Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate în pagina Versiuni de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
watchOS 10.1
Lansare: 25 octombrie 2023
Core Recents
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: problema a fost rezolvată prin curățarea înregistrărilor
CVE-2023-42823
Adăugare intrare: 16 februarie 2024
Find My
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: o aplicație poate citi informații de localizare sensibile
Descriere: problema a fost remediată printr-o manipulare îmbunătățită a cache-urilor.
CVE-2023-40413: Adam M.
Find My
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori
Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea tratării fișierelor.
CVE-2023-42834: Csaba Fitzl (@theevilbit) (Offensive Security)
Adăugare intrare: 16 februarie 2024
Game Center
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori
Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.
CVE-2023-42953: Michael (Biscuit) Thomas - @biscuit@social.lol
Adăugare intrare: 16 februarie 2024
ImageIO
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: procesarea unei imagini create cu rea intenție poate cauza alterarea segmentului
Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.
CVE-2023-42848: JZ
Adăugare intrare: 16 februarie 2024
Kernel
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: un atacator care a obținut deja executarea codului kernel poate reuși să evite atenuări ale memoriei kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-42849: Linus Henze (Pinauten GmbH) (pinauten.de)
libxpc
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: o aplicație rău intenționată poate să obțină privilegii de rădăcină
Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării linkurilor simbolice.
CVE-2023-42942: Mickey Jin (@patch1t)
Adăugare intrare: 16 februarie 2024
Mail Drafts
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: opțiunea Mascare e-mail poate fi dezactivată în mod neașteptat
Descriere: a fost rezolvată o problemă legată de inconstanța interfeței cu utilizatorul prin gestionarea îmbunătățită a stării.
CVE-2023-40408: Grzegorz Riegel
mDNSResponder
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: se poate ca un dispozitiv să fie urmărit în mod pasiv după adresa sa MAC Wi-Fi
Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.
CVE-2023-42846: Talal Haj Bakry și Tommy Mysk de la Mysk Inc. @mysk_co
Sandbox
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori
Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2023-42839: Yiğit Can YILMAZ (@yilmazcanyigit)
Adăugare intrare: 16 februarie 2024
Share Sheet
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori
Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.
CVE-2023-42878: Kirin (@Pwnrin), Wojciech Regula de la SecuRing (wojciechregula.blog) și Cristian Dinca de la Colegiul Național de Informatică „Tudor Vianu”, România
Adăugare intrare: 16 februarie 2024
Siri
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: un atacator cu acces fizic poate folosi asistentul Siri pentru a accesa date sensibile despre utilizatori
Descriere: această problemă a fost rezolvată prin restricționarea opțiunilor oferite pe un dispozitiv blocat.
CVE-2023-41982: Bistrit Dahal
CVE-2023-41997: Bistrit Dahal
CVE-2023-41988: Bistrit Dahal
Intrare actualizată pe 16 februarie 2024
Siri
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: o aplicație poate scurge informații sensibile ale utilizatorilor
Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.
CVE-2023-42946
Adăugare intrare: 16 februarie 2024
Weather
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori
Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea redactării datelor private pentru intrările în jurnal.
CVE-2023-41254: Cristian Dinca de la Colegiul Național de Informatică „Tudor Vianu”, România
WebKit
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: procesarea conținutului web poate cauza executarea de cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
WebKit Bugzilla: 259836
CVE-2023-40447: 이준성(Junsung Lee) (Cross Republic)
WebKit
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: procesarea conținutului web poate cauza executarea de cod arbitrar
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
WebKit Bugzilla: 259890
CVE-2023-41976: 이준성(Junsung Lee)
WebKit
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: procesarea conținutului web poate cauza executarea de cod arbitrar
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.
WebKit Bugzilla: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) și Vitor Pedreira (@0xvhp_) de la Agile Information Security
Intrare actualizată pe 16 februarie 2024
Alte mențiuni
VoiceOver
Dorim să îi mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Lakshmi Narain College Of Technology Bhopal India pentru asistența acordată.
WebKit
Dorim să îi mulțumim unui cercetător anonim pentru asistență.