Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate în pagina Versiuni de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
watchOS 10.2
Lansare: 11 decembrie 2023
Accessibility
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori
Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.
CVE-2023-42937: Noah Roskin-Frazee și Prof. J. (ZeroClicks.ai Lab)
Intrare adăugată la 22 ianuarie 2024
Accounts
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori
Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.
CVE-2023-42919: Kirin (@Pwnrin)
ImageIO
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: procesarea unei imagini poate cauza executarea unui cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-42898: Zhenjiang Zhao de la Pangu Team, Qianxin și Junsung Lee
CVE-2023-42899: Meysam Firouzi @R00tkitSMM și Junsung Lee
Intrare actualizată la 22 martie 2024
ImageIO
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: procesarea unei imagini create cu rea intenție poate cauza divulgarea memoriei de proces
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-42888: Michael DePlante (@izobashi) (Trend Micro Zero Day Initiative)
Intrare adăugată la 22 ianuarie 2024
Kernel
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: o aplicație poate evada din sandbox
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) de la Synacktiv (@Synacktiv)
Libsystem
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: o aplicație poate accesa date protejate despre utilizator
Descriere: a fost rezolvată o problemă legată de permisiuni prin eliminarea codului vulnerabil și adăugarea de verificări suplimentare.
CVE-2023-42893
Intrare adăugată la 22 martie 2024
Sandbox
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.
CVE-2023-42936
Intrare adăugată la 22 martie 2024
TCC
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: o aplicație poate evada din sandbox
Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.
CVE-2023-42947: Zhongquan Li (@Guluisacat) de la Dawn Security Lab (JingDong)
Intrare adăugată la 22 martie 2024
WebKit
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: procesarea conținutului web poate cauza executarea de cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
WebKit Bugzilla: 259830
CVE-2023-42890: Pwn2car
WebKit
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: procesarea unei imagini poate duce la refuzul serviciului
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
WebKit Bugzilla: 263349
CVE-2023-42883: Zoom Offensive Security Team
WebKit
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: procesarea de conținut web poate cauza divulgarea de informații sensibile. Apple a luat cunoștință de un raport conform căruia este posibil ca această problemă să fi fost exploatată împotriva versiunilor de iOS lansate înainte de iOS 16.7.1.
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
WebKit Bugzilla: 265041
CVE-2023-42916: Clément Lecigne (Google Threat Analysis Group)
WebKit
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: procesarea conținutului web poate cauza executarea unui cod arbitrar. Apple a luat cunoștință de un raport conform căruia este posibil ca această problemă să fi fost exploatată împotriva versiunilor de iOS lansate înainte de iOS 16.7.1.
Descriere: a fost rezolvată o vulnerabilitate de deteriorare a memoriei prin îmbunătățirea blocării.
WebKit Bugzilla: 265067
CVE-2023-42917: Clément Lecigne (Google's Threat Analysis Group)
WebKit
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
WebKit Bugzilla: 263682
CVE-2023-42950: Nan Wang (@eternalsakura13) de la 360 Vulnerability Research Institute și rushikesh nandedka
Intrare adăugată la 22 martie 2024
Alte mențiuni
Wi-Fi
Dorim să le mulțumim lui Noah Roskin-Frazee și Prof. J. (ZeroClicks.ai Lab) pentru asistența acordată.