Obsah zabezpečenia v systéme watchOS 9.3

V tomto dokumente sa opisuje obsah zabezpečenia v systéme watchOS 9.3.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.

watchOS 9.3

Dátum vydania: 23. januára 2023

AppleMobileFileIntegrity

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Apka môže byť schopná obísť nastavenia súkromia

Popis: Tento problém bol vyriešený vylepšením kontrol, aby sa zabránilo neoprávneným akciám.

CVE-2023-32438: Csaba Fitzl (@theevilbit, Offensive Security) a Mickey Jin (@patch1t)

Dátum pridania záznamu: 5. septembra 2023

AppleMobileFileIntegrity

Dostupné pre: Apple Watch Series 4 a novšie

Dosah: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Tento problém bol vyriešený zapnutím zabezpečeného chodu apky.

CVE-2023-23499: Wojciech Regula z tímu SecuRing (wojciechregula.blog)

Crash Reporter

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Používateľ môže byť schopný čítať ľubovoľné súbory ako koreňový používateľ

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.

CVE-2023-23520: Cees Elzinga

Dátum pridania záznamu: 6. júna 2023

FontParser

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Spracovanie súboru písma môže viesť k spusteniu ľubovoľného kódu. Spoločnosť Apple si je vedomá správy o tom, že tento problém mohol byť aktívne zneužívaný vo verziách systému iOS vydaných pred verziou iOS 15.7.1.

Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.

CVE-2023-41990: Apple

Dátum pridania záznamu: 8. septembra 2023

ImageIO

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Spracovanie obrázka môže viesť k odopretiu služby

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.

CVE-2023-23519: Meysam Firouzi (@R00tkitSMM, Mbition Mercedes-Benz Innovation Lab), Yiğit Can YILMAZ (@yilmazcanyigit) a jzhu v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Dátum aktualizovania záznamu: 5. septembra 2023

Kernel

Dostupné pre: Apple Watch Series 4 a novšie

Dosah: Apka môže byť schopná spôsobiť únik citlivých informácií o stave jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2023-23500: Pan ZhenPeng (@Peterpan0927) z tímu STAR Labs SG Pte. Ltd. (@starlabs_sg)

Kernel

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Apka môže byť schopná určiť rozloženie pamäte jadra

Popis: Dochádzalo k problému súvisiacemu s únikom informácií, ktorý bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2023-23502: Pan ZhenPeng (@Peterpan0927) z tímu STAR Labs SG Pte. Ltd. (@starlabs_sg)

Kernel

Dostupné pre: Apple Watch Series 4 a novšie

Dosah: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2023-23504: Adam Doupé z tímu ASU SEFCOM

Maps

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Apka môže byť schopná obísť nastavenia súkromia

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2023-23503: Anonymný výskumník

Safari

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Návšteva webovej stránky môže viesť k odmietnutiu služby apky

Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.

CVE-2023-23512: Adriatik Raci

Screen Time

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Apka môže byť schopná získať prístup k informáciám o kontaktoch používateľa

Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.

CVE-2023-23505: Wojciech Reguła z tímu SecuRing (wojciechregula.blog) a Csaba Fitzl (@theevilbit) z tímu Offensive Security

Dátum aktualizovania záznamu: 6. júna 2023

Weather

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Apka môže byť schopná obísť nastavenia súkromia

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2023-23511: Wojciech Regula z tímu SecuRing (wojciechregula.blog), anonymný výskumník

WebKit

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Spracovanie webového obsahu môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

WebKit Bugzilla: 248885

CVE-2023-32393: Francisco Alonso (@revskills)

Dátum pridania záznamu: 28. júna 2023

WebKit

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Dokument HTML môže byť schopný vykresľovať rámce iframe s citlivými používateľskými informáciami

Popis: Tento problém bol vyriešený vylepšením vynútenia izolovania priestoru pre prvky iFrame.

WebKit Bugzilla: 241753

CVE-2022-0108: Luan Herrera (@lbherrera_)

Dátum pridania záznamu: 6. júna 2023

WebKit

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Tento problém bol vyriešený vylepšením kontrol.

WebKit Bugzilla: 245464

CVE-2023-23496: ChengGang Wu, Yan Kang, YuHao Hu, Yue Sun, Jiming Wang, JiKai Ren a Hang Shu (Ústav výpočtovej techniky, Čínska akadémia vied)

WebKit

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

WebKit Bugzilla: 248268

CVE-2023-23518: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107) a Dohyun Lee (@l33d0hyun) z tímu ApplePIE

WebKit Bugzilla: 248268

CVE-2023-23517: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107) a Dohyun Lee (@l33d0hyun) z tímu ApplePIE

Ďalšie poďakovanie

AppleMobileFileIntegrity

Poďakovanie za pomoc si zaslúži Csaba Fitzl (@theevilbit) (Offensive Security).

Dátum pridania záznamu: 6. júna 2023

Core Data

Poďakovanie za pomoc si zaslúži Austin Emmitt (@alkalinesec), Senior Security Researcher, Trellix Advanced Research Center.

Dátum pridania záznamu: 8. septembra 2023

Kernel

Poďakovanie za pomoc si zaslúži Nick Stenning (Replicate).

WebKit

Poďakovanie za pomoc si zaslúži Eliya Stein (Confiant).

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.

Dátum zverejnenia: