Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke s vydaniami zabezpečenia Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
watchOS 10.3
Dátum vydania: 22. januára 2024
Apple Neural Engine
Dostupné pre zariadenia s modulom Apple Neural Engine: Apple Watch Series 9 a Apple Watch Ultra 2
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2024-23212: Ye Zhang (Baidu Security)
CoreCrypto
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Útočiaca osoba môže byť schopná dešifrovať údaje zašifrované starším algoritmom RSA PKCS#1 v1.5 bez toho, aby mala súkromný kľúč
Popis: Dochádzalo k problému s časovaním vedľajšieho kanála, ktorý bol vyriešený vylepšením výpočtu časovej konštanty v kryptografických funkciách.
CVE-2024-23218: Clemens Lang
Kernel
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2024-23208: fmyy (@binary_fmyy) a lime z tímu TIANGONG Team of Legendsec spoločnosti QI-ANXIN Group
libxpc
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná spôsobiť odopretie služby
Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.
CVE-2024-23201: Koh M. Nakagawa zo spoločnosti FFRI Security, Inc. a anonymný výskumník
Dátum pridania záznamu: 7. marca 2024
Mail Search
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam
Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.
CVE-2024-23207: Noah Roskin-Frazee a Prof. J. (ZeroClicks.ai Lab) a Ian de Marcellus
NSSpellChecker
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam
Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením spracovania súborov.
CVE-2024-23223: Noah Roskin-Frazee a Prof. J. (ZeroClicks.ai Lab)
Safari
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Súkromná aktivita prehliadania používateľa môže byť viditeľná v Nastaveniach
Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením spracovania používateľských nastavení.
CVE-2024-23211: Mark Bowers
Shortcuts
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Skratka môže byť schopná používať pre určité akcie citlivé údaje bez zobrazenia výzvy pre používateľa
Popis: Tento problém bol vyriešený pridaním ďalších kontrol povolení.
CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)
Shortcuts
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná obísť určité nastavenia súkromia
Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením spracovania dočasných súborov.
CVE-2024-23217: Kirin (@Pwnrin)
TCC
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Problém bol vyriešený vylepšením spracovania dočasných súborov.
CVE-2024-23215: Zhongquan Li (@Guluisacat)
Time Zone
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná zobraziť telefónne číslo používateľa v systémových denníkoch
Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.
CVE-2024-23210: Noah Roskin-Frazee a Prof. J. (ZeroClicks.ai Lab)
WebKit
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Webová stránka so škodlivým kódom môže byť schopná vytvoriť jedinečnú identitu používateľa
Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený vylepšením obmedzení prístupu.
WebKit Bugzilla: 262699
CVE-2024-23206: Anonymný výskumník
WebKit
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Spracovanie webového obsahu môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
WebKit Bugzilla: 266619
CVE-2024-23213: Wangtaiyu (Zhongfu info)
WebKit
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Webová stránka so škodlivým kódom môže spôsobiť neočakávané správanie využívajúce zámenu pôvodu
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
WebKit Bugzilla: 265812
CVE-2024-23271: James Lee (@Windowsrcer)
Dátum pridania záznamu: 24. apríla 2024
Ďalšie poďakovanie
NetworkExtension
Poďakovanie za pomoc si zaslúži Nils Rollshausen.
Dátum pridania záznamu: 24. apríla 2024