Сведения о проблемах системы безопасности, устраняемых обновлением watchOS 9.3
В этом документе описаны проблемы системы безопасности, устраняемые обновлением watchOS 9.3.
Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.
В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.
Дополнительную информацию о безопасности продуктов Apple см. на этой странице.
watchOS 9.3
Дата выпуска: 23 января 2023 г.
AppleMobileFileIntegrity
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Приложение может обойти настройки конфиденциальности.
Описание. Проблема устранена путем улучшенных проверок, чтобы предотвратить несанкционированные действия.
CVE-2023-32438: Csaba Fitzl (@theevilbit) из Offensive Security и Mickey Jin (@patch1t)
Запись добавлена 5 сентября 2023 г.
AppleMobileFileIntegrity
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.
Описание. Проблема устранена путем включения защищенной среды выполнения.
CVE-2023-23499: Wojciech Regula из компании SecuRing (wojciechregula.blog)
Crash Reporter
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Пользователь может считывать произвольные файлы с привилегиями корневого пользователя.
Описание. Проблема с возникновением условия состязания устранена путем дополнительной проверки.
CVE-2023-23520: Cees Elzinga
Запись добавлена 6 июня 2023 г.
FontParser
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Обработка файла шрифта может приводить к выполнению произвольного кода. Компании Apple известно о том, что эта проблема могла активно использоваться для нарушения безопасности iOS версий до 15.7.1.
Описание. Проблема устранена путем улучшенной обработки кэшей.
CVE-2023-41990: Apple
Запись добавлена 8 сентября 2023 г.
ImageIO
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Обработка изображения может приводить к отказу в обслуживании.
Описание. Проблема с повреждением данных в памяти устранена путем улучшения управления состояниями.
CVE-2023-23519: Meysam Firouzi (@R00tkitSMM) из Mbition Mercedes-Benz Innovation Lab, Yiğit Can YILMAZ (@yilmazcanyigit) и пользователь jzhu, сотрудничающий с компанией Trend Micro в рамках инициативы Zero Day Initiative
Запись обновлена 5 сентября 2023 г.
Kernel
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Приложение может вызывать утечку конфиденциальных данных о состоянии ядра.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2023-23500: Pan ZhenPeng (@Peterpan0927) из STAR Labs SG Pte. Ltd. (@starlabs_sg)
Kernel
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Программа может выявлять схему распределения памяти в ядре.
Описание. Проблема утечки информации решена посредством удаления уязвимого кода.
CVE-2023-23502: Pan ZhenPeng (@Peterpan0927) из STAR Labs SG Pte. Ltd. (@starlabs_sg)
Kernel
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2023-23504: Adam Doupé из ASU SEFCOM
Maps
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Приложение может обойти настройки конфиденциальности.
Описание. Логическая проблема устранена путем улучшенного управления состояниями.
CVE-2023-23503: анонимный исследователь
Safari
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Посещение веб-сайта может приводить к отказу в обслуживании приложения.
Описание. Проблема устранена путем улучшенной обработки кэшей.
CVE-2023-23512: Adriatik Raci
Screen Time
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Приложение может получать доступ к информации о контактах пользователя.
Описание. Проблема конфиденциальности была решена путем улучшения редактирования личных данных для записей журнала.
CVE-2023-23505: Wojciech Reguła из SecuRing (wojciechregula.blog) и Csaba Fitzl (@theevilbit) из Offensive Security
Запись обновлена 6 июня 2023 г.
Weather
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Приложение может обойти настройки конфиденциальности.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2023-23511: Wojciech Reguła из компании SecuRing (wojciechregula.blog), анонимный исследователь
WebKit
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Обработка веб-содержимого может приводить к выполнению произвольного кода
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
WebKit Bugzilla: 248885
CVE-2023-32393: Francisco Alonso (@revskills)
Запись добавлена 28 июня 2023 г.
WebKit
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. HTML-документ может отображать фреймы с конфиденциальной информацией пользователя.
Описание. Проблема устранена путем улучшенного контроля iframe sandbox.
WebKit Bugzilla: 241753
CVE-2022-0108: Luan Herrera (@lbherrera_)
Запись добавлена 6 июня 2023 г.
WebKit
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Проблема устранена путем улучшенной проверки.
WebKit Bugzilla: 245464
CVE-2023-23496: ChengGang Wu, Yan Kang, YuHao Hu, Yue Sun, Jiming Wang, JiKai Ren и Hang Shu из Института вычислительных технологий Китайской академии наук
WebKit
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
WebKit Bugzilla: 248268
CVE-2023-23518: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) из команды ApplePIE
WebKit Bugzilla: 248268
CVE-2023-23517: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) из команды ApplePIE
Дополнительные благодарности
AppleMobileFileIntegrity
Выражаем благодарность за помощь Чабе Фицлю (Csaba Fitzl) (@theevilbit) из Offensive Security.
Запись добавлена 6 июня 2023 г.
Core Data
Благодарность за помощь: Austin Emmitt (@alkalinesec), старший аналитик по безопасности в Trellix Advanced Research Center.
Запись добавлена 8 сентября 2023 г.
Kernel
Выражаем благодарность за помощь Nick Stenning из Replicate.
WebKit
Выражаем благодарность за помощь Eliya Stein из Confiant.
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.