Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
watchOS 9.4
Dátum vydania: 27. marca 2023
AppleMobileFileIntegrity
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Používateľ môže získať prístup do chránených častí súborového systému
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-23527: Mickey Jin (@patch1t)
Calendar
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Importovanie pozvánky so škodlivým kódom do kalendára môže viesť k exfiltrácii informácií o používateľovi
Popis: Dochádzalo k viacerým problémom s overovaním, ktoré boli vyriešené vylepšením čistenia vstupu.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
Camera
Dostupné pre: Apple Watch Series 4 a novšie
Dosah: Apka v sandboxe môže byť schopná určiť, ktorá apka momentálne používa kameru
Popis: Problém bol vyriešený dodatočnými obmedzeniami pozorovateľnosti stavov apiek.
CVE-2023-23543: Yiğit Can YILMAZ (@yilmazcanyigit)
Dátum pridania záznamu: 8. júna 2023
CoreCapture
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-28181: Tingting Yin (Univerzita Čching-chua)
Find My
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2023-23537: Adam M.
CVE-2023-28195: Adam M.
Dátum aktualizovania záznamu: 21. decembra 2023
FontParser
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Spracovanie obrázka so škodlivým kódom môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-27956: Ye Zhang (Baidu Security)
Foundation
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Analýza súboru plist so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2023-27937: Anonymný výskumník
Identity Services
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná získať prístup k informáciám o kontaktoch používateľa
Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2023-27928: Csaba Fitzl (@theevilbit, Offensive Security)
ImageIO
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Spracovanie obrázka so škodlivým kódom môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-23535: ryuzaki
ImageIO
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Spracovanie obrázka so škodlivým kódom môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2023-27929: Meysam Firouzi (@R00tkitSMM, Mbition Mercedes-Benz Innovation Lab) a jzhu v spolupráci s projektom Trend Micro Zero Day Initiative
ImageIO
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Spracovanie obrázka môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2023-42862: Meysam Firouzi @R00tkitSMM
CVE-2023-42865: jzhu v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro a Meysam Firouzi (@R00tkitSMM) z tímu Mbition Mercedes-Benz Innovation Lab
Dátum pridania záznamu: 21. decembra 2023
Kernel
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.
CVE-2023-23536: Félix Poulin-Bélanger a David Pan Ogea
Dátum pridania záznamu: 8. júna 2023, dátum aktualizovania: 21. decembra 2023
Kernel
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2023-27969: Adam Doupé (ASU SEFCOM)
Kernel
Dostupné pre: Apple Watch Series 4 a novšie
Dosah: Apka s oprávneniami používateľa root môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-27933: sqrtpwn
Kernel
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná spôsobiť odopretie služby
Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2023-28185: Pan ZhenPeng (STAR Labs SG Pte. Ltd.
Dátum pridania záznamu: 21. decembra 2023
Kernel
Dostupné pre: Apple Watch Series 4 a novšie
Dosah: Útočník, ktorý už dosiahol spustenie kódu v režime jadra, môže byť schopný obísť bezpečnostné opatrenia v pamäti jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-32424: Zechao Cai (@Zech4o) z univerzity v Če-ťiangu
Dátum pridania záznamu: 21. decembra 2023
Podcasts
Dostupné pre: Apple Watch Series 4 a novšie
Dosah: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-27942: Mickey Jin (@patch1t)
Sandbox
Dostupné pre: Apple Watch Series 4 a novšie
Dosah: Apka môže byť schopná obísť nastavenia súkromia
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.
CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)
Dátum pridania záznamu: 8. júna 2023
Shortcuts
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Skratka môže byť schopná používať pre určité akcie citlivé údaje bez zobrazenia výzvy pre používateľa
Popis: Tento problém bol vyriešený pridaním ďalších kontrol povolení.
CVE-2023-27963: Jubaer Alnazi Jabin (TRS Group Of Companies) a Wenchao Li a Xiaolong Bai (Alibaba Group)
TCC
Dostupné pre: Apple Watch Series 4 a novšie
Dosah: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2023-27931: Mickey Jin (@patch1t)
WebKit
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Spracovanie webového obsahu so škodlivým kódom umožňuje obísť mechanizmus SOP (Same Origin Policy)
Popis: Tento problém bol vyriešený vylepšením správy stavu.
WebKit Bugzilla: 248615
CVE-2023-27932: Anonymný výskumník
WebKit
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Webová stránka môže byť schopná sledovať citlivé používateľské informácie
Tento problém bol vyriešený odstránením informácií o pôvode.
WebKit Bugzilla: 250837
CVE-2023-27954: Anonymný výskumník
Ďalšie poďakovanie
Activation Lock
Poďakovanie za pomoc si zaslúži Christian Mina.
CFNetwork
Poďakovanie za pomoc si zaslúži anonymný výskumník.
CoreServices
Poďakovanie za pomoc si zaslúži Mickey Jin (@patch1t).
ImageIO
Poďakovanie za pomoc si zaslúži Meysam Firouzi (@R00tkitSMM).
Poďakovanie za pomoc si zaslúžia Chen Zhang, Fabian Ising (Univerzita aplikovaných vied FH v Münsteri), Damian Poddebniak (Univerzita aplikovaných vied FH v Münsteri), Tobias Kappert (Univerzita aplikovaných vied v Münsteri), Christoph Saatjohann (Univerzita aplikovaných vied v Münsteri), Sebast a Merlin Chlosta (CISPA Helmholtz Center for Information Security).
Safari Downloads
Poďakovanie za pomoc si zaslúži Andrew Gonzalez.
WebKit
Poďakovanie za pomoc si zaslúži anonymný výskumník.