Сведения о проблемах системы безопасности, устраняемых обновлением watchOS 10.1

В этом документе описаны проблемы системы безопасности, устраняемые обновлением watchOS 10.1.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительную информацию о безопасности продуктов Apple см. на этой странице.

watchOS 10.1

Дата выпуска: 25 октября 2023 г.

Core Recents

Целевые продукты: Apple Watch Series 4 и более поздние модели

Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.

Описание. Проблема решена путем исключения из журналов информации, не подлежащей оглашению.

CVE-2023-42823

Запись добавлена 16 февраля 2024 г.

Find My

Целевые продукты: Apple Watch Series 4 и более поздние модели

Воздействие. Приложение может получать доступ к конфиденциальным данным о геопозиции.

Описание. Проблема устранена путем улучшенной обработки кэшей.

CVE-2023-40413: Adam M.

Find My

Целевые продукты: Apple Watch Series 4 и более поздние модели

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема конфиденциальности устранена путем улучшенной обработки файлов.

CVE-2023-42834: Csaba Fitzl (@theevilbit) из Offensive Security

Запись добавлена 16 февраля 2024 г.

Game Center

Целевые продукты: Apple Watch Series 4 и более поздние модели

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2023-42953: Michael (Biscuit) Thomas (@biscuit@social.lol)

Запись добавлена 16 февраля 2024 г.

ImageIO

Целевые продукты: Apple Watch Series 4 и более поздние модели

Воздействие. При обработке вредоносного изображения возможно повреждение динамической памяти.

Описание. Проблема устранена путем улучшенной проверки границ.

CVE-2023-42848: пользователь JZ

Запись добавлена 16 февраля 2024 г.

Kernel

Целевые продукты: Apple Watch Series 4 и более поздние модели

Воздействие. Злоумышленник, который уже добился выполнения кода в ядре, может обойти меры защиты памяти ядра.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2023-42849: Linus Henze из Pinauten GmbH (pinauten.de)

libxpc

Целевые продукты: Apple Watch Series 4 и более поздние модели

Воздействие. Вредоносное приложение может повышать уровень привилегий до корневого пользователя.

Описание. Проблема устранена путем улучшенной обработки символических ссылок.

CVE-2023-42942: Mickey Jin (@patch1t)

Запись добавлена 16 февраля 2024 г.

Mail Drafts

Целевые продукты: Apple Watch Series 4 и более поздние модели

Воздействие. Функция «Скрыть e‑mail» может неожиданно деактивироваться.

Описание. Проблема с единообразием пользовательского интерфейса устранена путем улучшенного управления состояниями.

CVE-2023-40408: Grzegorz Riegel

mDNSResponder

Целевые продукты: Apple Watch Series 4 и более поздние модели

Воздействие. Устройство может быть пассивно отслежено по MAC-адресу Wi-Fi-адаптера.

Описание. Проблема решена путем удаления уязвимого кода.

CVE-2023-42846: Talal Haj Bakry и Tommy Mysk из Mysk Inc. (@mysk_co)

Sandbox

Целевые продукты: Apple Watch Series 4 и более поздние модели

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2023-42839: Yiğit Can YILMAZ (@yilmazcanyigit)

Запись добавлена 16 февраля 2024 г.

Share Sheet

Целевые продукты: Apple Watch Series 4 и более поздние модели

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема конфиденциальности была решена путем улучшения редактирования личных данных для записей журнала.

CVE-2023-42878: Kirin (@Pwnrin), Wojciech Regula из SecuRing (wojciechregula.blog) и Cristian Dinca из Национальной высшей школы компьютерных наук имени Тудора Виану, Румыния

Запись добавлена 16 февраля 2024 г.

Siri

Целевые продукты: Apple Watch Series 4 и более поздние модели

Воздействие. Злоумышленник с физическим доступом может использовать Siri для получения доступа к конфиденциальным данным пользователя.

Описание. Эта проблема устранена путем ограничения предлагаемых вариантов на заблокированном устройстве.

CVE-2023-41982: Bistrit Dahal

CVE-2023-41997: Bistrit Dahal

CVE-2023-41988: Bistrit Dahal

Запись обновлена 16 февраля 2024 г.

Siri

Целевые продукты: Apple Watch Series 4 и более поздние модели

Воздействие. Приложение может вызвать утечку конфиденциальных пользовательских данных.

Описание. Проблема устранена путем улучшенного редактирования конфиденциальной информации.

CVE-2023-42946

Запись добавлена 16 февраля 2024 г.

Weather

Целевые продукты: Apple Watch Series 4 и более поздние модели

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема конфиденциальности была решена путем улучшения редактирования личных данных для записей журнала.

CVE-2023-41254: Cristian Dinca из Национальной средней школы компьютерных наук Tudor Vianu, Румыния

WebKit

Целевые продукты: Apple Watch Series 4 и более поздние модели

Воздействие. Обработка веб-содержимого может приводить к выполнению произвольного кода

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

WebKit Bugzilla: 259836
CVE-2023-40447: 이준성(Junsung Lee) из Cross Republic

WebKit

Целевые продукты: Apple Watch Series 4 и более поздние модели

Воздействие. Обработка веб-содержимого может приводить к выполнению произвольного кода

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

WebKit Bugzilla: 259890
CVE-2023-41976: 이준성 (Junsung Lee)

WebKit

Целевые продукты: Apple Watch Series 4 и более поздние модели

Воздействие. Обработка веб-содержимого может приводить к выполнению произвольного кода

Описание. Проблема с логикой устранена путем улучшения проверок.

WebKit Bugzilla: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) и Vitor Pedreira (@0xvhp_) из Agile Information Security

Запись обновлена 16 февраля 2024 г.

Дополнительные благодарности

VoiceOver

Выражаем благодарность за помощь Abhay Kailasia (@abhay_kailasia) из Технологического колледжа Лакшми Нараяна (Бхопал, Индия).

WebKit

Выражаем благодарность за помощь анонимному исследователю.

 

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: