Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
watchOS 10.3
Wydano 22 stycznia 2024 r.
Apple Neural Engine
Dostępne dla urządzeń z procesorem Apple Neural Engine: zegarków Apple Watch Series 9 i Apple Watch Ultra 2
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2024-23212: Ye Zhang z Baidu Security
CoreCrypto
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: atakujący może być w stanie odszyfrować teksty zaszyfrowane starszym algorytmem RSA PKCS#1 v1.5 bez posiadania klucza prywatnego.
Opis: naprawiono błąd związany z taktowaniem kanału bocznego przez ulepszenia obliczeń czasu stałego w funkcjach kryptograficznych.
CVE-2024-23218: Clemens Lang
Kernel
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2024-23208: fmyy(@binary_fmyy) i lime z zespołu TIANGONG Team of Legendsec grupy QI-ANXIN Group
libxpc
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może doprowadzić do ataku typu „odmowa usługi”
Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.
CVE-2024-23201: Koh M. Nakagawa z FFRI Security, Inc. i anonimowy badacz
Wpis dodano 7 marca 2024 r.
Mail Search
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: ten błąd naprawiono przez poprawienie redagowania poufnych informacji.
CVE-2024-23207: Noah Roskin-Frazee, Prof. J. (ZeroClicks.ai Lab) oraz Ian de Marcellus
NSSpellChecker
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: rozwiązano problem dotyczący prywatności przez ulepszenie obsługi plików.
CVE-2024-23223: Noah Roskin-Frazee i Prof. J. (ZeroClicks.ai Lab)
Safari
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: czynności prywatnego przeglądania przez użytkownika mogą być widoczne w Ustawieniach.
Opis: problem dotyczący prywatności rozwiązano przez poprawienie obsługi preferencji użytkownika.
CVE-2024-23211: Mark Bowers
Shortcuts
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: skrót może używać poufnych danych do wykonywania pewnych czynności bez monitowania użytkownika.
Opis: błąd naprawiono przez wprowadzenie dodatkowych procedur sprawdzania uprawnień.
CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)
Shortcuts
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie ominąć niektóre preferencje dotyczące prywatności.
Opis: rozwiązano problem dotyczący prywatności przez ulepszenie obsługi plików tymczasowych.
CVE-2024-23217: Kirin (@Pwnrin)
TCC
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: rozwiązano problem przez ulepszenie obsługi plików tymczasowych.
CVE-2024-23215: Zhongquan Li (@Guluisacat)
Time Zone
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie wyświetlić numer telefonu użytkownika w dziennikach systemowych.
Opis: ten błąd naprawiono przez poprawienie redagowania poufnych informacji.
CVE-2024-23210: Noah Roskin-Frazee i Prof. J. (ZeroClicks.ai Lab)
WebKit
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: złośliwie sporządzona strona internetowa może być w stanie pobrać odcisk palca użytkownika.
Opis: usunięto błąd dostępu przez poprawienie ograniczeń dostępu.
WebKit Bugzilla: 262699
CVE-2024-23206: anonimowy badacz
WebKit
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: przetworzenie zawartości internetowej może spowodować wykonanie dowolnego kodu.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
WebKit Bugzilla: 266619
CVE-2024-23213: Wangtaiyu z Zhongfu info
WebKit
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: złośliwie spreparowana witryna internetowa może powodować nieoczekiwane działanie związane z obsługą zewnętrznych źródeł.
Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.
WebKit Bugzilla: 265812
CVE-2024-23271: James Lee (@Windowsrcer)
Wpis dodano 24 kwietnia 2024 r.
Dodatkowe podziękowania
NetworkExtension
Dziękujemy za udzieloną pomoc: Nils Rollshausen.
Wpis dodano 24 kwietnia 2024 r.