Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate în pagina Versiuni de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
watchOS 10
Lansare: 18 septembrie 2023
App Store
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: un atacator la distanță ar putea evada din sandboxul Web Content
Descriere: problema a fost rezolvată printr-o manipulare îmbunătățită a protocoalelor.
CVE-2023-40448: w0wbox
Apple Neural Engine
Disponibilitate pentru dispozitive cu Apple Neural Engine: Apple Watch Series 9 și Apple Watch Ultra 2
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-40432: Mohamed GHANNAM (@_simo36)
CVE-2023-41174: Mohamed GHANNAM (@_simo36)
CVE-2023-40409: Ye Zhang (@VAR10CK) (Baidu Security)
CVE-2023-40412: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
Disponibilitate pentru dispozitive cu Apple Neural Engine: Apple Watch Series 9 și Apple Watch Ultra 2
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2023-41071: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
Disponibil pentru dispozitive cu Apple Neural Engine: Apple Watch Series 9 și Apple Watch Ultra 2
Impact: o aplicație poate să divulge conținutul memoriei kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-40399: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
Disponibil pentru dispozitive cu Apple Neural Engine: Apple Watch Series 9 și Apple Watch Ultra 2
Impact: o aplicație poate să divulge conținutul memoriei kernel
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2023-40410: Tim Michaud (@TimGMichaud) (Moveworks.ai)
AuthKit
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: problema a fost remediată printr-o manipulare îmbunătățită a cache-urilor.
CVE-2023-32361: Csaba Fitzl (@theevilbit) de la Offensive Security
Bluetooth
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: un atacator din apropiere poate devia scrierea într-o măsură limitată
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-35984: zer0k
bootp
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: o aplicație poate citi informații de localizare sensibile
Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.
CVE-2023-41065: Adam M., respectiv Noah Roskin-Frazee și prof. Jason Lau (ZeroClicks.ai Lab)
CFNetwork
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: este posibil ca o aplicație să nu poată executa funcția App Transport Security
Descriere: problema a fost rezolvată printr-o manipulare îmbunătățită a protocoalelor.
CVE-2023-38596: Will Brattain de la Trail of Bits
CoreAnimation
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: procesarea unui conținut web poate cauza o refuzare a serviciului
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-40420: 이준성(Junsung Lee) (Cross Republic)
Core Data
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: o aplicație poate să ocolească preferințele de confidențialitate
Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.
CVE-2023-40528: Kirin (@Pwnrin) (NorthSea)
Intrare adăugată la 22 ianuarie 2024
Dev Tools
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2023-32396: Mickey Jin (@patch1t)
Game Center
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: este posibil ca o aplicație să poată accesa contactele
Descriere: problema a fost remediată printr-o manipulare îmbunătățită a cache-urilor.
CVE-2023-40395: Csaba Fitzl (@theevilbit) de la Offensive Security
Kernel
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: un atacator care a obținut deja executarea codului kernel poate reuși să evite atenuări ale memoriei kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-41981: Linus Henze (Pinauten GmbH) (pinauten.de)
Kernel
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) STAR Labs SG Pte. Ltd.
Kernel
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori
Descriere: a fost rezolvată o problemă de permisiune prin îmbunătățirea validării.
CVE-2023-40429: Michael (Biscuit) Thomas și 张师傅(@京东蓝军)
libpcap
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: un utilizator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2023-40400: Sei K.
libxpc
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: o aplicație poate șterge fișiere pentru care nu are permisiune
Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.
CVE-2023-40454: Zhipeng Huo (@R3dF09) (Laboratorul Tencent Security Xuanwu) (xlab.tencent.com)
libxpc
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: o aplicație poate accesa date protejate despre utilizator
Descriere: o problemă de autorizare a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2023-41073: Zhipeng Huo (@R3dF09) (Laboratorul Tencent Security Xuanwu) (xlab.tencent.com)
libxslt
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: procesarea conținutului web poate divulga informații sensibile
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-40403: Dohyun Lee (@l33d0hyun) (PK Security)
Maps
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: o aplicație poate citi informații de localizare sensibile
Descriere: problema a fost remediată printr-o manipulare îmbunătățită a cache-urilor.
CVE-2023-40427: Adam M. și Wojciech Regula (SecuRing) (wojciechregula.blog)
MobileStorageMounter
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: un utilizator poate să acorde privilegii superioare
Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru acces.
CVE-2023-41068: Mickey Jin (@patch1t)
Passcode
Disponibilitate: Apple Watch Ultra (toate modelele)
Impact: un dispozitiv Apple Watch Ultra este posibil să nu se blocheze când se folosește aplicația Adâncime
Descriere: a fost rezolvată o problemă de autentificare prin îmbunătățirea gestionării stării.
CVE-2023-40418: serkan Gurbuz
Photos Storage
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: o aplicație poate accesa poze editate salvate într-un director temporar
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-40456: Kirin (@Pwnrin)
CVE-2023-40520: Kirin (@Pwnrin)
Safari
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: o aplicație poate identifica ce alte aplicații a instalat utilizatorul
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-35990: Adriatik Raci (Sentry Cybersecurity)
Safari
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: vizitarea unui site web care conține conținut rău intenționat poate duce la falsificarea interfeței de utilizator
Descriere: a fost rezolvată o problemă de gestionare a ferestrelor prin gestionarea îmbunătățită a stării.
CVE-2023-40417: Narendra Bhati (twitter.com/imnarendrabhati) de la Suma Soft Pvt. Ltd, Pune (India)
Intrare actualizată la 2 ianuarie 2024
Sandbox
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: o aplicație poate suprascrie fișiere arbitrare
Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.
CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)
Share Sheet
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: o aplicație poate accesa date sensibile înregistrate atunci când utilizatorul partajează un link
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.
CVE-2023-41070: Kirin (@Pwnrin)
Simulator
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-40419: Arsenii Kostromin (0x3c3e)
StorageKit
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: o aplicație poate citi fișiere arbitrare
Descriere: această problemă a fost rezolvată prin îmbunătățirea validării linkurilor simbolice.
CVE-2023-41968: Mickey Jin (@patch1t) și James Hutchins
TCC
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-40424: Arsenii Kostromin (0x3c3e), Joshua Jewett (@JoshJewett33) și Csaba Fitzl (@theevilbit) (Offensive Security)
WebKit
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: procesarea conținutului web poate cauza executarea de cod arbitrar
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
WebKit Bugzilla: 249451
CVE-2023-39434: Francisco Alonso (@revskills) și Dohyun Lee (@l33d0hyun) (PK Security)
WebKit Bugzilla: 258992
CVE-2023-40414: Francisco Alonso (@revskills)
Intrare actualizată la 2 ianuarie 2024
WebKit
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: procesarea conținutului web poate cauza executarea de cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
WebKit Bugzilla: 256551
CVE-2023-41074: 이준성(Junsung Lee) de la Cross Republic și Jie Ding(@Lime) de la HKUS3 Lab
Intrare actualizată la 2 ianuarie 2024
WebKit
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: procesarea conținutului web poate cauza executarea de cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
WebKit Bugzilla: 239758
CVE-2023-35074: Ajou University Abysslab Dong Jun Kim(@smlijun) și Jong Seong Kim (@nevul37)
Intrare actualizată la 2 ianuarie 2024
Alte mențiuni
AirPort
Dorim să le mulțumim lui Adam M., respectiv lui Noah Roskin-Frazee și d-lui prof. Jason Lau (ZeroClicks.ai Lab) pentru asistență.
Audio
Dorim să-i mulțumim lui Mickey Jin (@patch1t) pentru asistență.
Bluetooth
Dorim să le mulțumim lui Jianjun Dai și Guang Gong de la 360 Vulnerability Research Institute pentru asistență.
Books
Dorim să îi mulțumim lui Aapo Oksman (Nixu Cybersecurity) pentru asistență.
Control Center
Dorim să-i mulțumim lui Chester van den Bogaard pentru asistență.
Data Detectors UI
Dorim să îi mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Lakshmi Narain College of Technology pentru asistență.
Find My
Dorim să le mulțumim celor de la Cher Scarlett pentru asistență.
Home
Dorim să-i mulțumim lui Jake Derouin (jakederouin.com) pentru asistență.
IOUserEthernet
Dorim să le mulțumim celor de la Certik Skyfall Team pentru asistență.
Intrare adăugată la 2 ianuarie 2024
Kernel
Dorim să le mulțumim lui Bill Marczak (The Citizen Lab, Munk School din cadrul Universității din Toronto), Maddie Stone (Threat Analysis Group din cadrul Google) și 永超 王 pentru asistență.
libxml2
Dorim să le mulțumim lui OSS-Fuzz și lui Ned Williamson (Google Project Zero) pentru asistența acordată.
libxpc
Dorim să îi mulțumim unui cercetător anonim pentru asistență.
libxslt
Dorim să le mulțumim lui Dohyun Lee (@l33d0hyun) de la PK Security, OSS-Fuzz și Ned Williamson de la Google Project Zero pentru asistență.
NSURL
Dorim să le mulțumim lui Zhanpeng Zhao (行之) și 糖豆爸爸(@晴天组织) pentru asistență.
Photos
Dorim să le mulțumim lui Dawid Pałuska și lui Kirin (@Pwnrin) pentru asistență.
Photos Storage
Dorim să-i mulțumim lui Wojciech Regula de la SecuRing (wojciechregula.blog) pentru asistență.
Power Services
Dorim să-i mulțumim lui Mickey Jin (@patch1t) pentru asistență.
Shortcuts
Dorim să le mulțumim lui Alfie CG, Christian Basting (Bundesamt für Sicherheit in der Informationstechnik), Cristian Dinca (Colegiul Național de Informatică „Tudor Vianu”, România), Giorgos Christodoulidis, Jubaer Alnazi (TRS Group Of Companies), KRISHAN KANT DWIVEDI (@xenonx7) și Matthew Butler pentru asistența acordată.
Intrare actualizată la miercuri, 24 aprilie 2024
Software Update
Dorim să-i mulțumim lui Omar Siman pentru asistență.
StorageKit
Dorim să-i mulțumim lui Mickey Jin (@patch1t) pentru asistență.
WebKit
Dorim să le mulțumim lui Khiem Tran și lui Narendra Bhati de la Suma Soft Pvt. Ltd și unui cercetător anonim pentru asistență.