Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apples sikkerhetsutgivelser.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
watchOS 10.1
Utgitt 25. oktober 2023
Core Recents
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon
Beskrivelse: Problemet ble løst ved å rense loggføringen
CVE-2023-42823
Oppføring lagt til 16. februar 2024
Find My
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan få tilgang til sensitiv stedsinformasjon
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av buffere.
CVE-2023-40413: Adam M.
Find My
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan få tilgang til sensitive brukerdata
Beskrivelse: Et problem med personvern ble løst gjennom forbedret behandling av filer.
CVE-2023-42834: Csaba Fitzl (@theevilbit) fra Offensive Security
Oppføring lagt til 16. februar 2024
Game Center
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan få tilgang til sensitive brukerdata
Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.
CVE-2023-42953: Michael (Biscuit) Thomas – @biscuit@social.lol
Oppføring lagt til 16. februar 2024
ImageIO
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: Behandling av et skadelig bilde kan føre til skade i heapen
Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.
CVE-2023-42848: JZ
Oppføring lagt til 16. februar 2024
Kernel
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En angriper som allerede har oppnådd kjernekodekjøring, kan være i stand til å forbigå skadebegrensende tiltak for kjerneminnet
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-42849: Linus Henze fra Pinauten GmbH (pinauten.de)
libxpc
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En skadelig app kan bli i stand til å få rotrettigheter
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av symlinks.
CVE-2023-42942: Mickey Jin (@patch1t)
Oppføring lagt til 16. februar 2024
Mail Drafts
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: Skjul e-postadressen min kan bli deaktivert uventet
Beskrivelse: Et problem med inkonsistent brukergrensesnitt ble løst gjennom forbedret tilstandshåndtering.
CVE-2023-40408: Grzegorz Riegel
mDNSResponder
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En enhet kan bli sporet passivt ved bruk av MAC-adressen for Wi-Fi
Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.
CVE-2023-42846: Talal Haj Bakry og Tommy Mysk fra Mysk Inc. @mysk_co
Sandbox
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan få tilgang til sensitive brukerdata
Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.
CVE-2023-42839: Yiğit Can YILMAZ (@yilmazcanyigit)
Oppføring lagt til 16. februar 2024
Share Sheet
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan få tilgang til sensitive brukerdata
Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.
CVE-2023-42878: Kirin (@Pwnrin), Wojciech Regula fra SecuRing (wojciechregula.blog) og Cristian Dinca fra Tudor Vianu nasjonale informatikkhøyskole i Romania
Oppføring lagt til 16. februar 2024
Siri
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En angriper med fysisk tilgang kan bruke Siri til å få tilgang til sensitive brukeropplysninger
Beskrivelse: Dette problemet ble løst gjennom begrensning av valgene som tilbys på en låst enhet.
CVE-2023-41982: Bistrit Dahal
CVE-2023-41997: Bistrit Dahal
CVE-2023-41988: Bistrit Dahal
Oppføring oppdatert 16. februar 2024
Siri
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan kanskje lekke sensitiv brukerinformasjon
Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.
CVE-2023-42946
Oppføring lagt til 16. februar 2024
Weather
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan få tilgang til sensitive brukerdata
Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.
CVE-2023-41254: Cristian Dinca fra «Tudor Vianu» National High School of Computer Science, Romania
WebKit
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: Behandling av nettinnhold kan føre til kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
WebKit Bugzilla: 259836
CVE-2023-40447: 이준성(Junsung Lee) fra Cross Republic
WebKit
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: Behandling av nettinnhold kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.
WebKit Bugzilla: 259890
CVE-2023-41976: 이준성(Junsung Lee)
WebKit
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: Behandling av nettinnhold kan føre til kjøring av vilkårlig kode
Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.
WebKit Bugzilla: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) og Vitor Pedreira (@0xvhp_) fra Agile Information Security
Oppføring oppdatert 16. februar 2024
Ytterligere anerkjennelser
VoiceOver
Vi vil gjerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College Of Technology Bhopal i India for hjelpen.
WebKit
Vi vil gjerne takke en anonym forsker for hjelpen.