Om säkerhetsinnehållet i watchOS 9.6

Det här dokumentet beskriver säkerhetsinnehållet i watchOS 9.6.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan Apples säkerhetssläpp.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet.

watchOS 9.6

Släpptes 24 juli 2023

Apple Neural Engine

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2023-34425: Pattern-f (@pattern_F_) på Ant Security Light-Year Lab

Lades till 27 juli 2023

Apple Neural Engine

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2023-38136: Mohamed GHANNAM (@_simo36)

CVE-2023-38580: Mohamed GHANNAM (@_simo36)

Find My

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: En app kanske kan läsa känslig platsinformation

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.

CVE-2023-32416: Wojciech Regula på SecuRing (wojciechregula.blog)

Kernel

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: En fjärranvändare kan orsaka att systemet avslutas oväntat eller att kernelminnet blir korrupt

Beskrivning: Ett problem med buffertspill åtgärdades genom förbättrad minneshantering.

CVE-2023-38590: Zweig på Kunlun Lab

Lades till 27 juli 2023

Kernel

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett uaf-fel åtgärdades med förbättrad minneshantering.

CVE-2023-38598: Mohamed GHANNAM (@_simo36)

Lades till 27 juli 2023

Kernel

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.

CVE-2023-36495: 香农的三蹦子 på Pangu Lab

Lades till 27 juli 2023

Kernel

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2023-38604: En anonym forskare

Lades till 27 juli 2023

Kernel

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2023-32734: Pan ZhenPeng (@Peterpan0927) på STAR Labs SG Pte. Ltd.

CVE-2023-32441: Peter Nguyễn Vũ Hoàng (@peternguyen14) på STAR Labs SG Pte. Ltd.

Kernel

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett uaf-fel åtgärdades med förbättrad minneshantering.

CVE-2023-32381: En anonym forskare

CVE-2023-32433: Zweig på Kunlun Lab

CVE-2023-35993: Kaitao Xie och Xiaolong Bai på Alibaba Group

Kernel

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: En app kanske kan ändra känsliga kerneltillstånd. Apple känner till en rapport om att det här problemet kan ha utnyttjats aktivt på versioner av iOS som släppts före iOS 15.7.1.

Beskrivning: Problemet åtgärdades med förbättrad tillståndshantering.

CVE-2023-38606: Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) och Boris Larin (@oct0xor) på Kaspersky

libxpc

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: En app kan få rotbehörigheter

Beskrivning: Ett problem med hantering av sökvägar åtgärdades med hjälp av förbättrad validering.

CVE-2023-38565: Zhipeng Huo (@R3dF09) på Tencent Security Xuanwu Lab (xlab.tencent.com)

libxpc

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: En app kan orsaka ett dos-angrepp

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

CVE-2023-38593: Noah Roskin-Frazee

WebKit

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: En webbplats kan spåra känslig användarinformation

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

WebKit Bugzilla: 257822

CVE-2023-38599: Hritvik Taneja, Jason Kim, Jie Jeff Xu, Stephan van Schaik, Daniel Genkin och Yuval Yarom

Lades till 27 juli 2023

WebKit

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: Bearbetning av ett dokument kan leda till en attack med skriptkörning över flera sajter

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

WebKit Bugzilla: 257299

CVE-2023-32445: Johan Carlsson (joaxcar)

Lades till 27 juli 2023

WebKit

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: Bearbetning av webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.

WebKit Bugzilla: 257331

CVE-2023-38592: Narendra Bhati (twitter.com/imnarendrabhati) på Suma Soft Pvt. Ltd, Pune – Indien, Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina och Lorenzo Veronese på TU Wien

Lades till 27 juli 2023

WebKit

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: En webbplats kan kringgå principen för samma ursprung

Beskrivning: Problemet hanterades med förbättrade kontroller.

WebKit Bugzilla: 256549

CVE-2023-38572: Narendra Bhati (twitter.com/imnarendrabhati) på Suma Soft Pvt. Ltd, Pune – Indien

WebKit

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: Bearbetning av webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Problemet hanterades med förbättrade kontroller.

WebKit Bugzilla: 256865

CVE-2023-38594: Yuhao Hu

WebKit Bugzilla: 256573

CVE-2023-38595: En anonym forskare, Jiming Wang, Jikai Ren

WebKit Bugzilla: 257387

CVE-2023-38600: Anonym i samarbete med Trend Micro Zero Day Initiative

WebKit

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: Bearbetning av webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Problemet hanterades med förbättrad minneshantering.

WebKit Bugzilla: 258058

CVE-2023-38611: Francisco Alonso (@revskills)

WebKit

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: Bearbetning av webbinnehåll kan leda till körning av opålitlig kod. Apple känner till en rapport om att det här problemet kan ha utnyttjats aktivt.

Beskrivning: Problemet hanterades med förbättrade kontroller.

WebKit Bugzilla: 259231

CVE-2023-37450: En anonym forskare

WebKit

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: Bearbetning av webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Problemet hanterades med förbättrad minneshantering.

WebKit Bugzilla: 257684

CVE-2023-42866: Francisco Alonso (@revskills) and Junsung Lee

Lades till 21 december 2023

WebKit Web Inspector

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: Bearbetning av webbinnehåll kan avslöja känslig information

Beskrivning: Problemet hanterades med förbättrade kontroller.

WebKit Bugzilla: 256932

CVE-2023-38133: YeongHyeon Choi (@hyeon101010)

Ytterligare tack

WebKit

Vi vill tacka Narendra Bhati (twitter.com/imnarendrabhati) på Suma Soft Pvt. Ltd. Pune – Indien för hjälpen.

Lades till 27 juli 2023

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.

Publiceringsdatum: