نبذة حول محتوى أمان watchOS 10.6

يتناول هذا المستند محتوى أمان watchOS 10.6.

نبذة عن تحديثات أمان Apple

لحماية عملائنا، تحرص Apple على عدم الإفصاح عن مشاكل الأمان أو طرحها للنقاش أو تأكيدها حتى يتم تقصِّي الأمر وتوفير تصحيحات أو إصدارات جديدة. أحدث الإصدارات مدرجة في صفحة إصدارات أمان Apple.

تشير مستندات الأمان في Apple إلى الثغرات الأمنية من خلال CVE-ID متى أمكن ذلك.

للحصول على مزيد من المعلومات حول الأمان، يمكنك الاطّلاع على صفحة أمان منتجات Apple.

watchOS 10.6

AppleMobileFileIntegrity‏

متوفر لما يلي: Apple Watch Series 4 والإصدارات الأحدث

التأثير: قد يتمكن أحد التطبيقات من تجاوز تفضيلات الخصوصية

الوصف: تمت معالجة مشكلة تتعلق بالتخفيض من خلال فرض قيود إضافية على توقيع التعليمات البرمجية.

CVE-2024-40774: Mickey Jin (@patch1t)

CoreGraphics

متوفر لما يلي: Apple Watch Series 4 والإصدارات الأحدث

التأثير: قد تؤدي معالجة ملف متطفّل إلى إنهاء غير متوقع للتطبيق

الوصف: تمت معالجة مشكلة القراءة غير المسموح بها من خلال التحقق المحسّن من صحة الإدخال.

CVE-2024-40799: D4m0n

dyld

متوفر لما يلي: Apple Watch Series 4 والإصدارات الأحدث

التأثير: قد يتمكن مخترق ضار لديه قدرة عشوائية على القراءة والكتابة من تجاوز مصادقة المؤشر

الوصف: تمت معالجة حالة تعارض باستخدام تحقق إضافي.

CVE-2024-40815: w0wbox

Family Sharing

متوفر لما يلي: Apple Watch Series 4 والإصدارات الأحدث

التأثير: قد يتمكن أحد التطبيقات من قراءة معلومات الموقع الحساسة

الوصف: تمت معالجة هذه المشكلة من خلال الحماية المُحسّنة للبيانات.

CVE-2024-40795: Csaba Fitzl (@theevilbit) من Kandji

ImageIO

متوفر لما يلي: Apple Watch Series 4 والإصدارات الأحدث

التأثير: قد تؤدي معالجة صورة إلى رفض الخدمة

الوصف: هذه ثغرة أمنية في التعليمات البرمجية مفتوحة المصدر، وتعد برامج Apple من بين المشاريع المتأثرة. تم تعيين معرف CVE-ID من قبل طرف خارجي. تعرّف على المزيد حول المشكلة ومعرف CVE-ID على cve.org.

CVE-2023-6277

CVE-2023-52356

ImageIO

متوفر لما يلي: Apple Watch Series 4 والإصدارات الأحدث

التأثير: قد تؤدي معالجة ملف متطفّل إلى إنهاء غير متوقع للتطبيق

الوصف: تمت معالجة مشكلة القراءة غير المسموح بها من خلال التحقق المحسّن من صحة الإدخال.

CVE-2024-40806: Yisumi

ImageIO

متوفر لما يلي: Apple Watch Series 4 والإصدارات الأحدث

التأثير: قد تؤدي معالجة ملف متطفّل إلى إنهاء غير متوقع للتطبيق

الوصف: تمت معالجة مشكلة تتعلق بالوصول غير المسموح به من خلال التحقق المحسّن من الحدود.

CVE-2024-40777: Junsung Lee بالاشتراك مع مبادرة Zero Day Initiative من Trend Micro وAmir Bazine وKarsten König من CrowdStrike Counter Adversary Operations.

ImageIO

متوفر لما يلي: Apple Watch Series 4 والإصدارات الأحدث

التأثير: قد تؤدي معالجة ملف متطفّل إلى إنهاء غير متوقع للتطبيق

الوصف: تمت معالجة مشكلة تتعلق بتجاوز عدد صحيح من خلال التحقق المُحسَّن من صحة الإدخال.

CVE-2024-40784: Junsung Lee بالاشتراك مع مبادرة Zero Day Initiative من Trend Micro وGandalf4a

Kernel

متوفر لما يلي: Apple Watch Series 4 والإصدارات الأحدث

التأثير: يُمكن لمخترق محلي تحديد تخطيط ذاكرة kernel

الوصف: تمت معالجة مشكلة الكشف عن معلومات من خلال تحسين تنقيح البيانات الخاصة لإدخالات السجل.

CVE-2024-27863: فريق CertiK SkyFall Team

Kernel

متوفر لما يلي: Apple Watch Series 4 والإصدارات الأحدث

التأثير: قد يتمكن مهاجم محلي من التسبب في إيقاف تشغيل النظام بشكل غير متوقع

الوصف: تمت معالجة مشكلة تتعلق بخلط الأنواع من خلال المعالجة المحسّنة للذاكرة.

CVE-2024-40788: Minghao Lin وJiaxun Zhu من Zhejiang University

libxpc

متوفر لما يلي: Apple Watch Series 4 والإصدارات الأحدث

التأثير: قد يتمكن أحد التطبيقات من تجاوز تفضيلات الخصوصية

الوصف: تمت معالجة مشكلة تتعلق بالأذونات من خلال فرض قيود إضافية.

CVE-2024-40805

Phone

متوفر لما يلي: Apple Watch Series 4 والإصدارات الأحدث

التأثير: قد يتمكن مخترق لديه إمكانية الوصول الفعلي من استخدام Siri للوصول إلى بيانات المستخدم الحسّاسة

الوصف: تمت معالجة مشكلة شاشة القفل من خلال إدارة محسّنة للحالة.

CVE-2024-40813: Jacob Braun

Sandbox

متوفر لما يلي: Apple Watch Series 4 والإصدارات الأحدث

التأثير: قد يتمكن أحد التطبيقات من تجاوز تفضيلات الخصوصية

الوصف: تمت معالجة هذه المشكلة من خلال الإدارة المُحسَّنة للحالة.

CVE-2024-40824: Wojciech Regula من SecuRing (wojciechregula.blog) وZhongquan Li (@Guluisacat) من Dawn Security Lab من JingDong

Shortcuts

متوفر لما يلي: Apple Watch Series 4 والإصدارات الأحدث

التأثير: قد يكون الاختصار قادرًا على استخدام بيانات حساسة مع إجراءات معينة دون مطالبة المستخدم

الوصف: تمت معالجة مشكلة تتعلق بالمنطق من خلال عمليات التحقق المُحسَّنة.

CVE-2024-40835: باحث غير معلوم الهوية

CVE-2024-40836: باحث غير معلوم الهوية

Shortcuts

متوفر لما يلي: Apple Watch Series 4 والإصدارات الأحدث

التأثير: قد يتمكن اختصار من تجاوز متطلبات أذونات الإنترنت

الوصف: تمت معالجة مشكلة تتعلق بالمنطق من خلال عمليات التحقق المُحسَّنة.

CVE-2024-40809: باحث غير معلوم الهوية

CVE-2024-40812: باحث غير معلوم الهوية

Shortcuts

متوفر لما يلي: Apple Watch Series 4 والإصدارات الأحدث

التأثير: قد يتمكن اختصار من تجاوز متطلبات أذونات الإنترنت

الوصف: تمت معالجة هذه المشكلة من خلال إضافة مطالبة إضافية للحصول على موافقة المستخدم.

CVE-2024-40787: باحث غير معلوم الهوية

Shortcuts

متوفر لما يلي: Apple Watch Series 4 والإصدارات الأحدث

التأثير: قد يتمكن التطبيق من الوصول إلى بيانات المستخدم الحساسة

الوصف: تمت معالجة هذه المشكلة من خلال إزالة التعليمة البرمجية المعرّضة للهجوم.

CVE-2024-40793: Kirin (@Pwnrin)

Siri

متوفر لما يلي: Apple Watch Series 4 والإصدارات الأحدث

التأثير: قد يتمكن مخترق لديه إمكانية الوصول الفعلي من استخدام Siri للوصول إلى بيانات المستخدم الحسّاسة

الوصف: تمت معالجة هذه المشكلة من خلال تقييد الخيارات المتوفرة في الأجهزة المقفولة.

CVE-2024-40818: Bistrit Dahal وSrijan Poudel

Siri

متوفر لما يلي: Apple Watch Series 4 والإصدارات الأحدث

التأثير: قد يتمكن مهاجم يتمتع بإمكانية الوصول الفعلي إلى الجهاز الوصول إلى جهات الاتصال من شاشة القفل

الوصف: تمت معالجة هذه المشكلة من خلال تقييد الخيارات المتوفرة في الأجهزة المقفولة.

CVE-2024-40822: Srijan Poudel

VoiceOver

متوفر لما يلي: Apple Watch Series 4 والإصدارات الأحدث

التأثير: قد يتمكن مهاجم من الاطّلاع على المحتوى المقيّد من شاشة القفل

الوصف: تمت معالجة المشكلة من خلال عمليات التحقق المُحسَّنة.

CVE-2024-40829: Abhay Kailasia (@abhay_kailasia) من Lakshmi Narain College of Technology Bhopal India

WebKit

متوفر لما يلي: Apple Watch Series 4 والإصدارات الأحدث

التأثير: قد تؤدي معالجة محتوى ويب متطفل إلى عطل غير متوقع في المعالجة

الوصف: تمت معالجة مشكلة تتعلق بالاستخدام بعد التحرير من خلال الإدارة المُحسَّنة للذاكرة.

CVE-2024-40776: Huang Xilin من Ant Group Light-Year Security Lab

CVE-2024-40782: Maksymilian Motyl

WebKit

متوفر لما يلي: Apple Watch Series 4 والإصدارات الأحدث

التأثير: قد تؤدي معالجة محتوى ويب متطفل إلى عطل غير متوقع في المعالجة

الوصف: تمت معالجة القراءة غير المسموح بها من خلال التحقق المحسّن من الحدود.

CVE-2024-40779: Huang Xilin من Ant Group Light-Year Security Lab

CVE-2024-40780: Huang Xilin من Ant Group Light-Year Security Lab

WebKit

متوفر لما يلي: Apple Watch Series 4 والإصدارات الأحدث

التأثير: قد تؤدي معالجة محتوى ويب متطفل إلى التعرض لهجوم البرمجة النصية بين المواقع

الوصف: تمت معالجة هذه المشكلة عبر عمليات التحقق المحسّنة.

CVE-2024-40785: Johan Carlsson (joaxcar)

WebKit

متوفر لما يلي: Apple Watch Series 4 والإصدارات الأحدث

التأثير: قد تؤدي معالجة محتوى ويب متطفل إلى عطل غير متوقع في المعالجة

الوصف: تمت معالجة مشكلة تتعلق بالوصول غير المسموح به من خلال التحقق المحسّن من الحدود.

CVE-2024-40789: Seunghyun Lee (@0x10n) من KAIST Hacking Lab بالاشتراك مع مبادرة Trend Micro Zero Day Initiative

WebKit

متوفر لما يلي: Apple Watch Series 4 والإصدارات الأحدث

التأثير: قد تؤدي معالجة محتوى ويب متطفل إلى عطل غير متوقع في المعالجة

الوصف: تمت معالجة المشكلة من خلال عمليات التحقق المُحسَّنة.

CVE-2024-44185: Gary Kwong

WebKit

متوفر لما يلي: Apple Watch Series 4 والإصدارات الأحدث

التأثير: قد يتمكن المستخدم من تجاوز بعض قيود محتوى الويب

الوصف: تم معالجة مشكلة في التعامل مع بروتوكولات URL باستخدام منطق محسّن.

CVE-2024-44206: Andreas Jaegersberger وRo Achterberg

تقدير آخر

Shortcuts

يسعدنا أن نتوجّه بخالص الشكر إلى باحث غير معلوم الهوية نظير مساعدته لنا.