Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
watchOS 9.3
Dátum vydania: 23. januára 2023
AppleMobileFileIntegrity
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná obísť nastavenia súkromia
Popis: Tento problém bol vyriešený vylepšením kontrol, aby sa zabránilo neoprávneným akciám.
CVE-2023-32438: Csaba Fitzl (@theevilbit, Offensive Security) a Mickey Jin (@patch1t)
Dátum pridania záznamu: 5. septembra 2023
AppleMobileFileIntegrity
Dostupné pre: Apple Watch Series 4 a novšie
Dosah: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Tento problém bol vyriešený zapnutím zabezpečeného chodu apky.
CVE-2023-23499: Wojciech Regula z tímu SecuRing (wojciechregula.blog)
Crash Reporter
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Používateľ môže byť schopný čítať ľubovoľné súbory ako koreňový používateľ
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.
CVE-2023-23520: Cees Elzinga
Dátum pridania záznamu: 6. júna 2023
FontParser
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Spracovanie súboru písma môže viesť k spusteniu ľubovoľného kódu. Spoločnosť Apple si je vedomá správy o tom, že tento problém mohol byť aktívne zneužívaný vo verziách systému iOS vydaných pred verziou iOS 15.7.1.
Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.
CVE-2023-41990: Apple
Dátum pridania záznamu: 8. septembra 2023
ImageIO
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Spracovanie obrázka môže viesť k odopretiu služby
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2023-23519: Meysam Firouzi (@R00tkitSMM, Mbition Mercedes-Benz Innovation Lab), Yiğit Can YILMAZ (@yilmazcanyigit) a jzhu v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Dátum aktualizovania záznamu: 5. septembra 2023
Kernel
Dostupné pre: Apple Watch Series 4 a novšie
Dosah: Apka môže byť schopná spôsobiť únik citlivých informácií o stave jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-23500: Pan ZhenPeng (@Peterpan0927) z tímu STAR Labs SG Pte. Ltd. (@starlabs_sg)
Kernel
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná určiť rozloženie pamäte jadra
Popis: Dochádzalo k problému súvisiacemu s únikom informácií, ktorý bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2023-23502: Pan ZhenPeng (@Peterpan0927) z tímu STAR Labs SG Pte. Ltd. (@starlabs_sg)
Kernel
Dostupné pre: Apple Watch Series 4 a novšie
Dosah: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-23504: Adam Doupé z tímu ASU SEFCOM
Maps
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná obísť nastavenia súkromia
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2023-23503: Anonymný výskumník
Safari
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Návšteva webovej stránky môže viesť k odmietnutiu služby apky
Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.
CVE-2023-23512: Adriatik Raci
Screen Time
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná získať prístup k informáciám o kontaktoch používateľa
Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2023-23505: Wojciech Reguła z tímu SecuRing (wojciechregula.blog) a Csaba Fitzl (@theevilbit) z tímu Offensive Security
Dátum aktualizovania záznamu: 6. júna 2023
Weather
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná obísť nastavenia súkromia
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-23511: Wojciech Regula z tímu SecuRing (wojciechregula.blog), anonymný výskumník
WebKit
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Spracovanie webového obsahu môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
WebKit Bugzilla: 248885
CVE-2023-32393: Francisco Alonso (@revskills)
Dátum pridania záznamu: 28. júna 2023
WebKit
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Dokument HTML môže byť schopný vykresľovať rámce iframe s citlivými používateľskými informáciami
Popis: Tento problém bol vyriešený vylepšením vynútenia izolovania priestoru pre prvky iFrame.
WebKit Bugzilla: 241753
CVE-2022-0108: Luan Herrera (@lbherrera_)
Dátum pridania záznamu: 6. júna 2023
WebKit
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Tento problém bol vyriešený vylepšením kontrol.
WebKit Bugzilla: 245464
CVE-2023-23496: ChengGang Wu, Yan Kang, YuHao Hu, Yue Sun, Jiming Wang, JiKai Ren a Hang Shu (Ústav výpočtovej techniky, Čínska akadémia vied)
WebKit
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
WebKit Bugzilla: 248268
CVE-2023-23518: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107) a Dohyun Lee (@l33d0hyun) z tímu ApplePIE
WebKit Bugzilla: 248268
CVE-2023-23517: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107) a Dohyun Lee (@l33d0hyun) z tímu ApplePIE
Ďalšie poďakovanie
AppleMobileFileIntegrity
Poďakovanie za pomoc si zaslúži Csaba Fitzl (@theevilbit) (Offensive Security).
Dátum pridania záznamu: 6. júna 2023
Core Data
Poďakovanie za pomoc si zaslúži Austin Emmitt (@alkalinesec), Senior Security Researcher, Trellix Advanced Research Center.
Dátum pridania záznamu: 8. septembra 2023
Kernel
Poďakovanie za pomoc si zaslúži Nick Stenning (Replicate).
WebKit
Poďakovanie za pomoc si zaslúži Eliya Stein (Confiant).