Of Companies, KRISHAN KANT DWIVEDI (@xenonx7) en Matthew Butler voor de hulp.
Bijgewerkt op 24 april 2024
Software Update
Met dank aan Omar Siman voor de hulp.
StorageKit
Met dank aan Mickey Jin (@patch1t) voor de hulp.
WebKit
Met dank aan Khiem Tran, Narendra Bhati van Suma Soft Pvt. Ltd. en een anonieme onderzoeker voor de hulp.