מידע על תוכן האבטחה של watchOS 10.3

מסמך זה מתאר את תוכן האבטחה של watchOS 10.3.

מידע על עדכוני האבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID כאשר הדבר ניתן.

למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.

watchOS 10.3

Apple Neural Engine

זמין עבור מכשירים עם Apple Neural Engine: ‏Apple Watch Series 9 ו-Apple Watch Ultra 2

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2024-23212:‏ Ye Zhang מ-Baidu Security

CoreCrypto

זמין עבור: Apple Watch Series 4 ואילך

השפעה: תוקף עלול להיות מסוגל לפענח מידע מוצפן (ciphertext) של RSA PKCS#1 v1.5 מדור קודם מבלי שהמפתח הפרטי בידיו

תיאור: בעיית תזמון בערוץ צדדי טופלה באמצעות שיפורים במחשוב זמן קבוע בפונקציות קריפטוגרפיות.

CVE-2024-23218‏: Clemens Lang

Kernel

זמין עבור: Apple Watch Series 4 ואילך

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2024-23208‏: fmyy(@binary_fmyy) ו-lime מ-TIANGONG Team of Legendsec ב-QI-ANXIN Group

libxpc

זמין עבור: Apple Watch Series 4 ואילך

השפעה: יישום עלול להצליח לגרום למניעת שירות

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2024-23201: קו מ' נאקגוואה מ-FFRI Security, Inc.‎ חוקר אנונימי

Mail Search

זמין עבור: Apple Watch Series 4 ואילך

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.

CVE-2024-23207: ‏Noah Roskin-Frazee ו-Prof. J.‎ ‏(ZeroClicks.ai Lab) ו-Ian de Marcellus

NSSpellChecker

זמין עבור: Apple Watch Series 4 ואילך

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית אבטחה טופלה באמצעות שיפור הטיפול בקבצים.

CVE-2024-23223: ‏Noah Roskin-Frazee ו-Prof. J.‎ ‏(ZeroClicks.ai Lab)

Safari

זמין עבור: Apple Watch Series 4 ואילך

השפעה: פעילות גלישה פרטית של משתמש עלולה להיות גלויה ב'הגדרות'

תיאור: בעיית אבטחה טופלה באמצעות שיפור הטיפול בהעדפות המשתמש.

CVE-2024-23211:‏ Mark Bowers

Shortcuts

זמין עבור: Apple Watch Series 4 ואילך

השפעה: קיצור דרך עלול להצליח להשתמש בנתונים רגישים במהלך פעולות מסוימות בלי להציג בקשה למשתמש

תיאור: הבעיה טופלה באמצעות בדיקות נוספות של הרשאות.

CVE-2024-23204‏: Jubaer Alnazi ‏(@h33tjubaer)

Shortcuts

זמין עבור: Apple Watch Series 4 ואילך

השפעה: יישום עלול להצליח לעקוף העדפות פרטיות מסוימות

תיאור: בעיית אבטחה טופלה באמצעות שיפור הטיפול בקבצים זמניים.

CVE-2024-23217‏: Kirin ‏(@Pwnrin)

TCC

זמין עבור: Apple Watch Series 4 ואילך

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: הבעיה נפתרה באמצעות שיפור הטיפול בקבצים זמניים.

CVE-2024-23215‏: Zhongquan Li‏ (‎@Guluisacat)

Time Zone

זמין עבור: Apple Watch Series 4 ואילך

השפעה: יישום עלול להיות מסוגל להציג מספר טלפון של משתמש ביומני מערכת

תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.

CVE-2024-23210: ‏Noah Roskin-Frazee ו-Prof. J.‎ ‏(ZeroClicks.ai Lab)

WebKit

זמין עבור: Apple Watch Series 4 ואילך

השפעה: עמוד אינטרנט בעל מבנה זדוני עלול להיות מסוגל להתחזות למשתמש

תיאור: בעיית גישה טופלה באמצעות הגבלות גישה משופרות.

CVE-2024-23206: חוקר אנונימי

WebKit

זמין עבור: Apple Watch Series 4 ואילך

השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2024-23213‏: Wangtaiyu מ-Zhongfu info

WebKit

זמין עבור: Apple Watch Series 4 ואילך

השפעה: אתר אינטרנט זדוני עלול לגרום להתנהגות לא צפויה ממקורות מרובים

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2024-23271: ‏James Lee‏ (‎@Windowsrcer)

תודות נוספות

NetworkExtension

אנחנו מבקשים להודות ל-Nils Rollshausen על הסיוע.