Obsah zabezpečenia v systéme watchOS 9.6

V tomto dokumente sa opisuje obsah zabezpečenia v systéme watchOS 9.6.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke s vydaniami zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.

watchOS 9.6

Apple Neural Engine

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2023-34425: pattern-f (@pattern_F_, Ant Security Light-Year Lab)

Apple Neural Engine

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2023-38136: Mohamed GHANNAM (@_simo36)

CVE-2023-38580: Mohamed GHANNAM (@_simo36)

Find My

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Apka môže byť schopná čítať citlivé informácie o polohe

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2023-32416: Wojciech Regula z tímu SecuRing (wojciechregula.blog)

Kernel

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Vzdialený používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2023-38590: Zweig (Kunlun Lab)

Kernel

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2023-38598: Mohamed GHANNAM (@_simo36)

Kernel

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2023-36495: 香农的三蹦子 (Pangu Lab)

Kernel

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2023-38604: Anonymný výskumník

Kernel

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2023-32734: Pan ZhenPeng (@Peterpan0927) z tímu STAR Labs SG Pte. Ltd.

CVE-2023-32441: Peter Nguyễn Vũ Hoàng (@peternguyen14) z tímu STAR Labs SG Pte. Ltd.

Kernel

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2023-32381: Anonymný výskumník

CVE-2023-32433: Zweig (Kunlun Lab)

CVE-2023-35993: Kaitao Xie a Xiaolong Bai (Alibaba Group)

Kernel

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Apka môže byť schopná upravovať citlivé informácie o stave jadra. Spoločnosť Apple si je vedomá správy o tom, že tento problém mohol byť aktívne zneužívaný vo verziách systému iOS vydaných pred verziou iOS 15.7.1.

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2023-38606: Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_), a Boris Larin (@oct0xor) zo spoločnosti Kaspersky

libxpc

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Apka môže byť schopná získať oprávnenia používateľa root

Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením overovania.

CVE-2023-38565: Zhipeng Huo (@R3dF09) z tímu Tencent Security Xuanwu Lab (xlab.tencent.com)

libxpc

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Apka môže byť schopná spôsobiť odopretie služby

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2023-38593: Noah Roskin-Frazee

WebKit

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Webová stránka môže byť schopná sledovať citlivé používateľské informácie

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

WebKit Bugzilla: 257822

CVE-2023-38599: Hritvik Taneja, Jason Kim, Jie Jeff Xu, Stephan van Schaik, Daniel Genkin a Yuval Yarom

WebKit

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Spracovanie dokumentu môže viesť k útoku využívajúcemu skriptovanie medzi lokalitami (XSS)

Popis: Tento problém bol vyriešený vylepšením kontrol.

WebKit Bugzilla: 257299

CVE-2023-32445: Johan Carlsson (joaxcar)

WebKit

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Spracovanie webového obsahu môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

WebKit Bugzilla: 257331

CVE-2023-38592: Narendra Bhati (twitter.com/imnarendrabhati) zo spoločnosti Suma Soft Pvt. Ltd v Pune – India, Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina a Lorenzo Veronese (TU Wien)

WebKit

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Webová stránka môže byť schopná obísť mechanizmus SOP (Same Origin Policy)

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2023-38572: Narendra Bhati (twitter.com/imnarendrabhati) zo spoločnosti Suma Soft Pvt. Ltd, Pune – India

WebKit

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Spracovanie webového obsahu môže viesť k spusteniu ľubovoľného kódu

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2023-38594: Yuhao Hu

CVE-2023-38595: Anonymný výskumník, Jiming Wang, Jikai Ren

CVE-2023-38600: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

WebKit

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Spracovanie webového obsahu môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2023-38611: Francisco Alonso (@revskills)

WebKit

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Spracovanie webového obsahu môže viesť k spusteniu ľubovoľného kódu. Spoločnosť Apple vie o hlásení o tom, že tento problém mohol byť aktívne zneužitý.

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2023-37450: Anonymný výskumník

WebKit

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Spracovanie webového obsahu môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2023-42866: Francisco Alonso (@revskills) a Junsung Lee

WebKit Web Inspector

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Spracovanie webového obsahu môže viesť k odhaleniu citlivých informácií

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2023-38133: YeongHyeon Choi (@hyeon101010)

Ďalšie poďakovanie

WebKit

Poďakovanie za pomoc si zaslúži Narendra Bhati (twitter.com/imnarendrabhati) zo spoločnosti Suma Soft Pvt. Ltd v Pune – India.