Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
watchOS 9.4
Utgitt 27. mars 2023
AppleMobileFileIntegrity
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En bruker kan få tilgang til beskyttede deler av filsystemet
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-23527: Mickey Jin (@patch1t)
Calendar
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: Importering av en skadelig kalenderinvitasjon kan eksfiltrere brukerinformasjon
Beskrivelse: Flere valideringsproblemer ble løst gjennom forbedret inndatarensing.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
Camera
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En sandkasseapp kan være i stand til å finne ut hvilken app som bruker kameraet for øyeblikket
Beskrivelse: Problemet ble løst gjennom tilleggsbegrensninger for observerbarheten av apptilstander.
CVE-2023-23543: Yiğit Can YILMAZ (@yilmazcanyigit)
Oppføring lagt til 8. juni 2023
CoreCapture
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-28181: Tingting Yin fra Tsinghua University
Find My
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan få tilgang til sensitiv stedsinformasjon
Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.
CVE-2023-23537: Adam M.
CVE-2023-28195: Adam M.
Oppføring oppdatert 21. desember 2023
FontParser
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: Behandling av et skadelig bilde kan føre til at prosessminne avsløres
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-27956: Ye Zhang fra Baidu Security
Foundation
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: Parsing av en plist med skadelig utforming kan føre til uventet programavslutning eller kjøring av vilkårlig kode
Beskrivelse: En heltallsoverskridelse ble løst med forbedret validering av inndata.
CVE-2023-27937: en anonym forsker
Identity Services
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan være i stand til å få tilgang til informasjon om en brukers kontakter
Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.
CVE-2023-27928: Csaba Fitzl (@theevilbit) fra Offensive Security
ImageIO
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: Behandling av et skadelig bilde kan føre til at prosessminne avsløres
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-23535: ryuzaki
ImageIO
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: Behandling av et skadelig bilde kan føre til at prosessminne avsløres
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2023-27929: Meysam Firouzi (@R00tkitSMM) fra Mbition Mercedes-Benz Innovation Lab og jzhu i samarbeid med Trend Micro Zero Day Initiative
ImageIO
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: Behandling av et bilde kan føre til at prosessminne avsløres
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2023-42862: Meysam Firouzi @R00tkitSMM
CVE-2023-42865: jzhu i samarbeid med Trend Micro Zero Day Initiative og Meysam Firouzi (@R00tkitSMM) fra Mbition Mercedes-Benz Innovation Lab
Oppføring lagt til 21. desember 2023
Kernel
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedret grenseverdikontroll.
CVE-2023-23536: Félix Poulin-Bélanger og David Pan Ogea
Oppføring lagt til 8. juni 2023, oppdatert 21. desember 2023
Kernel
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2023-27969: Adam Doupé fra ASU SEFCOM
Kernel
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app med rotrettigheter kan være i stand til å kjøre utilsiktet kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-27933: sqrtpwn
Kernel
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan være i stand til å forårsake tjenestenekt
Beskrivelse: Et problem med heltallsoverflyt ble løst gjennom forbedret validering av inndata.
CVE-2023-28185: Pan ZhenPeng (@) fra STAR Labs SG Pte. Ltd.
Oppføring lagt til 21. desember 2023
Kernel
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En angriper som allerede har oppnådd kjernekodekjøring, kan være i stand til å forbigå skadebegrensende tiltak for kjerneminnet
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-32424: Zechao Cai (@Zech4o) fra Zhejiang-universitetet
Oppføring lagt til 21. desember 2023
Podcasts
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-27942: Mickey Jin (@patch1t)
Sandbox
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan være i stand til å omgå personvernpreferanser
Beskrivelse: Et logisk problem ble løst gjennom forbedret validering.
CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)
Oppføring lagt til 8. juni 2023
Shortcuts
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En snarvei kan være i stand til å bruke sensitive opplysninger gjennom visse handlinger uten å spørre brukeren
Beskrivelse: Problemet ble løst gjennom flere tillatelseskontroller.
CVE-2023-27963: Jubaer Alnazi Jabin fra TRS Group Of Companies og Wenchao Li og Xiaolong Bai fra Alibaba Group
TCC
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon
Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.
CVE-2023-27931: Mickey Jin (@patch1t)
WebKit
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: Behandling av skadelig nettinnhold kan omgå regelen for samme opprinnelse (Same Origin)
Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.
WebKit Bugzilla: 248615
CVE-2023-27932: en anonym forsker
WebKit
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: Et nettsted kan være i stand til å spore sensitiv brukerinformasjon
Beskrivelse: Problemet ble løst ved å fjerne informasjon om opprinnelse.
WebKit Bugzilla: 250837
CVE-2023-27954: en anonym forsker
Ytterligere anerkjennelser
Activation Lock
Vi vil gjerne takke Christian Mina for hjelpen.
CFNetwork
Vi vil gjerne takke en anonym forsker for hjelpen.
CoreServices
Vi vil gjerne takke Mickey Jin (@patch1t) for hjelpen.
ImageIO
Vi vil gjerne takke Meysam Firouzi @R00tkitSMM for hjelpen.
Vi vil gjerne takke Chen Zhang, Fabian Ising fra Fachhochschule Münster, Damian Poddebniak fra Fachhochschule Münster, Tobias Kappert fra Fachhochschule Münster, Christoph Saatjohann fra Fachhochschule Münster, Sebast og Merlin Chlosta fra CISPA Helmholtz-Zentrum für Informationssicherheit for hjelpen.
Safari Downloads
Vi vil gjerne takke Andrew Gonzalez for hjelpen.
WebKit
Vi vil gjerne takke en anonym forsker for hjelpen.