Despre conținutul de securitate din watchOS 9.6

Acest document descrie conținutul de securitate din watchOS 9.6.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate în pagina Versiuni de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.

watchOS 9.6

Apple Neural Engine

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-34425: pattern-f (@pattern_F_) (Ant Security Light-Year Lab)

Apple Neural Engine

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-38136: Mohamed GHANNAM (@_simo36)

CVE-2023-38580: Mohamed GHANNAM (@_simo36)

Find My

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: o aplicație poate citi informații de localizare sensibile

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.

CVE-2023-32416: Wojciech Regula de la SecuRing (wojciechregula.blog)

Kernel

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: un utilizator la distanță ar putea cauza închiderea neașteptată a sistemului sau ar putea corupe memoria kernel

Descriere: a fost rezolvată o problemă de depășire a memoriei-tampon prin îmbunătățirea tratării memoriei.

CVE-2023-38590: Zweig de la Kunlun Lab

Kernel

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2023-38598: Mohamed GHANNAM (@_simo36)

Kernel

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.

CVE-2023-36495: 香农的三蹦子 (Pangu Lab)

Kernel

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.

CVE-2023-38604: un cercetător anonim

Kernel

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-32734: Pan ZhenPeng (@Peterpan0927) de la STAR Labs SG Pte. Ltd.

CVE-2023-32441: Peter Nguyễn Vũ Hoàng (@peternguyen14) de la STAR Labs SG Pte. Ltd.

Kernel

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2023-32381: un cercetător anonim

CVE-2023-32433: Zweig de la Kunlun Lab

CVE-2023-35993: Kaitao Xie și Xiaolong Bai (Alibaba Group)

Kernel

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: o aplicație poate modifica informații sensibile privind starea kernelului. Apple a luat cunoștință de un raport conform căruia este posibil ca această problemă să fi fost exploatată în mod activ împotriva versiunilor de iOS lansate înainte de iOS 15.7.1.

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2023-38606: Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) și Boris Larin (@oct0xor) de la Kaspersky

libxpc

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: este posibil ca o aplicație să obțină privilegii de rădăcină

Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.

CVE-2023-38565: Zhipeng Huo (@R3dF09) de la Tencent Security Xuanwu Lab (xlab.tencent.com)

libxpc

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: o aplicație poate provoca o refuzare a serviciului

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2023-38593: Noah Roskin-Frazee

WebKit

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: un site web poate urmări informații sensibile ale utilizatorilor

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

WebKit Bugzilla: 257822

CVE-2023-38599: Hritvik Taneja, Jason Kim, Jie Jeff Xu, Stephan van Schaik, Daniel Genkin și Yuval Yarom

WebKit

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: procesarea unui document poate declanșa un atac asupra scripturilor de pe mai multe site-uri

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

WebKit Bugzilla: 257299

CVE-2023-32445: Johan Carlsson (joaxcar)

WebKit

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: procesarea conținutului web poate cauza executarea de cod arbitrar

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.

WebKit Bugzilla: 257331

CVE-2023-38592: Narendra Bhati (twitter.com/imnarendrabhati) (Suma Soft Pvt.) Ltd, Pune - India), Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina și Lorenzo Veronese (TU Wien)

WebKit

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: este posibil ca un site web să poată reuși să evite politica privind aceeași origine

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2023-38572: Narendra Bhati (twitter.com/imnarendrabhati) de la Suma Soft Pvt. Ltd, Pune - India

WebKit

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: procesarea conținutului web poate cauza executarea de cod arbitrar

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2023-38594: Yuhao Hu

CVE-2023-38595: un cercetător anonim, Jiming Wang, Jikai Ren

CVE-2023-38600: anonim, în colaborare cu inițiativa Zero Day de la Trend Micro

WebKit

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: procesarea conținutului web poate cauza executarea de cod arbitrar

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-38611: Francisco Alonso (@revskills)

WebKit

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: procesarea conținutului web poate cauza executarea unui cod arbitrar. Apple are cunoștință de un raport conform căruia această problemă ar fi putut fi exploatată în mod activ.

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2023-37450: un cercetător anonim

WebKit

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: procesarea conținutului web poate cauza executarea de cod arbitrar

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-42866: Francisco Alonso (@revskills) și Junsung Lee

WebKit Web Inspector

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: procesarea conținutului web poate divulga informații sensibile

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2023-38133: YeongHyeon Choi (@hyeon101010)

Alte mențiuni

WebKit

Dorim să-i mulțumim lui Narendra Bhati (twitter.com/imnarendrabhati) (Suma Soft Pvt. Ltd, Pune - India) pentru asistența acordată.