Despre conținutul de securitate din watchOS 10.1

Acest document descrie conținutul de securitate din watchOS 10.1.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate în pagina Versiuni de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.

watchOS 10.1

Core Recents

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: problema a fost rezolvată prin curățarea înregistrărilor

CVE-2023-42823

Find My

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: o aplicație poate citi informații de localizare sensibile

Descriere: problema a fost remediată printr-o manipulare îmbunătățită a cache-urilor.

CVE-2023-40413: Adam M.

Find My

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea tratării fișierelor.

CVE-2023-42834: Csaba Fitzl (@theevilbit) (Offensive Security)

Game Center

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2023-42953: Michael (Biscuit) Thomas - @biscuit@social.lol

ImageIO

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: procesarea unei imagini create cu rea intenție poate cauza alterarea segmentului

Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.

CVE-2023-42848: JZ

Kernel

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: un atacator care a obținut deja executarea codului kernel poate reuși să evite atenuări ale memoriei kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-42849: Linus Henze (Pinauten GmbH) (pinauten.de)

libxpc

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: o aplicație rău intenționată poate să obțină privilegii de rădăcină

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării linkurilor simbolice.

CVE-2023-42942: Mickey Jin (@patch1t)

Mail Drafts

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: opțiunea Mascare e-mail poate fi dezactivată în mod neașteptat

Descriere: a fost rezolvată o problemă legată de inconstanța interfeței cu utilizatorul prin gestionarea îmbunătățită a stării.

CVE-2023-40408: Grzegorz Riegel

mDNSResponder

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: se poate ca un dispozitiv să fie urmărit în mod pasiv după adresa sa MAC Wi-Fi

Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.

CVE-2023-42846: Talal Haj Bakry și Tommy Mysk de la Mysk Inc. @mysk_co

Sandbox

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2023-42839: Yiğit Can YILMAZ (@yilmazcanyigit)

Share Sheet

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.

CVE-2023-42878: Kirin (@Pwnrin), Wojciech Regula de la SecuRing (wojciechregula.blog) și Cristian Dinca de la Colegiul Național de Informatică „Tudor Vianu”, România

Siri

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: un atacator cu acces fizic poate folosi asistentul Siri pentru a accesa date sensibile despre utilizatori

Descriere: această problemă a fost rezolvată prin restricționarea opțiunilor oferite pe un dispozitiv blocat.

CVE-2023-41982: Bistrit Dahal

CVE-2023-41997: Bistrit Dahal

CVE-2023-41988: Bistrit Dahal

Siri

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: o aplicație poate scurge informații sensibile ale utilizatorilor

Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.

CVE-2023-42946

Weather

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea redactării datelor private pentru intrările în jurnal.

CVE-2023-41254: Cristian Dinca de la Colegiul Național de Informatică „Tudor Vianu”, România

WebKit

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: procesarea conținutului web poate cauza executarea de cod arbitrar

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-40447: 이준성(Junsung Lee) (Cross Republic)

WebKit

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: procesarea conținutului web poate cauza executarea de cod arbitrar

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2023-41976: 이준성(Junsung Lee)

WebKit

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: procesarea conținutului web poate cauza executarea de cod arbitrar

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2023-42852: Pedro Ribeiro (@pedrib1337) și Vitor Pedreira (@0xvhp_) de la Agile Information Security

Alte mențiuni

VoiceOver

Dorim să îi mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Lakshmi Narain College Of Technology Bhopal India pentru asistența acordată.

WebKit

Dorim să îi mulțumim unui cercetător anonim pentru asistență.