Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
watchOS 9.3
Lansare: 23 ianuarie 2023
AppleMobileFileIntegrity
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: o aplicație poate să ocolească preferințele de confidențialitate
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite pentru a preveni acțiunile neautorizate.
CVE-2023-32438: Csaba Fitzl (@theevilbit) (Offensive Security) și Mickey Jin (@patch1t)
Adăugare intrare: marți, 5 septembrie 2023
AppleMobileFileIntegrity
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: această problemă a fost rezolvată prin activarea unui runtime întărit.
CVE-2023-23499: Wojciech Reguła (SecuRing) (wojciechregula.blog)
Crash Reporter
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: un utilizator ar putea să citească fișiere arbitrare ca rădăcină
Descriere: a fost rezolvată o condiție de rulare prin validare suplimentară.
CVE-2023-23520: Cees Elzinga
Adăugare intrare: 6 iunie 2023
FontParser
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: procesarea unui fișier de font poate cauza executarea unui cod arbitrar. Apple a luat cunoștință de un raport conform căruia este posibil ca această problemă să fi fost exploatată în mod activ împotriva versiunilor de iOS lansate înainte de iOS 15.7.1.
Descriere: problema a fost remediată printr-o manipulare îmbunătățită a cache-urilor.
CVE-2023-41990: Apple
Adăugare intrare: 8 septembrie 2023
ImageIO
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: procesarea unei imagini poate duce la refuzul serviciului
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2023-23519: Meysam Firouzi @R00tkitSMM (Mbition Mercedes-Benz Innovation Lab), Yiğit Can YILMAZ (@yilmazcanyigit) și jzhu în colaborare cu Trend Micro Zero Day Initiative
Actualizare intrare: 5 septembrie 2023
Kernel
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: o aplicație poate scurge informații sensibile privind starea kernelului
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-23500: Pan ZhenPeng (@Peterpan0927) (STAR Labs SG Pte. Ltd.) (@starlabs_sg)
Kernel
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: o aplicație poate determina aspectul memoriei kernel
Descriere: o problemă de divulgare a informațiilor a fost rezolvată prin eliminarea codului vulnerabil.
CVE-2023-23502: Pan ZhenPeng (@Peterpan0927) (STAR Labs SG Pte. Ltd.) (@starlabs_sg)
Kernel
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-23504: Adam Doupé (ASU SEFCOM)
Maps
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: o aplicație poate să ocolească preferințele de confidențialitate
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2023-23503: un cercetător anonim
Safari
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: accesarea unui site web poate cauza refuzarea serviciului (DoS) pentru o aplicație
Descriere: problema a fost remediată printr-o manipulare îmbunătățită a cache-urilor.
CVE-2023-23512: Adriatik Raci
Screen Time
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: o aplicație poate accesa informații despre contactele unui utilizator
Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea redactării datelor private pentru intrările în jurnal.
CVE-2023-23505: Wojciech Reguła (SecuRing) (wojciechregula.blog) și Csaba Fitzl (@theevilbit) (Offensive Security)
Intrare actualizată pe 6 iunie 2023
Weather
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: o aplicație poate să ocolească preferințele de confidențialitate
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-23511: Wojciech Regula (SecuRing) (wojciechregula.blog), un cercetător anonim
WebKit
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: procesarea conținutului web poate cauza executarea unui cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
WebKit Bugzilla: 248885
CVE-2023-32393: Francisco Alonso (@revskills)
Adăugare intrare: 28 iunie 2023
WebKit
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: un document HTML poate reda iframe-uri cu informații sensibile ale utilizatorilor
Descriere: această problemă a fost rezolvată prin îmbunătățirea impunerii mediului sandbox iframe.
WebKit Bugzilla: 241753
CVE-2022-0108: Luan Herrera (@lbherrera_)
Adăugare intrare: 6 iunie 2023
WebKit
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
WebKit Bugzilla: 245464
CVE-2023-23496: ChengGang Wu, Yan Kang, YuHao Hu, Yue Sun, Jiming Wang, JiKai Ren și Hang Shu (Institute of Computing Technology, Chinese Academy of Sciences)
WebKit
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
WebKit Bugzilla: 248268
CVE-2023-23518: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) (Team ApplePIE)
WebKit Bugzilla: 248268
CVE-2023-23517: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) (Team ApplePIE)
Alte mențiuni
AppleMobileFileIntegrity
Dorim să îi mulțumim lui Csaba Fitzl (@theevilbit) (Offensive Security) pentru asistență.
Adăugare intrare: 6 iunie 2023
Core Data
Dorim să-i mulțumim lui Austin Emmitt (@alkalinesec) (Senior Security Researcher la Trellix Advanced Research Center) pentru asistența acordată.
Adăugare intrare: 8 septembrie 2023
Kernel
Dorim să îi mulțumim lui Nick Stenning (Replicate) pentru asistența acordată.
WebKit
Dorim să îi mulțumim lui Eliya Stein (Confiant) pentru asistența acordată.