Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
watchOS 9.3
Wydano 23 stycznia 2023 r.
AppleMobileFileIntegrity
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie pominąć ustawienia prywatności.
Opis: ten błąd naprawiono przez poprawienie sprawdzania w celu uniemożliwienia wykonywania nieautoryzowanych czynności.
CVE-2023-32438: Csaba Fitzl (@theevilbit) z Offensive Security i Mickey Jin (@patch1t)
Wpis dodano 5 września 2023 r.
AppleMobileFileIntegrity
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: ten problem naprawiono przez włączenie wzmocnionego środowiska wykonawczego.
CVE-2023-23499: Wojciech Reguła z SecuRing (wojciechregula.blog)
Crash Reporter
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: użytkownik może być w stanie odczytywać dowolne pliki jako użytkownik root.
Opis: usunięto sytuację wyścigu przez wprowadzenie dodatkowego sprawdzania poprawności.
CVE-2023-23520: Cees Elzinga
Wpis dodano 6 czerwca 2023 r.
FontParser
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: przetworzenie Pliku czcionki może doprowadzić do wykonania dowolnego kodu. Apple ma świadomość, że problem mógł być aktywnie wykorzystywany w atakach na systemy iOS wydane przed systemem iOS 15.7.1.
Opis: ten problem rozwiązano przez poprawienie obsługi pamięci podręcznych.
CVE-2023-41990: Apple
Wpis dodano 8 września 2023 r.
ImageIO
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: przetworzenie obrazu może doprowadzić do ataku typu „odmowa usługi”.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.
CVE-2023-23519: Meysam Firouzi @R00tkitSMM z Mbition Mercedes-Benz Innovation Lab, Yiğit Can YILMAZ (@yilmazcanyigit) i jzhu w ramach programu Zero Day Initiative firmy Trend Micro
Wpis uaktualniono 5 września 2023 r.
Kernel
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie ujawnić poufny stan jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2023-23500: Pan ZhenPeng (@Peterpan0927) z STAR Labs SG Pte. Ltd. (@starlabs_sg)
Kernel
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie określić rozkład pamięci jądra.
Opis: usunięto błąd powodujący ujawnianie informacji przez usunięcie kodu związanego z luką w zabezpieczeniach.
CVE-2023-23502: Pan ZhenPeng (@Peterpan0927) z STAR Labs SG Pte. Ltd. (@starlabs_sg)
Kernel
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2023-23504: Adam Doupé z ASU SEFCOM
Maps
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie pominąć ustawienia prywatności.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2023-23503: anonimowy badacz
Safari
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: odwiedzenie witryny internetowej może doprowadzić do ataku typu „odmowa usługi” ze strony aplikacji.
Opis: ten problem rozwiązano przez poprawienie obsługi pamięci podręcznych.
CVE-2023-23512: Adriatik Raci
Screen Time
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do informacji o kontaktach użytkownika.
Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.
CVE-2023-23505: Wojciech Regula z SecuRing (wojciechregula.blog) i Csaba Fitzl (@theevilbit) z Offensive Security
Wpis uaktualniono 6 czerwca 2023 r.
Weather
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie pominąć ustawienia prywatności.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2023-23511: Wojciech Regula z SecuRing (wojciechregula.blog), anonimowy badacz
WebKit
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: przetworzenie zawartości internetowej może spowodować wykonanie dowolnego kodu.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
WebKit Bugzilla: 248885
CVE-2023-32393: Francisco Alonso (@revskills)
Wpis dodano 28 czerwca 2023 r.
WebKit
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: dokument HTML może być w stanie renderować ramki iframe zawierające poufne informacje użytkownika.
Opis: ten błąd naprawiono przez poprawienie wymuszania piaskownicy iframe.
WebKit Bugzilla: 241753
CVE-2022-0108: Luan Herrera (@lbherrera_)
Wpis dodano 6 czerwca 2023 r.
WebKit
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
WebKit Bugzilla: 245464
CVE-2023-23496: ChengGang Wu, Yan Kang, YuHao Hu, Yue Sun, Jiming Wang, JiKai Ren i Hang Shu z Institute of Computing Technology, Chinese Academy of Sciences
WebKit
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
WebKit Bugzilla: 248268
CVE-2023-23518: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) z Team ApplePIE
WebKit Bugzilla: 248268
CVE-2023-23517: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) z Team ApplePIE
Dodatkowe podziękowania
AppleMobileFileIntegrity
Dziękujemy za udzieloną pomoc: Csaba Fitzl (@theevilbit) z Offensive Security.
Wpis dodano 6 czerwca 2023 r.
Core Data
Dziękujemy za udzieloną pomoc: Austin Emmitt (@alkalinesec), Senior Security Researcher w Trellix Advanced Research Center.
Wpis dodano 8 września 2023 r.
Kernel
Dziękujemy za udzieloną pomoc: Nick Stenning z Replicate.
WebKit
Dziękujemy za udzieloną pomoc: Eliya Stein z Confiant.