מידע על תוכן האבטחה של watchOS 10
מסמך זה מתאר את תוכן האבטחה של watchOS 10.
מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID כאשר הדבר ניתן.
למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.
watchOS 10
הופץ ב-18 בספטמבר 2023
App Store
זמין עבור: Apple Watch Series 4 ואילך
השפעה: תוקף מרוחק עלול להצליח לצאת מארגז חול של תוכן אינטרנט
תיאור: הבעיה טופלה באמצעות טיפול משופר בפרוטוקולים.
CVE-2023-40448: w0wbox
Apple Neural Engine
זמין עבור מכשירים עם Apple Neural Engine: Apple Watch Series 9 ו-Apple Watch Ultra 2
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-40432: Mohamed GHANNAM (@_simo36)
CVE-2023-41174: Mohamed GHANNAM (@_simo36)
CVE-2023-40409: Ye Zhang (@VAR10CK) מ-Baidu Security
CVE-2023-40412: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
זמין עבור מכשירים עם Apple Neural Engine: Apple Watch Series 9 ו-Apple Watch Ultra 2
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.
CVE-2023-41071: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
זמין עבור מכשירים עם Apple Neural Engine: Apple Watch Series 9 ו-Apple Watch Ultra 2
השפעה: יישום עלול להצליח לחשוף את זיכרון הליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-40399: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
זמין עבור מכשירים עם Apple Neural Engine: Apple Watch Series 9 ו-Apple Watch Ultra 2
השפעה: יישום עלול להצליח לחשוף את זיכרון הליבה
תיאור: קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2023-40410: Tim Michaud (@TimGMichaud) מ-Moveworks.ai
AuthKit
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרונות מטמון.
CVE-2023-32361: Csaba Fitzl (@theevilbit) מ-Offensive Security
Bluetooth
זמין עבור: Apple Watch Series 4 ואילך
השפעה: תוקף שנמצא בקרבה פיזית יכול לגרום לכתיבה מוגבלת מחוץ לטווח
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-35984: zer0k
bootp
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום
תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.
CVE-2023-41065: Adam M. וגם Noah Roskin-Frazee ו-Professor Jason Lau (ZeroClicks.ai Lab)
CFNetwork
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להיכשל באכיפה של מערך האבטחה App Transport Security
תיאור: הבעיה טופלה באמצעות טיפול משופר בפרוטוקולים.
CVE-2023-38596: Will Brattain מ-Trail of Bits
CoreAnimation
זמין עבור: Apple Watch Series 4 ואילך
השפעה: עיבוד תוכן אינטרנט עלול לגרום למניעת שירות
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-40420: 이준성(Junsung Lee) מ-Cross Republic
Core Data
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח לעקוף את העדפות הפרטיות
תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.
CVE-2023-40528: Kirin (@Pwnrin) מ-NorthSea
הרשומה נוספה ב‑22 בינואר 2024
Dev Tools
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח לקבל הרשאות ברמה גבוהה יותר
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2023-32396: Mickey Jin (@patch1t)
Game Center
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח לגשת לאנשי הקשר
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרונות מטמון.
CVE-2023-40395: Csaba Fitzl (@theevilbit) מ-Offensive Security
IOUserEthernet
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2023-40396: Certik Skyfall Team
הרשומה נוספה ב-16 ביולי 2024
Kernel
זמין עבור: Apple Watch Series 4 ואילך
השפעה: תוקף שכבר הצליח להשיג הפעלת קוד ליבה עלול להצליח לעקוף אמצעי עזר של זיכרון ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-41981: Linus Henze מ-Pinauten GmbH (pinauten.de)
Kernel
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) מ-STAR Labs SG Pte. Ltd.
Kernel
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיית הרשאות טופלה באמצעות אימות משופר.
CVE-2023-40429: Michael (Biscuit) Thomas ו-张师傅(@京东蓝军)
libpcap
זמין עבור: Apple Watch Series 4 ואילך
השפעה: משתמש מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2023-40400: סיי ק.
libxpc
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח למחוק קבצים שאין לו הרשאה לגשת אליהם
תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.
CVE-2023-40454: Zhipeng Huo (@R3dF09) מ-Tencent Security Xuanwu Lab (xlab.tencent.com)
libxpc
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים
תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.
CVE-2023-41073: Zhipeng Huo (@R3dF09) מ-Tencent Security Xuanwu Lab (xlab.tencent.com)
libxslt
זמין עבור: Apple Watch Series 4 ואילך
השפעה: עיבוד תוכן אינטרנט עלול לחשוף מידע רגיש
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-40403: Dohyun Lee (@l33d0hyun) מ-PK Security
Maps
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרונות מטמון.
CVE-2023-40427: Adam M. ו-Wojciech Regula מ-SecuRing (wojciechregula.blog)
Maps
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום
תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.
CVE-2023-42957: Adam M. ו-Ron Masas מ-BreakPoint Security Research
הרשומה נוספה ב-16 ביולי 2024
MobileStorageMounter
זמין עבור: Apple Watch Series 4 ואילך
השפעה: משתמש עלול להצליח להשיג הרשאות ברמה גבוהה יותר
תיאור: בעיית גישה טופלה באמצעות הגבלות גישה משופרות.
CVE-2023-41068: Mickey Jin (@patch1t)
Passcode
זמין עבור: Apple Watch Ultra (כל הדגמים)
השפעה: Apple Watch Ultra עלול לא להינעל בעת שימוש ביישום 'עומק'
תיאור: בעיית אימות טופלה באמצעות ניהול מצבים משופר.
CVE-2023-40418: serkan Gurbuz
Photos
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח לגשת לתמונות ערוכות שנשמרו בספריה זמנית
תיאור: בעיה זו טופלה באמצעות הגנת נתונים משופרת.
CVE-2023-42949: קירין (Pwnrin@)
הרשומה נוספה ב-16 ביולי 2024
Photos Storage
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח לגשת לתמונות ערוכות שנשמרו בספריה זמנית
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-40456: Kirin (@Pwnrin)
CVE-2023-40520: Kirin (@Pwnrin)
Safari
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח לזהות אילו יישומים אחרים התקין המשתמש
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-35990: Adriatik Raci מ-Sentry Cybersecurity
Safari
זמין עבור: Apple Watch Series 4 ואילך
השפעה: ביקור באתר שכולל תוכן זדוני עלול להוביל לזיוף זהות בממשק המשתמש
תיאור: בעיה בניהול חלונות טופלה באמצעות ניהול מצבים משופר.
CVE-2023-40417: Narendra Bhati (twitter.com/imnarendrabhati) מ-Suma Soft Pvt. Ltd, פונה (הודו)
הרשומה עודכנה ב‑2 בינואר 2024
Sandbox
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח למחוק קבצים שרירותיים
תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.
CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)
Share Sheet
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח לגשת לנתונים רגישים הנרשמים כאשר משתמש משתף קישור
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2023-41070: Kirin (@Pwnrin)
Simulator
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח לקבל הרשאות ברמה גבוהה יותר
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-40419: Arsenii Kostromin (0x3c3e)
StorageKit
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח לקרוא קבצים שרירותיים
תיאור: בעיה זו טופלה באמצעות אימות משופר של קישורים סימבוליים.
CVE-2023-41968: Mickey Jin (@patch1t) ו-James Hutchins
TCC
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-40424: Arsenii Kostromin (0x3c3e), Joshua Jewett (@JoshJewett33) ו-Csaba Fitzl (@theevilbit) מ-Offensive Security
WebKit
זמין עבור: Apple Watch Series 4 ואילך
השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.
WebKit Bugzilla: 249451
CVE-2023-39434: Francisco Alonso (@revskills) ו-Dohyun Lee (@l33d0hyun) מ-PK Security
WebKit Bugzilla: 258992
CVE-2023-40414: Francisco Alonso (@revskills)
הרשומה עודכנה ב‑2 בינואר 2024
WebKit
זמין עבור: Apple Watch Series 4 ואילך
השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
WebKit Bugzilla: 256551
CVE-2023-41074: 이준성(Junsung Lee) מ-Cross Republic ו-Jie Ding(@Lime) מ-HKUS3 Lab
הרשומה עודכנה ב‑2 בינואר 2024
WebKit
זמין עבור: Apple Watch Series 4 ואילך
השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 239758
CVE-2023-35074: Ajou University Abysslab Dong Jun Kim(@smlijun) ו-Jong Seong Kim(@nevul37)
הרשומה עודכנה ב‑2 בינואר 2024
תודות נוספות
AirPort
אנחנו מבקשים להודות ל-Adam M. וגם ל-Noah Roskin-Frazee ולפרופסור Jason Lau (ZeroClicks.ai Lab) על הסיוע.
Audio
אנחנו מבקשים להודות ל-Mickey Jin (@patch1t) על הסיוע.
Bluetooth
אנחנו מבקשים להודות ל-Jianjun Dai ול-Guang Gong מ-360 Vulnerability Research Institute על הסיוע.
Books
אנחנו מבקשים להודות ל-Aapo Oksman מ-Nixu Cybersecurity על הסיוע.
Control Center
אנחנו מבקשים להודות ל-Chester van den Bogaard על הסיוע.
Data Detectors UI
אנחנו מבקשים להודות ל-Abhay Kailasia (@abhay_kailasia) מ-Lakshmi Narain College Of Technology Bhopal על הסיוע.
Find My
אנחנו מבקשים להודות ל-Cher Scarlett על הסיוע.
Home
אנחנו מבקשים להודות ל-Jake Derouin (jakederouin.com) על הסיוע.
IOUserEthernet
אנחנו מבקשים להודות ל-Certik Skyfall Team על הסיוע.
הרשומה נוספה ב‑2 בינואר 2024
Kernel
אנחנו מבקשים להודות ל-Bill Marczak מ-The Citizen Lab ב-Munk School של אוניברסיטת טורונטו, ל-Maddie Stone מ-Threat Analysis Group של Google ול-永超 王 על הסיוע.
libxml2
אנחנו מבקשים להודות ל-OSS-Fuzz ול-Ned Williamson מ-Google Project Zero על הסיוע.
libxpc
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
libxslt
אנחנו מבקשים להודות ל-Dohyun Lee (@l33d0hyun) מ-PK Security, ל-OSS-Fuzz ול-Ned Williamson מ-Google Project Zero על הסיוע.
NSURL
אנחנו מבקשים להודות ל-Zhanpeng Zhao (行之) ול-糖豆爸爸(@晴天组织) על הסיוע.
Photos
אנחנו מבקשים להודות ל-Anatolii Kozlov, ל-Dawid Pałuska, ל-Lyndon Cornelius ול-Paul Lurin על הסיוע.
הרשומה עודכנה ב-16 יולי 2024
Photos Storage
אנחנו מבקשים להודות ל-Wojciech Regula מ-SecuRing (wojciechregula.blog) על הסיוע.
Power Services
אנחנו מבקשים להודות ל-Mickey Jin (@patch1t) על הסיוע.
Shortcuts
אנחנו מבקשים להודות ל-Alfie CG, ל-Christian Basting מ-Bundesamt für Sicherheit in der Informationstechnik, ל-Cristian Dinca מבית הספר התיכון הלאומי למדעי המחשב, "Tudor Vianu", ברומניה, ל-Giorgos Christodoulidis, ל-Jubaer Alnazi מקבוצת החברות TRS, ל-KRISHAN KANT DWIVEDI (@xenonx7) ול-Matthew Butler על הסיוע.
הרשומה עודכנה ב-24 באפריל 2024
Software Update
אנחנו מבקשים להודות ל-Omar Siman על הסיוע.
StorageKit
אנחנו מבקשים להודות ל-Mickey Jin (@patch1t) על הסיוע.
WebKit
אנחנו מבקשים להודות ל-Khiem Tran ול-Narendra Bhati מ-Suma Soft Pvt. Ltd, ולחוקר אנונימי על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.