Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan Apples säkerhetssläpp.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
Mer information om säkerhet finns på sidan Apples produktsäkerhet.
watchOS 10
Släpptes 18 september 2023
App Store
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: En fjärrangripare kanske kan bryta sig ur sandlådan för webbinnehåll
Beskrivning: Problemet åtgärdades genom förbättrad hantering av protokoll.
CVE-2023-40448: w0wbox
Apple Neural Engine
Tillgängligt för enheter med Apple Neural Engine: Apple Watch Series 9 och Apple Watch Ultra 2
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-40432: Mohamed GHANNAM (@_simo36)
CVE-2023-41174: Mohamed GHANNAM (@_simo36)
CVE-2023-40409: Ye Zhang (@VAR10CK) på Baidu Security
CVE-2023-40412: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
Tillgängligt för enheter med Apple Neural Engine: Apple Watch Series 9 och Apple Watch Ultra 2
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett UAF-fel åtgärdades med förbättrad minneshantering.
CVE-2023-41071: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
Tillgänglig för enheter med Apple Neural Engine: Apple Watch Series 9 och Apple Watch Ultra 2
Effekt: En app kan avslöja kernelminnet
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-40399: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
Tillgänglig för enheter med Apple Neural Engine: Apple Watch Series 9 och Apple Watch Ultra 2
Effekt: En app kan avslöja kernelminnet
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2023-40410: Tim Michaud (@TimGMichaud) på Moveworks.ai
AuthKit
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: En app kan komma åt användarkänsliga data
Beskrivning: Problemet åtgärdades genom förbättrad hantering av cache.
CVE-2023-32361: Csaba Fitzl (@theevilbit) på Offensive Security
Bluetooth
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: En angripare som befinner sig fysiskt i närheten kan orsaka en begränsad skrivning utanför gränserna
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-35984: zer0k
bootp
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: En app kanske kan läsa känslig platsinformation
Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.
CVE-2023-41065: Adam M., samt Noah Roskin-Frazee och professor Jason Lau (ZeroClicks.ai Lab)
CFNetwork
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: En app kan misslyckas med att följa App Transport Security
Beskrivning: Problemet åtgärdades genom förbättrad hantering av protokoll.
CVE-2023-38596: Will Brattain på Trail of Bits
CoreAnimation
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: Bearbetning av webbinnehåll kan leda till ett DoS-angrepp
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-40420: 이준성(Junsung Lee) på Cross Republic
Core Data
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: En app kan kringgå inställningar för Integritet
Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.
CVE-2023-40528: Kirin (@Pwnrin) på NorthSea
Lades till 22 januari 2024
Dev Tools
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: En app kan få högre behörighet
Beskrivning: Problemet åtgärdades med förbättrade kontroller.
CVE-2023-32396: Mickey Jin (@patch1t)
Game Center
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: En app kanske kan komma åt kontakter
Beskrivning: Problemet åtgärdades genom förbättrad hantering av cache.
CVE-2023-40395: Csaba Fitzl (@theevilbit) på Offensive Security
Kernel
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: En angripare som redan har uppnått körning av kernel-kod kan kringgå kärnminnesbegränsningar
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-41981: Linus Henze på Pinauten GmbH (pinauten.de)
Kernel
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) på STAR Labs SG Pte. Ltd.
Kernel
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: En app kanske kan komma åt känsliga användardata
Beskrivning: Ett tillståndsproblem åtgärdades med hjälp av förbättrad validering.
CVE-2023-40429: Michael (Biscuit) Thomas och 张师傅(@京东蓝军)
libpcap
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: En fjärranvändare kan orsaka att appar avslutas oväntat eller att opålitlig kod körs
Beskrivning: Problemet åtgärdades med förbättrade kontroller.
CVE-2023-40400: Sei K.
libxpc
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: En app kan kanske radera filer som den inte har behörighet till
Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.
CVE-2023-40454: Zhipeng Huo (@R3dF09) på Tencent Security Xuanwu Lab (xlab.tencent.com)
libxpc
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: En app kanske kan komma åt skyddade användardata
Beskrivning: Ett problem med auktorisation åtgärdades genom förbättrad tillståndshantering.
CVE-2023-41073: Zhipeng Huo (@R3dF09) på Tencent Security Xuanwu Lab (xlab.tencent.com)
libxslt
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: Bearbetning av webbinnehåll kan avslöja känslig information
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-40403: Dohyun Lee (@l33d0hyun) på PK Security
Maps
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: En app kanske kan läsa känslig platsinformation
Beskrivning: Problemet åtgärdades genom förbättrad hantering av cache.
CVE-2023-40427: Adam M. och Wojciech Regula på SecuRing (wojciechregula.blog)
MobileStorageMounter
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: En användare kanske kan öka behörigheter
Beskrivning: Ett åtkomstproblem åtgärdades genom ytterligare åtkomstbegränsningar.
CVE-2023-41068: Mickey Jin (@patch1t)
Passcode
Tillgängligt för: Apple Watch Ultra (alla modeller)
Effekt: En Apple Watch Ultra kanske inte låstes vid användning av appen Djup
Beskrivning: Ett problem med autentisering åtgärdades genom förbättrad tillståndshantering.
CVE-2023-40418: serkan Gurbuz
Photos Storage
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: En app kan komma åt redigerade bilder som har sparats i en tillfällig katalog
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-40456: Kirin (@Pwnrin)
CVE-2023-40520: Kirin (@Pwnrin)
Safari
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: En app kan kanske identifiera vilka övriga appar som en användare har installerat
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-35990: Adriatik Raci på Sentry Cybersecurity
Safari
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: Besök på en webbplats med skadligt innehåll i ramar kan leda till att användargränssnittet förfalskas
Beskrivning: Ett problem med fönsterhantering åtgärdades genom förbättrad tillståndshantering.
CVE-2023-40417: Narendra Bhati (twitter.com/imnarendrabhati) på Suma Soft Pvt. Ltd, Pune (Indien)
Uppdaterades 2 januari 2024
Sandbox
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: En app kan skriva över opålitliga filer
Beskrivning: Problemet hanterades med förbättrade gränskontroller.
CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)
Share Sheet
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: En app kanske kan komma åt känsliga data som loggas när en användare delar en länk
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.
CVE-2023-41070: Kirin (@Pwnrin)
Simulator
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: En app kan få högre behörighet
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-40419: Arsenii Kostromin (0x3c3e)
StorageKit
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: En app kanske kan läsa opålitliga filer
Beskrivning: Problemet åtgärdades genom förbättrad validering av symlänkar.
CVE-2023-41968: Mickey Jin (@patch1t) och James Hutchins
TCC
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: En app kan komma åt användarkänsliga data
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-40424: Arsenii Kostromin (0x3c3e), Joshua Jewett (@JoshJewett33) och Csaba Fitzl (@theevilbit) på Offensive Security
WebKit
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: Bearbetning av webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Ett UAF-fel åtgärdades genom förbättrad minneshantering.
WebKit Bugzilla: 249451
CVE-2023-39434: Francisco Alonso (@revskills) och Dohyun Lee (@l33d0hyun) på PK Security
WebKit Bugzilla: 258992
CVE-2023-40414: Francisco Alonso (@revskills)
Uppdaterades 2 januari 2024
WebKit
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: Bearbetning av webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Problemet hanterades med förbättrade kontroller.
WebKit Bugzilla: 256551
CVE-2023-41074: 이준성(Junsung Lee) på Cross Republic och Jie Ding(@Lime) från HKUS3 Lab
Uppdaterades 2 januari 2024
WebKit
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: Bearbetning av webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Problemet hanterades med förbättrad minneshantering.
WebKit Bugzilla: 239758
CVE-2023-35074: Ajou University Abysslab Dong Jun Kim (@smlijun) och Jong Seong Kim (@nevul37)
Uppdaterades 2 januari 2024
Ytterligare tack
Airport
Vi vill tacka Adam M. samt Noah Roskin-Frazee och professor Jason Lau (ZeroClicks.ai Lab) för hjälpen.
Audio
Vi vill tacka Mickey Jin (@patch1t) för hjälpen.
Bluetooth
Vi vill tacka Jianjun Dai och Guang Gong på 360 Vulnerability Research Institute för hjälpen.
Books
Vi vill tacka Aapo Oksman på Nixu Cybersecurity för hjälpen.
Control Center
Vi vill tacka Chester van den Bogaard för hjälpen.
Data Detectors UI
Vi vill tacka Abhay Kailasia (@abhay_kailasia) från Lakshmi Narain College of Technology Bhopal för hjälpen.
Find My
Vi vill tacka Cher Scarlett för hjälpen.
Home
Vi vill tacka Jake Derouin (jakederouin.com) för hjälpen.
IOUserEthernet
Vi vill tacka Certik Skyfall Team för hjälpen.
Lades till 2 januari 2024
Kernel
Vi vill tacka Bill Marczak på The Citizen Lab vid The University of Toronto's Munk School, Maddie Stone på Google's Threat Analysis Group och 永超 王 för hjälpen.
libxml2
Vi vill tacka OSS-Fuzz och Ned Williamson på Google Project Zero för hjälpen.
libxpc
Vi vill tacka en anonym forskare för hjälpen.
libxslt
Vi vill tacka Dohyun Lee (@l33d0hyun) på PK Security, OSS-Fuzz och Ned Williamson på Google Project Zero för hjälpen.
NSURL
Vi vill tacka Zhanpeng Zhao (行之) och 糖豆爸爸(@晴天组织) för hjälpen.
Photos
Vi vill tacka Dawid Pałuska och Kirin (@Pwnrin) för hjälpen.
Photos Storage
Vi vill tacka Wojciech Regula på SecuRing (wojciechregula.blog) för hjälpen.
Power Services
Vi vill tacka Mickey Jin (@patch1t) för hjälpen.
Shortcuts
Vi vill tacka Alfie CG, Christian Basting på Bundesamt für Sicherheit in der Informationstechnik, Cristian Dinca på ”Tudor Vianu” National High School of Computer Science, Rumänien, Giorgos Christodoulidis, Jubaer Alnazi på TRS Group Of Companies, KRISHAN KANT DWIVEDI (@xenonx7) och Matthew Butler för hjälpen.
Uppdaterades 24 april 2024
Software Update
Vi vill tacka Omar Siman för hjälpen.
StorageKit
Vi vill tacka Mickey Jin (@patch1t) för hjälpen.
WebKit
Vi vill tacka Khiem Tran, Narendra Bhati från Suma Soft Pvt. Ltd. och en anonym forskare för hjälpen.