Сведения о проблемах системы безопасности, устраняемых обновлением watchOS 10.1
В этом документе описаны проблемы системы безопасности, устраняемые обновлением watchOS 10.1.
Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Выпуски безопасности Apple.
В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.
Дополнительную информацию о безопасности продуктов Apple см. на этой странице.
watchOS 10.1
Дата выпуска: 25 октября 2023 г.
Core Recents
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.
Описание. Проблема решена путем исключения из журналов информации, не подлежащей оглашению.
CVE-2023-42823
Запись добавлена 16 февраля 2024 г.
Find My
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Приложение может получать доступ к конфиденциальным данным о геопозиции.
Описание. Проблема устранена путем улучшенной обработки кэшей.
CVE-2023-40413: Adam M.
Find My
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.
Описание. Проблема конфиденциальности устранена путем улучшенной обработки файлов.
CVE-2023-42834: Csaba Fitzl (@theevilbit) из Offensive Security
Запись добавлена 16 февраля 2024 г.
Game Center
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.
Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.
CVE-2023-42953: Michael (Biscuit) Thomas (@biscuit@social.lol)
Запись добавлена 16 февраля 2024 г.
ImageIO
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. При обработке вредоносного изображения возможно повреждение динамической памяти.
Описание. Проблема устранена путем улучшенной проверки границ.
CVE-2023-42848: пользователь JZ
Запись добавлена 16 февраля 2024 г.
Kernel
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Злоумышленник, который уже добился выполнения кода в ядре, может обойти меры защиты памяти ядра.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2023-42849: Linus Henze из Pinauten GmbH (pinauten.de)
libxpc
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Вредоносное приложение может повышать уровень привилегий до корневого пользователя.
Описание. Проблема устранена путем улучшенной обработки символических ссылок.
CVE-2023-42942: Mickey Jin (@patch1t)
Запись добавлена 16 февраля 2024 г.
Mail Drafts
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Функция «Скрыть e‑mail» может неожиданно деактивироваться.
Описание. Проблема с единообразием пользовательского интерфейса устранена путем улучшенного управления состояниями.
CVE-2023-40408: Grzegorz Riegel
mDNSResponder
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Устройство может быть пассивно отслежено по MAC-адресу Wi-Fi-адаптера.
Описание. Проблема решена путем удаления уязвимого кода.
CVE-2023-42846: Talal Haj Bakry и Tommy Mysk из Mysk Inc. (@mysk_co)
Sandbox
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.
Описание. Эта проблема устранена путем улучшенного управления состояниями.
CVE-2023-42839: Yiğit Can YILMAZ (@yilmazcanyigit)
Запись добавлена 16 февраля 2024 г.
Share Sheet
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.
Описание. Проблема конфиденциальности была решена путем улучшения редактирования личных данных для записей журнала.
CVE-2023-42878: Kirin (@Pwnrin), Wojciech Regula из SecuRing (wojciechregula.blog) и Cristian Dinca из Национальной высшей школы компьютерных наук имени Тудора Виану, Румыния
Запись добавлена 16 февраля 2024 г.
Siri
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Злоумышленник с физическим доступом может использовать Siri для получения доступа к конфиденциальным данным пользователя.
Описание. Эта проблема устранена путем ограничения предлагаемых вариантов на заблокированном устройстве.
CVE-2023-41982: Bistrit Dahal
CVE-2023-41997: Bistrit Dahal
CVE-2023-41988: Bistrit Dahal
Запись обновлена 16 февраля 2024 г.
Siri
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Приложение может вызвать утечку конфиденциальных пользовательских данных.
Описание. Проблема устранена путем улучшенного редактирования конфиденциальной информации.
CVE-2023-42946
Запись добавлена 16 февраля 2024 г.
Weather
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.
Описание. Проблема конфиденциальности была решена путем улучшения редактирования личных данных для записей журнала.
CVE-2023-41254: Cristian Dinca из Национальной средней школы компьютерных наук Tudor Vianu, Румыния
WebKit
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Обработка веб-содержимого может приводить к выполнению произвольного кода
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
WebKit Bugzilla: 259836
CVE-2023-40447: 이준성(Junsung Lee) из Cross Republic
WebKit
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Обработка веб-содержимого может приводить к выполнению произвольного кода
Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.
WebKit Bugzilla: 259890
CVE-2023-41976: 이준성 (Junsung Lee)
WebKit
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Обработка веб-содержимого может приводить к выполнению произвольного кода
Описание. Проблема с логикой устранена путем улучшения проверок.
WebKit Bugzilla: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) и Vitor Pedreira (@0xvhp_) из Agile Information Security
Запись обновлена 16 февраля 2024 г.
Дополнительные благодарности
VoiceOver
Выражаем благодарность за помощь Abhay Kailasia (@abhay_kailasia) из Технологического колледжа Лакшми Нараяна (Бхопал, Индия).
WebKit
Выражаем благодарность за помощь анонимному исследователю.
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.
