Obsah zabezpečenia v systéme watchOS 9.3
V tomto dokumente sa opisuje obsah zabezpečenia v systéme watchOS 9.3.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
watchOS 9.3
Dátum vydania: 23. januára 2023
AppleMobileFileIntegrity
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná obísť nastavenia súkromia
Popis: Tento problém bol vyriešený vylepšením kontrol, aby sa zabránilo neoprávneným akciám.
CVE-2023-32438: Csaba Fitzl (@theevilbit, Offensive Security) a Mickey Jin (@patch1t)
Dátum pridania záznamu: 5. septembra 2023
AppleMobileFileIntegrity
Dostupné pre: Apple Watch Series 4 a novšie
Dosah: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Tento problém bol vyriešený zapnutím zabezpečeného chodu apky.
CVE-2023-23499: Wojciech Regula z tímu SecuRing (wojciechregula.blog)
Crash Reporter
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Používateľ môže byť schopný čítať ľubovoľné súbory ako koreňový používateľ
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.
CVE-2023-23520: Cees Elzinga
Dátum pridania záznamu: 6. júna 2023
FontParser
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Spracovanie súboru písma môže viesť k spusteniu ľubovoľného kódu. Spoločnosť Apple si je vedomá správy o tom, že tento problém mohol byť aktívne zneužívaný vo verziách systému iOS vydaných pred verziou iOS 15.7.1.
Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.
CVE-2023-41990: Apple
Dátum pridania záznamu: 8. septembra 2023
ImageIO
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Spracovanie obrázka môže viesť k odopretiu služby
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2023-23519: Meysam Firouzi (@R00tkitSMM, Mbition Mercedes-Benz Innovation Lab), Yiğit Can YILMAZ (@yilmazcanyigit) a jzhu v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Dátum aktualizovania záznamu: 5. septembra 2023
Kernel
Dostupné pre: Apple Watch Series 4 a novšie
Dosah: Apka môže byť schopná spôsobiť únik citlivých informácií o stave jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-23500: Pan ZhenPeng (@Peterpan0927) z tímu STAR Labs SG Pte. Ltd. (@starlabs_sg)
Kernel
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná určiť rozloženie pamäte jadra
Popis: Dochádzalo k problému súvisiacemu s únikom informácií, ktorý bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2023-23502: Pan ZhenPeng (@Peterpan0927) z tímu STAR Labs SG Pte. Ltd. (@starlabs_sg)
Kernel
Dostupné pre: Apple Watch Series 4 a novšie
Dosah: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-23504: Adam Doupé z tímu ASU SEFCOM
Maps
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná obísť nastavenia súkromia
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2023-23503: Anonymný výskumník
Safari
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Návšteva webovej stránky môže viesť k odmietnutiu služby apky
Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.
CVE-2023-23512: Adriatik Raci
Screen Time
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná získať prístup k informáciám o kontaktoch používateľa
Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2023-23505: Wojciech Reguła z tímu SecuRing (wojciechregula.blog) a Csaba Fitzl (@theevilbit) z tímu Offensive Security
Dátum aktualizovania záznamu: 6. júna 2023
Weather
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná obísť nastavenia súkromia
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-23511: Wojciech Regula z tímu SecuRing (wojciechregula.blog), anonymný výskumník
WebKit
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Spracovanie webového obsahu môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
WebKit Bugzilla: 248885
CVE-2023-32393: Francisco Alonso (@revskills)
Dátum pridania záznamu: 28. júna 2023
WebKit
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Dokument HTML môže byť schopný vykresľovať rámce iframe s citlivými používateľskými informáciami
Popis: Tento problém bol vyriešený vylepšením vynútenia izolovania priestoru pre prvky iFrame.
WebKit Bugzilla: 241753
CVE-2022-0108: Luan Herrera (@lbherrera_)
Dátum pridania záznamu: 6. júna 2023
WebKit
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Tento problém bol vyriešený vylepšením kontrol.
WebKit Bugzilla: 245464
CVE-2023-23496: ChengGang Wu, Yan Kang, YuHao Hu, Yue Sun, Jiming Wang, JiKai Ren a Hang Shu (Ústav výpočtovej techniky, Čínska akadémia vied)
WebKit
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
WebKit Bugzilla: 248268
CVE-2023-23518: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107) a Dohyun Lee (@l33d0hyun) z tímu ApplePIE
WebKit Bugzilla: 248268
CVE-2023-23517: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107) a Dohyun Lee (@l33d0hyun) z tímu ApplePIE
Ďalšie poďakovanie
AppleMobileFileIntegrity
Poďakovanie za pomoc si zaslúži Csaba Fitzl (@theevilbit) (Offensive Security).
Dátum pridania záznamu: 6. júna 2023
Core Data
Poďakovanie za pomoc si zaslúži Austin Emmitt (@alkalinesec), Senior Security Researcher, Trellix Advanced Research Center.
Dátum pridania záznamu: 8. septembra 2023
Kernel
Poďakovanie za pomoc si zaslúži Nick Stenning (Replicate).
WebKit
Poďakovanie za pomoc si zaslúži Eliya Stein (Confiant).
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.