Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
watchOS 9.5
Dátum vydania: 18. mája 2023
Accessibility
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná obísť nastavenia súkromia
Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2023-32388: Kirin (@Pwnrin)
Accessibility
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Oprávnenia a povolenia ochrany súkromia udelené jednej apke môže používať iná škodlivá apka
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-32400: Mickey Jin (@patch1t)
Accounts
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Útočník môže byť schopný získať e-maily používateľských účtov
Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený vylepšením redigovania citlivých informácií.
CVE-2023-34352: Sergii Kryvoblotskyi (MacPaw Inc.)
Dátum pridania záznamu: 5. septembra 2023
Apple Neural Engine
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-32425: Mohamed GHANNAM (@_simo36)
Dátum pridania záznamu: 5. septembra 2023
Core Location
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.
CVE-2023-32399: Adam M.
Dátum aktualizovania záznamu: 5. septembra 2023
CoreServices
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná obísť nastavenia súkromia
Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.
CVE-2023-28191: Mickey Jin (@patch1t)
Face Gallery
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Útočník s fyzickým prístupom k zamknutým hodinkám Apple Watch môže byť schopný zobraziť fotky alebo kontakty používateľov prostredníctvom funkcií prístupnosti
Popis: Tento problém bol vyriešený obmedzením možností dostupných na zamknutom zariadení.
CVE-2023-32417: Zitong Wu (吴梓桐) z 1. strednej školy v Ču-chaj (珠海市第一中学)
GeoServices
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2023-32392: Adam M.
Dátum aktualizovania záznamu: 5. septembra 2023
ImageIO
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Spracovanie obrázka môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2023-32372: Meysam Firouzi (@R00tkitSMM, Mbition Mercedes-Benz Innovation Lab) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Dátum aktualizovania záznamu: 5. septembra 2023
ImageIO
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Spracovanie obrázka môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2023-32384: Meysam Firouzi (@R00tkitsmm) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
IOSurfaceAccelerator
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná odhaliť obsah pamäte jadra
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2023-32354: Linus Henze zo spoločnosti Pinauten GmbH (pinauten.de)
IOSurfaceAccelerator
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo čítať pamäť jadra
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2023-32420: Tím CertiK SkyFall a Linus Henze (Pinauten GmbH, pinauten.de)
Dátum aktualizovania záznamu: 5. septembra 2023
Kernel
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením kontrol.
CVE-2023-27930: 08Tc3wBB (Jamf)
Kernel
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2023-32398: Adam Doupé (ASU SEFCOM)
Kernel
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná získať oprávnenia používateľa root
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením spracovania stavu.
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) zo spoločnosti Synacktiv (@Synacktiv) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
LaunchServices
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže obísť kontroly služby Gatekeeper
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
CVE-2023-32352: Wojciech Reguła (@_r3ggi) z tímu SecuRing (wojciechregula.blog)
MallocStackLogging
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná získať oprávnenia používateľa root
Popis: Tento problém bol vyriešený vylepšením spracovania súborov.
CVE-2023-32428: Gergely Kalman (@gergely_kalman)
Dátum pridania záznamu: 5. septembra 2023
Metal
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná obísť nastavenia súkromia
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
Model I/O
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Spracovanie 3D modelu môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2023-32368: Mickey Jin (@patch1t)
NetworkExtension
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.
CVE-2023-32403: Adam M.
Dátum aktualizovania záznamu: 5. septembra 2023
NSURLSession
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu
Popis: Tento problém bol vyriešený vylepšením protokolu spracovania súborov.
CVE-2023-32437: Thijs Alkemade z tímu Computest Sector 7
Dátum pridania záznamu: 5. septembra 2023
Photos
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Fotky patriace do albumu Skryté fotky bolo možné zobraziť bez overenia pomocou vizuálneho vyhľadávania
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-32390: Julian Szulc
Sandbox
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná zachovať si prístup ku konfiguračným súborom systému aj po odvolaní jej povolenia
Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Koh M. Nakagawa (FFRI Security, Inc.), Kirin (@Pwnrin), Jeff Johnson (underpassapp.com) a Csaba Fitzl (@theevilbit) (Offensive Security)
Share Sheet
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením spracovania dočasných súborov.
CVE-2023-32432: Kirin (@Pwnrin)
Dátum pridania záznamu: 5. septembra 2023
Shortcuts
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Skratka môže byť schopná používať pre určité akcie citlivé údaje bez zobrazenia výzvy pre používateľa
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-32391: Wenchao Li a Xiaolong Bai (Alibaba Group)
Shortcuts
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná obísť nastavenia súkromia
Popis: Tento problém bol vyriešený vylepšením autorizácie.
CVE-2023-32404: Mickey Jin (@patch1t), Zhipeng Huo (@R3dF09) z tímu Security Xuanwu Lab spoločnosti Tencent (xlab.tencent.com) a anonymný výskumník
Siri
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Osoba s fyzickým prístupom k zariadeniu môže byť schopná zobraziť kontaktné údaje zo zamknutej plochy
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-32394: Khiem Tran
SQLite
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná obísť nastavenia súkromia
Popis: Tento problém bol vyriešený pridaním ďalších obmedzení protokolovania SQLite.
CVE-2023-32422: Gergely Kalman (@gergely_kalman) a Wojciech Regula (SecuRing, wojciechregula.blog)
Dátum pridania záznamu: 5. septembra 2023
StorageKit
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Tento problém bol vyriešený vylepšením autorizácie.
CVE-2023-32376: Yiğit Can YILMAZ (@yilmazcanyigit)
System Settings
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Po ukončení apky Nastavenia sa nemusí prejaviť nastavenie apkového firewallu
Popis: Tento problém bol vyriešený vylepšením správy stavu.
CVE-2023-28202: Satish Panduranga a anonymný výskumník
Telephony
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu
Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2023-32412: Ivan Fratric (Google Project Zero)
TV App
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.
CVE-2023-32408: Adam M.
WebKit
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Spracovanie webového obsahu môže viesť k odhaleniu citlivých informácií
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
WebKit Bugzilla: 255075
CVE-2023-32402: Anonymný výskumník
WebKit
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Spracovanie webového obsahu môže viesť k odhaleniu citlivých informácií
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.
WebKit Bugzilla: 254781
CVE-2023-32423: Ignacio Sanmillan (@ulexec)
WebKit
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Vzdialený útočník môže byť schopný pracovať mimo sandboxu pre webový obsah. Spoločnosť Apple vie o hlásení o tom, že tento problém mohol byť aktívne zneužitý.
Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.
WebKit Bugzilla: 255350
CVE-2023-32409: Clément Lecigne (Threat Analysis Group, Google) a Donncha Ó Cearbhaill (Security Lab, Amnesty International)
WebKit
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Spracovanie webového obsahu môže viesť k odhaleniu citlivých informácií. Spoločnosť Apple vie o hlásení o tom, že tento problém mohol byť aktívne zneužitý.
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
WebKit Bugzilla: 254930
CVE-2023-28204: Anonymný výskumník
WebKit
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu. Spoločnosť Apple vie o hlásení o tom, že tento problém mohol byť aktívne zneužitý.
Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.
WebKit Bugzilla: 254840
CVE-2023-32373: Anonymný výskumník
Wi-Fi
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná odhaliť obsah pamäte jadra
Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.
CVE-2023-32389: Pan ZhenPeng (@Peterpan0927) z tímu STAR Labs SG Pte. Ltd.
Ďalšie poďakovanie
Accounts
Poďakovanie za pomoc si zaslúži Sergii Kryvoblotskyi (MacPaw Inc.).
CloudKit
Poďakovanie za pomoc si zaslúži Iconic.
libxml2
Poďakovanie za pomoc si zaslúžia OSS-Fuzz a Ned Williamson (Google Project Zero).
Reminders
Poďakovanie za pomoc si zaslúži Kirin (@Pwnrin).
Security
Poďakovanie za pomoc si zaslúži Brandon Toms.
Share Sheet
Poďakovanie za pomoc si zaslúži Kirin (@Pwnrin).
Wallet
Poďakovanie za pomoc si zaslúži James Duffy (mangoSecure).