Zawartość związana z zabezpieczeniami w systemie watchOS 9.6

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie watchOS 9.6.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

watchOS 9.6

Apple Neural Engine

Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2023-34425: pattern-f (@pattern_F_) z Ant Security Light-Year Lab

Apple Neural Engine

Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2023-38136: Mohamed GHANNAM (@_simo36)

CVE-2023-38580: Mohamed GHANNAM (@_simo36)

Find My

Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli

Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.

Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.

CVE-2023-32416: Wojciech Reguła z SecuRing (wojciechregula.blog)

Kernel

Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli

Zagrożenie: użytkownik zdalny może być w stanie spowodować nieoczekiwane zamknięcie systemu lub uszkodzenie zawartości pamięci jądra.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

CVE-2023-38590: Zweig z Kunlun Lab

Kernel

Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.

CVE-2023-38598: Mohamed GHANNAM (@_simo36)

Kernel

Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd przekroczenia zakresu liczb całkowitych przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2023-36495: 香农的三蹦子 z Pangu Lab

Kernel

Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2023-38604: anonimowy badacz

Kernel

Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2023-32734: Pan ZhenPeng (@Peterpan0927) ze STAR Labs SG Pte. Ltd.

CVE-2023-32441: Peter Nguyễn Vũ Hoàng (@peternguyen14) ze STAR Labs SG Pte. Ltd.

Kernel

Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.

CVE-2023-32381: anonimowy badacz

CVE-2023-32433: Zweig z Kunlun Lab

CVE-2023-35993: Kaitao Xie i Xiaolong Bai z Alibaba Group

Kernel

Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli

Zagrożenie: aplikacja może być w stanie zmodyfikować poufny stan jądra. Apple ma świadomość, że problem mógł być aktywnie wykorzystywany w atakach na systemy iOS wydane przed systemem iOS 15.7.1.

Opis: ten problem naprawiono przez poprawienie zarządzania stanem.

CVE-2023-38606: Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) i Boris Larin (@oct0xor) z Kaspersky

libxpc

Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli

Zagrożenie: aplikacja może być w stanie uzyskać uprawnienia użytkownika root.

Opis: usunięto błąd w procedurze obsługi wyrażeń przez poprawienie procedury sprawdzania poprawności.

CVE-2023-38565: Zhipeng Huo (@R3dF09) z Tencent Security Xuanwu Lab (xlab.tencent.com)

libxpc

Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli

Zagrożenie: aplikacja może doprowadzić do ataku typu „odmowa usługi”

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2023-38593: Noah Roskin-Frazee

WebKit

Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli

Zagrożenie: witryna internetowa może być w stanie ujawnić poufne informacje użytkownika.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

WebKit Bugzilla: 257822

CVE-2023-38599: Hritvik Taneja, Jason Kim, Jie Jeff Xu, Stephan van Schaik, Daniel Genkin i Yuval Yarom

WebKit

Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli

Zagrożenie: przetworzenie dokumentu może spowodować atak XSS (cross-site-scripting).

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

WebKit Bugzilla: 257299

CVE-2023-32445: Johan Carlsson (joaxcar)

WebKit

Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli

Zagrożenie: przetworzenie zawartości internetowej może spowodować wykonanie dowolnego kodu.

Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.

WebKit Bugzilla: 257331

CVE-2023-38592: Narendra Bhati (twitter.com/imnarendrabhati) z Suma Soft Pvt. Ltd, Pune — Indie, Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina i Lorenzo Veronese z TU Wien

WebKit

Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli

Zagrożenie: witryna internetowa może być w stanie ominąć zasadę tego samego pochodzenia.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2023-38572: Narendra Bhati (twitter.com/imnarendrabhati) z Suma Soft Pvt. Ltd, Pune — Indie

WebKit

Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli

Zagrożenie: przetworzenie zawartości internetowej może spowodować wykonanie dowolnego kodu.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2023-38594: Yuhao Hu

CVE-2023-38595: anonimowy badacz, Jiming Wang, Jikai Ren

CVE-2023-38600: anonimowy użytkownik w ramach programu Zero Day Initiative firmy Trend Micro

WebKit

Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli

Zagrożenie: przetworzenie zawartości internetowej może spowodować wykonanie dowolnego kodu.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2023-38611: Francisco Alonso (@revskills)

WebKit

Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli

Zagrożenie: przetwarzanie zawartości internetowej mogło spowodować wykonanie dowolnego kodu. Apple ma świadomość, że problem mógł być aktywnie wykorzystywany.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2023-37450: anonimowy badacz

WebKit

Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli

Zagrożenie: przetworzenie zawartości internetowej może spowodować wykonanie dowolnego kodu.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2023-42866: Francisco Alonso (@revskills) i Junsung Lee

WebKit Web Inspector

Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli

Zagrożenie: przetworzenie zawartości internetowej może ujawnić poufne informacje.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2023-38133: YeongHyeon Choi (@hyeon101010)

Dodatkowe podziękowania

WebKit

Dziękujemy za udzieloną pomoc: Narendra Bhati (twitter.com/imnarendrabhati) z Suma Soft Pvt. Ltd, Pune — Indie.