Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke s vydaniami zabezpečenia Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
watchOS 10.1
Dátum vydania: 25. októbra 2023
Core Recents
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Tento problém bol vyriešený vyčistením protokolovania.
CVE-2023-42823
Dátum pridania záznamu: 16. februára 2024
Find My
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.
CVE-2023-40413: Adam M.
Find My
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam
Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením spracovania súborov.
CVE-2023-42834: Csaba Fitzl (@theevilbit, Offensive Security)
Dátum pridania záznamu: 16. februára 2024
Game Center
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam
Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.
CVE-2023-42953: Michael (Biscuit) Thomas – @biscuit@social.lol
Dátum pridania záznamu: 16. februára 2024
ImageIO
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k poškodeniu haldy
Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.
CVE-2023-42848: JZ
Dátum pridania záznamu: 16. februára 2024
Kernel
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Útočník, ktorý už dosiahol spustenie kódu v režime jadra, môže byť schopný obísť bezpečnostné opatrenia v pamäti jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-42849: Linus Henze z tímu Pinauten GmbH (pinauten.de)
libxpc
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka so škodlivým kódom môže byť schopná získať prístup k oprávneniam používateľa root
Popis: Tento problém bol vyriešený vylepšením spracovania symbolických odkazov.
CVE-2023-42942: Mickey Jin (@patch1t)
Dátum pridania záznamu: 16. februára 2024
Mail Drafts
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Funkcia Skryť môj email sa môže neočakávane deaktivovať
Popis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.
CVE-2023-40408: Grzegorz Riegel
mDNSResponder
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Zariadenie možno pasívne sledovať podľa jeho MAC adresy vo Wi-Fi sieti
Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2023-42846: Talal Haj Bakry a Tommy Mysk z tímu Mysk Inc. @mysk_co
Sandbox
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam
Popis: Tento problém bol vyriešený vylepšením správy stavu.
CVE-2023-42839: Yiğit Can YILMAZ (@yilmazcanyigit)
Dátum pridania záznamu: 16. februára 2024
Share Sheet
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam
Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2023-42878: Kirin (@Pwnrin), Wojciech Regula z tímu SecuRing (wojciechregula.blog) a Cristian Dinca (Colegiul Național de Informatică Tudor Vianu, Rumunsko)
Dátum pridania záznamu: 16. februára 2024
Siri
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Útočník s fyzickým prístupom môže byť schopný získať prostredníctvom Siri prístup k citlivým údajom používateľa
Popis: Tento problém bol vyriešený obmedzením možností dostupných na zamknutom zariadení.
CVE-2023-41982: Bistrit Dahal
CVE-2023-41997: Bistrit Dahal
CVE-2023-41988: Bistrit Dahal
Dátum aktualizovania záznamu: 16. februára 2024
Siri
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná spôsobiť únik citlivých používateľských informácií
Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.
CVE-2023-42946
Dátum pridania záznamu: 16. februára 2024
Weather
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam
Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2023-41254: Cristian Dinca (Colegiul Național de Informatică Tudor Vianu, Rumunsko)
WebKit
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Spracovanie webového obsahu môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
WebKit Bugzilla: 259836
CVE-2023-40447: 이준성 (Junsung Lee) z tímu Cross Republic
WebKit
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Spracovanie webového obsahu môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.
WebKit Bugzilla: 259890
CVE-2023-41976: 이준성 (Junsung Lee)
WebKit
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Spracovanie webového obsahu môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
WebKit Bugzilla: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) a Vitor Pedreira (@0xvhp_) z tímu Agile Information Security
Dátum aktualizovania záznamu: 16. februára 2024
Ďalšie poďakovanie
VoiceOver
Poďakovanie za pomoc si zaslúži Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology v Bhópale v Indii.
WebKit
Poďakovanie za pomoc si zaslúži anonymný výskumník.