Over de beveiligingsinhoud van watchOS 9.5

In dit artikel wordt de beveiligingsinhoud van watchOS 9.5 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

watchOS 9.5

Accessibility

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een app kan mogelijk privacyvoorkeuren omzeilen

Beschrijving: een privacyprobleem is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.

CVE-2023-32388: Kirin (@Pwnrin)

Accessibility

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: rechten en privacytoestemmingen die worden gegeven aan deze app, worden mogelijk gebruikt door een schadelijke app

Beschrijving: dit probleem is verholpen door verbeterde controles.

CVE-2023-32400: Mickey Jin (@patch1t)

Accounts

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een aanvaller kan mogelijk e-mails van gebruikersaccounts laten uitlekken

Beschrijving: een probleem met machtigingen is verholpen door een verbeterde manier van onleesbaar maken van vertrouwelijke gegevens.

CVE-2023-34352: Sergii Kryvoblotskyi van MacPaw Inc.

Apple Neural Engine

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een app kan toegang krijgen tot verhoogde bevoegdheden

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2023-32425: Mohamed GHANNAM (@_simo36)

Core Location

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een app kan vertrouwelijke locatiegegevens lezen

Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.

CVE-2023-32399: Adam M.

CoreServices

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een app kan mogelijk privacyvoorkeuren omzeilen

Beschrijving: dit probleem is verholpen door een verbeterde manier van onleesbaar maken van gevoelige gegevens.

CVE-2023-28191: Mickey Jin (@patch1t)

Face Gallery

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een aanvaller met fysieke toegang tot een vergrendelde Apple Watch kan mogelijk foto's van gebruikers of contactgegevens bekijken via toegankelijkheidsfuncties

Beschrijving: dit probleem is verholpen door de aangeboden opties op een vergrendeld apparaat te beperken.

CVE-2023-32417: Zitong Wu (吴梓桐) van Zhuhai No.1 High School (珠海市第一中学)

GeoServices

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een app kan vertrouwelijke locatiegegevens lezen

Beschrijving: een privacyprobleem is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.

CVE-2023-32392: Adam M.

ImageIO

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: het verwerken van een afbeelding kan leiden tot openbaarmaking van procesgeheugen

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2023-32372: Meysam Firouzi @R00tkitSMM van Mbition Mercedes-Benz Innovation Lab in samenwerking met Trend Micro Zero Day Initiative

ImageIO

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: het verwerken van een afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een bufferoverloop is verholpen door een verbeterde bereikcontrole.

CVE-2023-32384: Meysam Firouzi (@R00tkitSMM) in samenwerking met Trend Micro Zero Day Initiative

IOSurfaceAccelerator

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een app kan mogelijk het kernelgeheugen vrijgeven

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2023-32354: Linus Henze van Pinauten GmbH (pinauten.de)

IOSurfaceAccelerator

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem of het lezen van kernelgeheugen

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2023-32420: CertiK SkyFall Team en Linus Henze van Pinauten GmbH (pinauten.de)

Kernel

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een type confusion-probleem is verholpen door verbeterde controles.

CVE-2023-27930: 08Tc3wBB van Jamf

Kernel

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

CVE-2023-32398: Adam Doupé van ASU SEFCOM

Kernel

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een app kan toegang krijgen tot rootbevoegdheden

Beschrijving: een racevoorwaarde is verholpen door een verbeterde statusverwerking.

CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) van Synacktiv (@Synacktiv) in samenwerking met Trend Micro Zero Day Initiative

LaunchServices

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een app kan Gatekeeper-controles omzeilen

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2023-32352: Wojciech Reguła (@_r3ggi) van SecuRing (wojciechregula.blog)

MallocStackLogging

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een app kan toegang krijgen tot rootbevoegdheden

Beschrijving: dit probleem is verholpen door verbeterd bestandsbeheer.

CVE-2023-32428: Gergely Kalman (@gergely_kalman)

Metal

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een app kan mogelijk privacyvoorkeuren omzeilen

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2023-32407: Gergely Kalman (@gergely_kalman)

Model I/O

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: het verwerken van een 3D-model kan leiden tot openbaarmaking van procesgeheugen

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2023-32368: Mickey Jin (@patch1t)

NetworkExtension

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een app kan vertrouwelijke locatiegegevens lezen

Beschrijving: dit probleem is aangepakt door gevoelige informatie beter te redigeren.

CVE-2023-32403: Adam M.

NSURLSession

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een app kan buiten zijn sandbox komen

Beschrijving: het probleem is verholpen door verbeteringen aan het bestandsbeheerprotocol.

CVE-2023-32437: Thijs Alkemade van Computest Sector 7

Photos

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: foto's die deel uitmaken van het album met verborgen foto's konden zonder identiteitscontrole worden bekeken via Visueel opzoeken

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2023-32390: Julian Szulc

Sandbox

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een app kan toegang behouden tot bestanden voor systeemconfiguratie, zelfs nadat de toestemming is ingetrokken

Beschrijving: een autorisatieprobleem is verholpen door verbeterd statusbeheer.

CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Koh M. Nakagawa van FFRI Security, Inc., Kirin (@Pwnrin), Jeff Johnson (underpassapp.com) en Csaba Fitzl (@theevilbit) van Offensive Security

Share Sheet

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een privacyprobleem is verholpen door verbeterde verwerking van tijdelijke bestanden.

CVE-2023-32432: Kirin (@Pwnrin)

Shortcuts

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een opdracht kan bij bepaalde acties gebruikmaken van gevoelige gegevens zonder dat de gebruiker om toestemming wordt gevraagd

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2023-32391: Wenchao Li en Xiaolong Bai van Alibaba Group

Shortcuts

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een app kan mogelijk privacyvoorkeuren omzeilen

Beschrijving: dit probleem is verholpen door middel van verbeterde rechten.

CVE-2023-32404: Mickey Jin (@patch1t), Zhipeng Huo (@R3dF09) van Tencent Security Xuanwu Lab (xlab.tencent.com) en een anonieme onderzoeker

Siri

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een persoon met fysieke toegang tot een apparaat kan mogelijk contactgegevens vanaf het toegangsscherm bekijken

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2023-32394: Khiem Tran

SQLite

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een app kan mogelijk privacyvoorkeuren omzeilen

Beschrijving: dit probleem is verholpen door aanvullende beperkingen voor SQLite-logboekregistratie toe te voegen.

CVE-2023-32422: Gergely Kalman (@gergely_kalman) en Wojciech Regula van SecuRing (wojciechregula.blog)

StorageKit

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen

Beschrijving: dit probleem is verholpen door middel van verbeterde rechten.

CVE-2023-32376: Yiğit Can YILMAZ (@yilmazcanyigit)

System Settings

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: de firewall-instelling van een app is mogelijk niet effectief na het sluiten van de Instellingen-app

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2023-28202: Satish Panduranga en een anonieme onderzoeker

Telephony

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een externe aanvaller kan het onverwacht beëindigen van een app of het uitvoeren van willekeurige code veroorzaken

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

CVE-2023-32412: Ivan Fratric van Google Project Zero

TV App

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een app kan vertrouwelijke locatiegegevens lezen

Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.

CVE-2023-32408: Adam M.

WebKit

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: de verwerking van webmateriaal kan mogelijk gevoelige gegevens onthullen

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2023-32402: een anonieme onderzoeker

WebKit

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: het verwerken van webmateriaal kan leiden tot openbaarmaking van vertrouwelijke informatie

Beschrijving: een probleem met bufferoverloop is verholpen door verbeterde verwerking van het geheugen.

CVE-2023-32423: Ignacio Sanmillan (@ulexec)

WebKit

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een externe aanvaller kan mogelijk de Webinhoud-sandbox doorbreken. Apple is op de hoogte van een melding dat er mogelijk actief misbruik is gemaakt van dit probleem.

Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.

CVE-2023-32409: Clément Lecigne van de Threat Analysis Group van Google en Donncha Ó Cearbhaill van het Security Lab van Amnesty International

WebKit

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: het verwerken van webmateriaal kan gevoelige informatie vrijgeven. Apple is op de hoogte van een melding dat er mogelijk actief misbruik is gemaakt van dit probleem.

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2023-28204: een anonieme onderzoeker

WebKit

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot het uitvoeren van willekeurige code. Apple is op de hoogte van een melding dat er mogelijk actief misbruik is gemaakt van dit probleem.

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

CVE-2023-32373: een anonieme onderzoeker

Wi-Fi

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een app kan mogelijk het kernelgeheugen vrijgeven

Beschrijving: dit probleem is verholpen door een verbeterde manier van onleesbaar maken van gevoelige gegevens.

CVE-2023-32389: Pan ZhenPeng (@Peterpan0927) van STAR Labs SG Pte. Ltd.

Aanvullende erkenning

Accounts

Met dank aan Sergii Kryvoblotskyi van MacPaw Inc. voor de hulp.

CFNetwork

Met dank aan Gabriel Geraldino de Souza voor de hulp.

CloudKit

Met dank aan Iconic voor de hulp.

libxml2

Met dank aan OSS-Fuzz en Ned Williamson van Google Project Zero voor de hulp.

Reminders

Met dank aan Kirin (@Pwnrin) voor de hulp.

Security

Met dank aan Brandon Toms voor de hulp.

Share Sheet

Met dank aan Kirin (@Pwnrin) voor de hulp.

Wallet

Met dank aan James Duffy (mangoSecure) voor de hulp.