מידע על תוכן האבטחה של watchOS 10.2

מסמך זה מתאר את תוכן האבטחה של watchOS 10.2.

מידע על עדכוני האבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID כאשר הדבר ניתן.

למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.

watchOS 10.2

Accessibility

זמין עבור: Apple Watch Series 4 ואילך

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית פרטיות טופלה באמצעות עריכת נתונים פרטיים משופרת עבור רשומות יומן.

CVE-2023-42937: ‏Noah Roskin-Frazee ו-Prof. J.‎ ‏(ZeroClicks.ai Lab)

Accounts

זמין עבור: Apple Watch Series 4 ואילך

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית פרטיות טופלה באמצעות עריכת נתונים פרטיים משופרת עבור רשומות יומן.

CVE-2023-42919:‏ Kirin (‏Pwnrin@)

ImageIO

זמין עבור: Apple Watch Series 4 ואילך

השפעה: עיבוד תמונה עלול לגרום להפעלת קוד שרירותי

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2023-42898‏: Zhenjiang Zhao of Pangu Team, Qianxin and Junsung Lee

CVE-2023-42899‏: Meysam Firouzi @R00tkitSMM ו-Junsung Lee

ImageIO

זמין עבור: Apple Watch Series 4 ואילך

השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2023-42888‏: Michael DePlante ‏(@izobashi) מ-Trend Micro Zero Day Initiative

Kernel

זמין עבור: Apple Watch Series 4 ואילך

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2023-42914‏: Eloi Benoist-Vanderbeken‏ (‎@elvanderb) מ-Synacktiv‏ (‎@Synacktiv)

Libsystem

זמין עבור: Apple Watch Series 4 ואילך

השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים

תיאור: בעיית הרשאות טופלה באמצעות הסרה של קוד פגיע והוספת בדיקות.

CVE-2023-42893

Sandbox

זמין עבור: Apple Watch Series 4 ואילך

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.

CVE-2023-42936: ‏Csaba Fitzl ‏(‎@theevilbit) מ-OffSec

TCC

זמין עבור: Apple Watch Series 4 ואילך

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.

CVE-2023-42947‏: Zhongquan Li (@Guluisacat) מ-Dawn Security Lab of JingDong

Transparency

זמין עבור: Apple Watch Series 4 ואילך

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: הבעיה טופלה באמצעות הגבלה משופרת של גישה אל הגורם המכיל של הנתונים.

CVE-2023-40389:‏ Csaba Fitzl ‏(‎@theevilbit) מ-Offensive Security ו-Joshua Jewett ‏(‎@JoshJewett33)

WebKit

זמין עבור: Apple Watch Series 4 ואילך

השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2023-42890:‏ Pwn2car

WebKit

זמין עבור: Apple Watch Series 4 ואילך

השפעה: עיבוד תמונה עלול לגרום למניעת שירות

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2023-42883‏: Zoom Offensive Security Team

WebKit

זמין עבור: Apple Watch Series 4 ואילך

השפעה: עיבוד תוכן אינטרנט עלול לחשוף מידע רגיש. Apple מודעת לדיווח שלפיו ייתכן שבעיה זו נוצלה לרעה נגד גרסאות iOS קודמות ל-iOS 16.7.1.

תיאור: קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2023-42916: ‏Clément Lecigne מ-Google Threat Analysis Group

WebKit

זמין עבור: Apple Watch Series 4 ואילך

השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי. Apple מודעת לדיווח שלפיו ייתכן שבעיה זו נוצלה לרעה נגד גרסאות iOS קודמות ל-iOS 16.7.1.

תיאור: נקודת תורפה של השחתת זיכרון טופלה באמצעות נעילה משופרת.

CVE-2023-42917‏: Clément Lecigne מ-Threat Analysis Group ב-Google

WebKit

זמין עבור: Apple Watch Series 4 ואילך

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2023-42950‏: Nan Wang (@eternalsakura13) מ-360 Vulnerability Research Institute and rushikesh nandedka

תודות נוספות

Wi-Fi

אנחנו מבקשים להודות ל-Noah Roskin-Frazee ול-Prof. J.‎ ‏(ZeroClicks.ai Lab) על הסיוע.