Sobre o conteúdo de segurança do watchOS 9.3

Este documento descreve o conteúdo de segurança do watchOS 9.3.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

Para obter mais informações sobre segurança, consulte a página sobre segurança de produtos Apple.

watchOS 9.3

Lançado em 23 de janeiro de 2023

AppleMobileFileIntegrity

Disponível para: Apple Watch Series 4 e posterior

Impacto: um app pode conseguir ignorar as preferências de Privacidade

Descrição: esse problema foi resolvido por meio de melhorias nas verificações para impedir ações não autorizadas.

CVE-2023-32438: Csaba Fitzl (@theevilbit) da Offensive Security e Mickey Jin (@patch1t)

Entrada adicionada em 5 de setembro de 2023

AppleMobileFileIntegrity

Disponível para: Apple Watch Series 4 e posterior

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: este problema foi resolvido com a ativação do recurso Hardened Runtime.

CVE-2023-23499: Wojciech Regula da SecuRing (wojciechregula.blog)

Crash Reporter

Disponível para: Apple Watch Series 4 e posterior

Impacto: um usuário poderia ler arquivos arbitrários como raiz

Descrição: uma condição de corrida foi resolvida por meio de validação adicional.

CVE-2023-23520: Cees Elzinga

Entrada adicionada em 6 de junho de 2023

FontParser

Disponível para: Apple Watch Series 4 e posterior

Impacto: o processamento de um arquivo de fonte poderia resultar na execução de códigos arbitrários. A Apple está ciente de um relato de que esse problema pode ter sido explorado ativamente em versões do iOS lançadas antes do iOS 15.7.1.

Descrição: o problema foi resolvido por meio de melhorias no gerenciamento dos caches.

CVE-2023-41990: Apple

Entrada adicionada em 8 de setembro de 2023

ImageIO

Disponível para: Apple Watch Series 4 e posterior

Impacto: o processamento de uma imagem pode levar a uma negação de serviço

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2023-23519: Meysam Firouzi @R00tkitSMM do Mbition Mercedes-Benz Innovation Lab, Yiğit Can YILMAZ (@yilmazcanyigit) e jzhu em parceria com a Trend Micro Zero Day Initiative

Entrada atualizada em 5 de setembro de 2023

Kernel

Disponível para: Apple Watch Series 4 e posterior

Impacto: um app pode causar vazamento de estados confidenciais do kernel

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2023-23500: Pan ZhenPeng (@Peterpan0927) do STAR Labs SG Pte. Ltd. (@starlabs_sg)

Kernel

Disponível para: Apple Watch Series 4 e posterior

Impacto: um app pode configurar o layout de memória do kernel

Descrição: um problema de divulgação de informações foi resolvido por meio da remoção do código vulnerável.

CVE-2023-23502: Pan ZhenPeng (@Peterpan0927) do STAR Labs SG Pte. Ltd. (@starlabs_sg)

Kernel

Disponível para: Apple Watch Series 4 e posterior

Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2023-23504: Adam Doupé da ASU SEFCOM

Maps

Disponível para: Apple Watch Series 4 e posterior

Impacto: um app pode conseguir ignorar as preferências de Privacidade

Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2023-23503: pesquisador anônimo

Safari

Disponível para: Apple Watch Series 4 e posterior

Impacto: acessar um site pode levar a uma negação de serviço do app

Descrição: o problema foi resolvido por meio de melhorias no gerenciamento dos caches.

CVE-2023-23512: Adriatik Raci

Screen Time

Disponível para: Apple Watch Series 4 e posterior

Impacto: um app pode acessar informações sobre os contatos de um usuário

Descrição: um problema de privacidade foi resolvido com a redação aprimorada de dados privados para entradas de registro.

CVE-2023-23505: Wojciech Reguła da SecuRing (wojciechregula.blog) e Csaba Fitzl (@theevilbit) da Offensive Security

Entrada atualizada em 6 de junho de 2023

Weather

Disponível para: Apple Watch Series 4 e posterior

Impacto: um app pode conseguir ignorar as preferências de Privacidade

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2023-23511: Wojciech Regula da SecuRing (wojciechregula.blog), um pesquisador anônimo

WebKit

Disponível para: Apple Watch Series 4 e posterior

Impacto: o processamento de conteúdo da web pode causar a execução de códigos arbitrários

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

WebKit Bugzilla: 248885
CVE-2023-32393: Francisco Alonso (@revskills)

Entrada adicionada em 28 de junho de 2023

WebKit

Disponível para: Apple Watch Series 4 e posterior

Impacto: um documento HTML pode renderizar iframes com informações confidenciais do usuário

Descrição: esse problema foi resolvido por meio de melhorias no reforço da área restrita de iframe.

WebKit Bugzilla: 241753
CVE-2022-0108: Luan Herrera (@lbherrera_)

Entrada adicionada em 6 de junho de 2023

WebKit

Disponível para: Apple Watch Series 4 e posterior

Impacto: processar conteúdo da web criado com códigos maliciosos pode levar à execução arbitrária de códigos

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

WebKit Bugzilla: 245464
CVE-2023-23496: ChengGang Wu, Yan Kang, YuHao Hu, Yue Sun, Jiming Wang, JiKai Ren e Hang Shu do Institute of Computing Technology, Chinese Academy of Sciences

WebKit

Disponível para: Apple Watch Series 4 e posterior

Impacto: processar conteúdo da web criado com códigos maliciosos pode levar à execução arbitrária de códigos

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

WebKit Bugzilla: 248268
CVE-2023-23518: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) da Team ApplePIE

WebKit Bugzilla: 248268
CVE-2023-23517: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) da Team ApplePIE

Outros reconhecimentos

AppleMobileFileIntegrity

Gostaríamos de agradecer a Csaba Fitzl (@theevilbit) da Offensive Security pela ajuda.

Entrada adicionada em 6 de junho de 2023

Core Data

Gostaríamos de agradecer a Austin Emmitt (@alkalinesec), Senior Security Researcher do Trellix Advanced Research Center, pela ajuda.

Entrada adicionada em 8 de setembro de 2023

Kernel

Gostaríamos de agradecer a Nick Stenning da Replicate pela ajuda.

WebKit

Gostaríamos de agradecer a Eliya Stein da Confiant pela ajuda.

 

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: