Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
watchOS 10.1
Wydano 25 października 2023 r.
Core Recents
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: ten błąd naprawiono przez wyczyszczenie rejestru
CVE-2023-42823
Wpis dodano 16 lutego 2024 r.
Find My
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.
Opis: ten problem rozwiązano przez poprawienie obsługi pamięci podręcznych.
CVE-2023-40413: Adam M.
Find My
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: rozwiązano problem dotyczący prywatności przez ulepszenie obsługi plików.
CVE-2023-42834: Csaba Fitzl (@theevilbit) z Offensive Security
Wpis dodano 16 lutego 2024 r.
Game Center
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.
CVE-2023-42953: Michael (Biscuit) Thomas – @biscuit@social.lol
Wpis dodano 16 lutego 2024 r.
ImageIO
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu mogło doprowadzić do uszkodzenia sterty.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.
CVE-2023-42848: JZ
Wpis dodano 16 lutego 2024 r.
Kernel
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: osoba atakująca, która zaimplementowała już wykonywanie kodu jądra, może być w stanie ominąć środki ograniczające pamięć jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2023-42849: Linus Henze z Pinauten GmbH (pinauten.de)
libxpc
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie uzyskać uprawnienia użytkownika root
Opis: ten błąd naprawiono przez ulepszenie procedury obsługi łączy symbolicznych.
CVE-2023-42942: Mickey Jin (@patch1t)
Wpis dodano 16 lutego 2024 r.
Mail Drafts
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: funkcja Ukryj mój adres email może zostać nieoczekiwanie dezaktywowana.
Opis: usunięto błąd dotyczący niespójnego interfejsu użytkownika przez poprawienie mechanizmu zarządzania stanem.
CVE-2023-40408: Grzegorz Riegel
mDNSResponder
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: urządzenie może być śledzone pasywnie przy użyciu adresu MAC interfejsu Wi-Fi.
Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.
CVE-2023-42846: Talal Haj Bakry i Tommy Mysk z Mysk Inc. @mysk_co
Sandbox
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: ten problem naprawiono przez poprawienie zarządzania stanem.
CVE-2023-42839: Yiğit Can YILMAZ (@yilmazcanyigit)
Wpis dodano 16 lutego 2024 r.
Share Sheet
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.
CVE-2023-42878: Kirin (@Pwnrin), Wojciech Regula z SecuRing (wojciechregula.blog) i Cristian Dinca z „Tudor Vianu” National High School of Computer Science, Rumunia
Wpis dodano 16 lutego 2024 r.
Siri
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: osoba atakująca z fizycznym dostępem może być w stanie użyć Siri w celu uzyskania dostępu do poufnych danych użytkownika.
Opis: ten błąd usunięto przez ograniczenie opcji oferowanych na zablokowanym urządzeniu.
CVE-2023-41982: Bistrit Dahal
CVE-2023-41997: Bistrit Dahal
CVE-2023-41988: Bistrit Dahal
Wpis uaktualniono 16 lutego 2024 r.
Siri
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie ujawnić poufne informacje użytkownika.
Opis: ten błąd naprawiono przez poprawienie redagowania poufnych informacji.
CVE-2023-42946
Wpis dodano 16 lutego 2024 r.
Weather
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.
CVE-2023-41254: Cristian Dinca z Tudor Vianu National High School of Computer Science, Rumunia
WebKit
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: przetworzenie zawartości internetowej może spowodować wykonanie dowolnego kodu.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
WebKit Bugzilla: 259836
CVE-2023-40447: 이준성(Junsung Lee) z Cross Republic
WebKit
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: przetworzenie zawartości internetowej może spowodować wykonanie dowolnego kodu.
Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.
WebKit Bugzilla: 259890
CVE-2023-41976: 이준성(Junsung Lee)
WebKit
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: przetworzenie zawartości internetowej może spowodować wykonanie dowolnego kodu.
Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.
WebKit Bugzilla: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) i Vitor Pedreira (@0xvhp_) z Agile Information Security
Wpis uaktualniono 16 lutego 2024 r.
Dodatkowe podziękowania
VoiceOver
Dziękujemy za udzieloną pomoc: Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology Bhopal India.
WebKit
Dziękujemy anonimowemu badaczowi za pomoc.