Obsah zabezpečenia v systéme watchOS 10.2

V tomto dokumente sa popisuje obsah zabezpečenia v systéme watchOS 10.2.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke s vydaniami zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.

watchOS 10.2

Dátum vydania: 11. decembra 2023

Accessibility

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.

CVE-2023-42937: Noah Roskin-Frazee a Prof. J. (ZeroClicks.ai Lab)

Dátum pridania záznamu: 22. januára 2024

Accounts

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.

CVE-2023-42919: Kirin (@Pwnrin)

ImageIO

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Spracovanie obrázka môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2023-42898: Zhenjiang Zhao (Pangu Team), Qianxin a Junsung Lee

CVE-2023-42899: Meysam Firouzi @R00tkitSMM a Junsung Lee

Dátum aktualizovania záznamu: 22. marca 2024

ImageIO

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Spracovanie obrázka so škodlivým kódom môže mať za následok odhalenie operačnej pamäte

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2023-42888: Michael DePlante (@izobashi) z tímu Zero Day Initiative spoločnosti Trend Micro

Dátum pridania záznamu: 22. januára 2024

Kernel

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) zo spoločnosti Synacktiv (@Synacktiv)

Libsystem

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Apka môže byť schopná získať prístup k chráneným používateľským dátam

Popis: Problém s povoleniami sa vyriešil odstránením nedostatočne zabezpečeného kódu a pridaním ďalších kontrol.

CVE-2023-42893

Dátum pridania záznamu: 22. marca 2024

Sandbox

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.

CVE-2023-42936

Dátum pridania záznamu: 22. marca 2024

TCC

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu

Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením overovania.

CVE-2023-42947: Zhongquan Li (@Guluisacat) z tímu Dawn Security Lab spoločnosti JingDong

Dátum pridania záznamu: 22. marca 2024

WebKit

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Spracovanie webového obsahu môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

WebKit Bugzilla: 259830
CVE-2023-42890: Pwn2car

WebKit

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Spracovanie obrázka môže viesť k odopretiu služby

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

WebKit Bugzilla: 263349
CVE-2023-42883: Zoom Offensive Security Team

WebKit

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Spracovanie webového obsahu môže viesť k odhaleniu citlivých informácií. Spoločnosť Apple si je vedomá správy o tom, že tento problém mohol byť zneužívaný vo verziách systému iOS starších ako iOS 16.7.1.

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

WebKit Bugzilla: 265041
CVE-2023-42916: Clément Lecigne z tímu Threat Analysis Group spoločnosti Google

WebKit

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Spracovanie webového obsahu môže viesť k spusteniu ľubovoľného kódu. Spoločnosť Apple si je vedomá správy o tom, že tento problém mohol byť zneužívaný vo verziách systému iOS starších ako iOS 16.7.1.

Popis: Nedostatočne zabezpečené miesto súvisiace s poškodením pamäte bolo odstránené vylepšením zamykania.

WebKit Bugzilla: 265067
CVE-2023-42917: Clément Lecigne z tímu Threat Analysis Group spoločnosti Google

WebKit

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.

WebKit Bugzilla: 263682
CVE-2023-42950: Nan Wang (@eternalsakura13) z tímu 360 Vulnerability Research Institute a rushikesh nandedkar

Dátum pridania záznamu: 22. marca 2024

 

Ďalšie poďakovanie

Wi-Fi

Poďakovanie za pomoc si zaslúžia Noah Roskin-Frazee a Prof. J. (ZeroClicks.ai Lab).

 

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.

Dátum zverejnenia: